以信息传播的速度,人们很容易忘记互联网相对年轻。有了指数增长的潜力,首先是负面的预见,我们可以开始看到互联网在使用数据推动技术进步时的好处;和整个人类。
致力于漏洞分析、开发和研究的网络安全项目现在正与行业领导者和公司合作,例如 Cisco Talos、Google, 和 IBM 的目的是故意暴露设计缺陷。故意破坏软件的努力本质上是恶意和粗鲁的。然而,这些蓄意攻击提供了透明度,促进了潜在威胁的安全加强。在实践中,好人最好在坏人利用漏洞之前发现它。零日漏洞在公开披露之前提供给供应商,使开发人员有机会实施补丁。这个想法是共同努力,因为谷歌等公司与 GNU 项目等自由软件项目合作,为开源项目提供了一个改进的平台。
使用分析数据保护用户
开源项目主要由社区驱动,许多项目是成员开发和研究贡献的产物。Open Web Application Security Project,缩写为OWASP,是一个致力于Web应用程序安全的非盈利组织。提供 Web App 安全和分析数据,这个开源社区对服务器级别有更直接的影响。虽然像思科、谷歌和 IBM 这样的大公司处于最前沿,但像 OWASP 这样的项目已经使用 2017 年收集的数据编制了Web 应用程序中的十大安全风险。
顶级网络安全风险
- 注入:SQL、XML 解析器、操作系统命令、SMTP 标头注入型攻击显着增加——2017 年比 2016 年增长了 37%。代码注入攻击可以包括整个系统,完全控制。SQL 注入破坏了数据库,查询通常包含个人信息的最重要的组件。
- 身份验证:蛮力、字典、会话管理攻击随着单词列表不断膨胀,弱密码变得更容易受到字典攻击。避免设置不利于密码复杂性的特殊字符限制和最大长度值。成功的身份验证会生成具有空闲超时的随机会话 ID。
- 安全配置错误:未修补的缺陷、默认帐户、未受保护的文件/目录错误是几乎五分之一漏洞的核心。
- XML 外部实体:DDoS、XML 上传、使用 XML-RPC 的 URI 评估CMS,包括 WordPress 和 Drupal,容易受到远程入侵。有许多用于发送 DoS/DDoS 流量的pingback 攻击实例。在大多数情况下,可以完全删除 XML-RPC 文件。XML 处理器可以评估 URI,可以利用它来上传恶意内容。
- 日志记录和监控不足:防止不可挽回的数据泄漏需要意识。68% 的违规行为需要数月或更长时间才能被发现。日志记录和监控警报对于记录违规行为至关重要。
网络安全的未来
了解风险是最好的防御措施。在一个漏洞百出的世界网络中,为看似不可避免的攻击做好准备是最大的财富。毫无疑问,安全始于个人。大多数 IT 专业人士同意,相关课程应该是一项要求。漏洞会随着技术的进步而出现,作为一个社区,我们可以看到数据和分析在创新中的重要性。
