在以前,2013年被认为是“资料外泄的一年”,这或许是大错特错。2014年到目前为止,仅仅在美国,有纪录的外泄事件就有600起。这是个全球性的问题,需要更多的投资和能见度。近期所披露的JP摩根和可能的其他几个美国银行网络防御被攻破的确十分惊人。
许多焦点都放在攻击者身上:他们来自哪个国家,攻击背后有什么动机。是国家行动、金钱导向还是黑客主义者?有内贼或承包商疏忽吗?是中国还是俄罗斯?这些攻击以前所未有的程度发生,大多数入侵渗透发生在没有被适当修补的用户计算机或服务器。这本质上是因为应用程序开发时,在设计和程序代码里少了一些必要的安全性考虑。臭虫被创造、发现,随后被用在攻击上以进入你家或是工作的组织。应用程序是个网关,单靠网络安全不能保护你免于别人攻击你的应用程序。
我们从移动电话或网页所体验到的迷人功能大多数来自于巧妙设计和开发的应用程序,这改善了我们在个人和工作中的动作和互动的方式。然而,如果做得不好,应用程序也会提供单一的最大攻击面来让恶意分子进入我们的住家和组织,让他们有办法去找寻、攻击和掠夺我们的无价珍宝和关键数据。
在过去十年间,我们看到平台有着很大的变化。这些动态的生态系包含了网络银行、社交媒体,甚至很快就会加入无人自动车。美国有四个州(加州、佛罗里达州、密执安州和内华达州)已经开始进入法律作业来让像通用汽车、Google和Tesla等公司逐渐将这些神奇的技术带到街上。
这些新的发展会改变我们与我们爱车互动的方式,将我们对物流的观念带到新的领域。这些技术在硬件平台上运行,但背后的驱动逻辑是应用程序设计,以及设计师和开发人员的聪明才智。Tesla执行长——Elon Musk甚至认为到了2015年,他们的车子有百分之九十会有自动驾驶的能力。Musk也宣布他会开放知识产权作为创新所用,防护网络应用程序将会是Tesla的首要工作,也是其他汽车制造商的。
应用程序安全在需求和设计过程是至关重要的,想要事后弥补或上紧螺丝是不可能的。质量并不只是确保一切工作正常,也要确保让你的用户有可信赖的体验和建立信心。工程师所需的训练不只是在信息系学习的网络应用程序安全相关课程,还包括在其职业生涯中不断发展的新攻击手法。企业必须投资训练他们的开发人员,让他们保持最新技术来将安全性设计入他们的应用程序。像Jeff Williams和Dave Wichers这样的先锋已经挺身而出来带动这领域内的观念和行动。
最近许多的网络攻击头条新闻掩盖了一个事实,就是攻击者开的大门通常是来自不正确编写的应用程序,开放原始码或专有程序并没有差别。组织需要将安全心态深深地带入他们的SDLC(软件开发生命周期)以确保臭虫和漏洞的存在最小化。臭虫是会有,但其关键影响必须最小化。将弱点扫瞄加入你的IDE(集成开发环境),以及针对你所有的开发环境(开发、测试、品保、用户接受测试和正式上线)进行安全性弱点扫描。最后,寻找有较强渗透测试平台和程序可以协助的组织或工具。这样,当你继续进行整个生命周期时,也可以确认整个应用程序是健康的,最终将会提升你所提供给用户和客户的产品。
我们可以辩上一整天——到底先有鸡还是先有蛋。然而,当提到应用程序开发安全与网络/周边安全时,什么比较先这个问题是毫无争议的。