程式設計左右網站安全!專家三招教你對抗黑客
網站已成為每家企業不可或缺的一部份,尤其是一些主力從事網上商貿的企業更甚,因此網站往往很容易成為黑客目標;不過站在企業管理層的角度而言,他們一般都會較為重視實質的投資,例如企業內部的網絡設備、保安、POS 系統等﹐而投資於網站上的往往較為不足。
另外﹐網站內的各種程式元素、數據庫連接程式及方法往往直接影響安全性,一般情況下除非企業願意聘用數十名編程人員進行針對性測試外,否則每個網站的更新速度絕對趕不上惡意攻擊技術的發展;所以即使是大型的企業網站,被黑客成功入侵亦是時有發生的事情。
現時,黑客可採取多種手段進行攻擊,包括破壞網站、盜取資料及拒絕服務。這些惡意活動不但令企業聲譽和誠信受損,更重要是當客戶的敏感資料被盜取時,例如信用卡號碼,便會涉及昂貴的訴訟費。
網絡應用程式安全面臨的挑戰
保護網絡應用程式的困難之處在於其透明的結構和動態。網絡安全相對簡單,只需制定安全政策以允許/封鎖來往不同網絡或伺服器的特定流量,然而應用程式的結構涉及數百,有時甚至數千個不同元素,包括 URL、參數及 cookies,要為每個項目度身創建不同政策幾乎不可能,也明顯地難以推行。此外,隨著新的 URL 及參數增加,網絡應用程式變化頻密,令安全管理人員難以更新安全策略。
公司可以運用正確的工具和過程抵禦這些攻擊。來自 Fortinet 的專家便建議採用以下三項方案管理網絡應用程式安全:
安全代碼習慣及代碼評估
作為發展週期的程序之一,安全地開拓網絡應用程式及落實安全的代碼習慣,對開拓應用程式工作十分重要。代碼一旦啟用,應該由團隊以外的第三方獨立進行評估。
應用程式應該由人手或透過自動化應用程式漏洞檢測工具進行評估,找出存在的漏洞。透過特定的應用程式穿透測試,可以進一步跟進重點應用程式。
網路應用程式防火牆(WAF)有助機構偵測並封鎖應用層攻擊。除了常用的網絡安全方案外,該防火牆亦不可或缺,因為傳統防火牆負責偵測網絡攻擊,檢查網絡協議並連接小型應用認知。
今天,WAF 產品出現眾多變化。例如防火牆已可在單一平台上結合 WAF 與 XML 防火牆功能,加上數個附加組件如漏洞掃瞄、加速應用程式及伺服器負載均衡;通過運用多層保安方法,能封鎖複雜的攻擊。根據雙向流量分析和嵌入式行為檢測引擎,這些方案更可抵禦廣泛類型的威脅,毋須重新設定網絡架構及改變應用程式。
