从现实世界的数据突破中吸取的五个教训

核心提示： 第三种安全突破：在我们进行的另一项调查中，攻击者采用了同样的剧本，从现实世界的数据突破中吸取的五个教训(2)，攻破了一个在线零售商的基于Web的电子商务服务器，然而，一个Web应用程序防火墙也许会让你花一些时间，但是，一旦攻击者进入这个数据库系统寻找信用卡信息，他们发现拥有信用卡号码的数据库加密

第三种安全突破：在我们进行的另一项调查中，攻击者采用了同样的剧本，攻破了一个在线零售商的基于Web的电子商务服务器。然而，一旦攻击者进入这个数据库系统寻找信用卡信息，他们发现拥有信用卡号码的数据库加密了。遗憾的是这个加密的密钥存储在同一个系统中。因此，攻击者实际拥有了进入这个王国的钥匙。

此外，我们研究了一些案例。在这些案例中，攻击者是通过售货机系统获得入口的。

售货机系统厂商的技术支持团队使用VNC等通用的远程接入应用程序访问这个系统以便进行技术支持和排除故障。但是，这家厂商对每一个客户都使用相同的远程接入口令。攻击者知道这个口令并且简单地运行大规模扫描搜索采用同样配置的其它系统。接下来的任务就简单了。

防止被安全突破的五个教训

我们从这些案例和其它现实世界的入侵中归纳了五个教训：认真对待Web应用程序安全;增加安全控制层次;理解安全技术的局限性;评估第三方系统;要知道糟糕的事件反应比没有事件反应更糟糕。

1.认真对待Web应用程序安全

Web应用程序经常是入侵者的起点。我们继续看到IT团队不断地给系统使用补丁和部署防火墙，但是，机构却没有防备有漏洞的应用程序。这些安全漏洞是很容易利用的。

一个机构的最佳防御是把安全集成到应用程序开发的声明周期中。与对正在使用的应用程序打补丁相比，制作安全缺陷较少的代码会提供更大的回报。在质量保证或者评估过程中使用IBM的AppScanner或者惠普的WebInspect等Web应用程序扫描技术是非常重要的。购买而不是制作Web应用程序的企业应该评估这些应用程序或者要求厂商执行由第三方验证的安全评估。

Web应用程序防火墙是一个备用的安全控制。这些产品旨在发现已知的攻击和找出可能支持入侵意图的可疑行为。然而，它们只是辅助性的。它们不能解决有瑕疵的开发做法和有漏洞的应用程序的根本症候。一个Web应用程序防火墙也许会让你花一些时间。但是，企业不修复这个风险的根本原因是愚蠢的。