保護Web資產等同於保護業務操作的穩定性

2021-12-29 21:59:07 字數 2109 閱讀 6021

現如今網路互連的世界,保護wweb**在某種程度上講等同於保護公司的業務與商業信譽,維護使用者良好的訪問體驗。隨著網際網路時代的到來,電子商務徹底改變了業務經營的模式,例如b2c、b2b、內部網路與外部網路成了日常的業務詞彙。由此,**要麼是業務擴充套件的絕對優勢手段,要麼就成了一塊靜態的廣告板。

**除了是公司的另一張「名片」外,它還是商業聯結的通道。通過**,使用者可以查詢公司的產品與資訊,合作夥伴訪問共享的資源,或是使用者直接通過**下單購買商品。對於ebay、amazon等這樣的公司來講,「**」就是其業務。如果**執行出問題,不僅會讓公司的業務遭受影響,也會無形中降低使用者對公司信任度,進而流失掉部分使用者。

與此同時,**最大的優點也是其最大的弱點所在,任何人都可以訪問。這種可達性使**很容易成為網路罪犯、黑客甚至激進主義者的攻擊目標。無論是出於怎樣的動機或使用何種方式方法,**被攻擊了就意味著幾種情況:收入損失、負面的商業信譽、敏感資料洩露(例如使用者信用卡資訊與個人資訊)。

有關攻擊**的案例已被廣泛的報道過,例如:

l 2023年2月17日,烏雲漏洞報告平台爆出**認證缺陷可登入任意**賬號及支付寶,隨後支付寶安全團隊承認此漏洞是由新業務促發,但是沒有造成使用者資料洩露。

l 2023年2月底,網上流傳出疑似京東**一批使用者的使用者名稱和密碼資訊,3月3日京東官方回應此次事件為使用者賬號被盜,並稱經內部調查,沒有發生大規模使用者註冊資訊洩露的情況。

web應用安全防護面臨的挑戰

**不僅帶來的是訪問資訊或購買物品的便捷,而且越來越多的網際網路公司的內部架構是基於wweb的。這種從傳統方式到基於web應用的轉移,增加了敏感資訊被竊取的風險。

根據verizon公司的調研發現 ,對**攻擊原因排名最前的兩位是資訊竊取(金融或個人資訊)與激進示威(不滿或**性質)。這些攻擊利用作業系統或web應用軟體中存在的安全漏洞進行攻擊,更為精巧的攻擊例如sql注入與xss(跨站指令碼)也會被用來獲取訪問敏感資料。

保護web**與應用的難度在於其透明的架構與動態的應用。網路安全是相對直接的, 簡單說來就是定義安全策略允許或阻斷往來於網路伺服器的具體流量;但是**的構成因素卻相當多,包括眾多的url、引數與cookie等。對這些不同條目手動建立不同的策略基本上是不現實的。另外,隨著新的url與引數的新增,web**變化也比較頻繁, 增加了安全管理員更新策略的難度。

另一方面,對**實際執行的應用進行不斷檢測的過程中,發現大量的軟體漏洞進一步加劇了**保護的難度,研發與應用的更新、**修改與更新、 面市的壓力等。

本已複雜的環境下更為不堪的是大多數web**是多伺服器的分布式架構,使得這些關鍵因素的防護變得難上加難了。

保護**的資產

保護**資源必須採取整體的防禦方法,包括**的架構與網路為基礎的應用。fortinet建議採取三種能夠齊頭並進的方式進行:

l安全的**編寫習慣與**審查:良性且安全的web應用開發環境以及遵從開放web應用安全計畫(owasp)或其他機構的web開發標準,使用者能夠建立更多的安全或受信的應用,減少整個應用生命週期的漏洞數量是web應用安全的有力保障之一。

執行web應用漏洞評估/穿透測試: web應用程式應經過手動或自動應用漏洞評估工具進行漏洞評估。後續還應對關鍵的應用程式穿透測試。

部署一款web應用防火牆: web應用防火牆(waf)的作用是檢測並阻斷應用層攻擊。傳統的網路安全解決方案是用於檢測與防禦網路與網路埠級別的威脅與攻擊,而不針對應用級別,所以需要一款專用的防火牆。在現有的防火牆層面上部署waf不僅保護基於web的應用並增加整理網路的安全性。

現如今有許多waf做了功能上的延伸。 fortinet的fortiweb裝置在單機裝置中將waf與xml防火牆功能相整合,且增加了漏洞掃瞄、應用加速與伺服器負載均衡模組化設定。fotiweb中基於雙向的流量分析整合了主動與被動安全模組與基於異常檢測引擎的嵌入式行為功能, 不干擾網路架構與應用更改的情況下防禦廣泛的web應用層威脅。

智慧型化it越來越進入到日常的生活, 公司的資料庫中積累的使用者資訊容量與敏感資料只增不減。與此同時,網路的威脅也在方式與技巧方面進化的日益複雜與成熟,採取主動的安全防禦是任何公司保護資料的先行手段。建立安全的web應用環境、定期執行漏洞檢測、部署先進的waf方案所有的這些都是深入防禦不可或缺的。

Yotta保護企業資產安全

對於企業來說商業重要檔案的重要程度不言而喻,在萬眾創業的時代,內部人員違規和離職帶走商業重要檔案等案件屢見報端,而隨著資訊化程度的提高,越來越多的商業安全事件都與電子文件資料等企業知識資產類息息相關。與其在事後花費巨大的人力 物力 財力進行取證和追償,遠不如提前做好內部風險管控,從源頭把好企業知識資...

企業IT安全 資料資產保護

在數位化的今天,資料成為政企的重要資產已是不爭的事實。既然是資產,就不免涉及到保護問題。人類保護資產已有數千年的歷史,積累了豐富的經驗,尤其是近代科技的進步,帶來了更多更有效的手段。所以當我們談到資料資產保護時,自然就想到是否可以借鑑我們已有的保護物理資產的經驗。為此,我們需要了解資料資產和物理資產...

如何保護你的數字資產隱私?

通常,位元幣 以太坊等數字貨幣被認為是匿名的。但事實上,這些用區塊鏈技術實現的數字貨幣體系可能是世界上最透明的支付網路。如果使用不當,你的數字資產情況並無私隱可言。首先,讓我們了解數字貨幣的溯源性。數字貨幣為其交易記錄提供了空前的透明度,以致於大部分的人還沒有適應這樣的機制。所有的數字貨幣交易都是公...