企业安全:为何总有修不完的漏洞? |

  • A+
所属分类:Seay信息安全博客

显示不全请点击全屏阅读

    201410176391413517022109

    前不久我在朋友圈转发了一个名叫《內建安全的软件开发》的文章, 整个文章读下来,作者要表达的意思是开发和安全要更加紧密的配合,安全越早介入产品的研发过程越好,这样才能更快的对安全问题进行响应。理想的情况下非常好,但并不适用于所有企业,企业安全一定不同阶段做不同的事情,大致分为四个阶段。

    第一个阶段属于救火阶段,安全团队规模可能一到三个人,在这个阶段最需要做的事情是将更多常见的漏洞找出来并修复,才不会那么容易被入侵。

    第二个阶段属于安全体系建设阶段,这时候通常是企业高速发展的时候,安全的脚步满足不了业务对安全的需求,于是开始大量的投入预算,用来招兵买马建团队,以及买第三方的产品和服务,不然如果业务都没发展,公司不会投入那么多成本做安全。

    第三个阶段属于安全产品自研阶段,当安全体系建设的相对完善,不再会被轻轻松松入侵,可以松一口气的时候,安全团队需要体现价值,也需要安全产品更符合自身公司的需求,于是浩浩荡荡的再招一班人,开始自己研发更加适合自家企业的监控、扫描、防御等系统,比如waf、web扫描器、日志审计等等。

    第四个阶段属于安全能力商业化阶段,这正是BAT所经历的阶段,公司每年在安全花那么多钱,最后希望安全团队能自我供血,前一阶段研发的安全工具也已经比较完善,于是把自家安全的东西包装包装进行商业化,做成产品对外输出。阿里在2014年后曾给安全团队一个非常大的销售KPI,要求安全团队赚钱,于是安全团队整理内部可输出的技术,一大堆人开始吭哧吭哧写文档。百度对自身所有安全产品打包叫全息安全,提出“赋能”的概念,以赋予能力的方式将百度安全能力传授给客户。

    除此之外提到的一个观点“黑客攻击的趋势已经发生了显著的改变,由最初的针对网络、操作系统以及服务器的攻击,已经转变为针对应用程序的攻击。”,在目前比例来看确实如此,不过近年各种各样的安全创业公司蜂拥而出,对于系统及应用的漏洞的攻击有了更好的产品和解决方案,也就是说入侵系统也好应用也好,已经不像几年前那么容易。

    于是攻防对抗中攻击者不得不寻找新的入侵点。这几年各大企业数据越来越多被拖走,对人的信息获取更加简单,却没有什么公司跳出来解决人这块的安全问题,以致于“人”成为黑客最容易入侵的点,更容易突破的口子,我认为安全未来的趋势由对主机及应用的攻击方式,转变为以人为中心的攻击方式为主。预计在今年年底到明年下半年之前,人员安全会成为企业最严重的威胁。

    文章中还提到“为何安全漏洞如此难以消除?”,目前我们见到的安全漏洞,可以分为两种,产品本身的漏洞,产品使用过程中设置导致的漏洞。而不管任何一种,我们不能否认的是,产品由人研发出来,代码由人写出来,使用过程中密码由人设置,软件的配置也是由人操作,也就是说漏洞的根源在于人,人是万恶的漏洞制造者,以往的做法都不是从根源去解决问题,怎么能相对的消除更多漏洞(绝对的安全是不存在的)。

    举个例子,某个程序员写出一个SQL注入漏洞,通过扫描器或者代码审计发现了这个漏洞,接着内部的漏洞修复流程走一遍将漏洞修复,但是没过几天,同样一个程序员又写出同样一个漏洞。

    这也就体现了漏洞永远都在产生,为何会这样?因为通常的做法修掉的是这个漏洞,而不是修掉的人,所以这个漏洞制造者还会制造出来新的漏洞。我接触过很多企业也尝试着去做一些安全意识培训,但投入并不大,力道不够,也就没有很好的效果。

   对于企业来说,最理想的状态是安全成为一种企业文化,每个新员工入职都融入到安全文化的氛围中,是一个非常良性循环的过程,这是我下一篇文章的主题。

   如果对《內建安全的软件开发》比较感兴趣可以点击 http://www.testwo.com/article/709 查看。

Tags:

企业安全,

如果您喜欢我的博客,欢迎点击图片定订阅到邮箱填写您的邮件地址,订阅我们的精彩内容: 也可以点击链接【订阅到鲜果】

如果我的想法或工具帮助到了你,也可微信扫下方二维码打赏本人一杯咖啡
企业安全:为何总有修不完的漏洞? |