近期的 NAGW(National Association of Government Web Professionals)会议让笔者收获颇深。该会议旨在通过聚集来自联邦/州/地方市政府网络专家来探讨可能存在的领域内机构、教育以及合作。而通过本次会议,笔者不仅了解到了政府在相关方面的动作,整个行业内网络安全所面对的一些挑战同样被重新定义。

网站安全中的两个关键挑战

不管行业现状如何,在谈论网站安全问题时人们总会反复提起以下几点:

  • 所有权不明晰

  • 理解和知识的匮乏

  • 事后影响认识不足

网络安全威胁定义

有趣的是,对网站安全最大的威胁却和技术、攻击演变、服务器环境、开发习惯、开源等或任何介于这之间的因素都没太大关系。真正的威胁更多地来自网络的思维方式,这不仅仅指的是网络用户,还有那些部署和管理这些环境的人。

就笔者来看,问题围绕在简单却又异常复杂的两点:

  • 教育和认识

  • 站点管理员,或缺少管理员

教育和认识

最大的挑战来自于基本的教育和认识,这也是最令人头疼的。

让人惊讶的是,你可能会认为这对非技术人员来说是显而易见的,但事实并非如此。作为技术人员,我们常常开玩笑不管自己取得了多大成就,对于家人来说我们总是一个 IT 小子。有趣的是,即使是技术人员,我们同样也会对彼此抱有刻板印象。

“哦,你是干开发的?太好了,你能帮我修一下我的服务器吗?”

“哦,你是做设计的?太好了,你能帮我搭建一个网站吗?”

“哦,你是一个系统管理员?酷!你能帮我设计一个网站吗?”

将这些放在我们常常对那些不懂技术工作人员的抱怨中,你马上就能找到相似点。搞笑的是,这对系统安全环境一隅同样适用。

“哦,你是负责安全的?酷,你能看看我的代码里面有什么漏洞吗?”

最让人悲伤的便是,人们在某些权衡中总是会做出错误的决定,而这样产生的影响往往会重度影响到用户。虽然我讨厌这个比喻,但是它的反复出现真的让我的整个灵魂很受伤。

“我不需要汽车保险。倒霉,我刚撞上了车祸。”

然而我并不能对这种心态感到太过沮丧,因为我自己曾对很多事情抱有甚至可能仍然抱有同样的观念:“我应该考虑到”但是很少…

因此,最大的挑战也就现身了,你该如何去做培养?对一个迅速恶化的问题你又该如何提高认识呢?

最近谷歌发布了被入侵网站现状

2015 年迄今为止被入侵的网站数量增加了 180%。虽然由于术语“入侵( hacked )”定义繁多,让该增长百分比显得有一点含糊,也许对该术语分类处理后结果(例如:恶意软件分配、搜索引擎优化垃圾、网络钓鱼等等)会更多,但这仍然是一个很有意思的数据。

网站安全知识匮乏可以理解,但更让人担忧的是忧患意识和所有权意识的缺乏。

“嘿,内容/网站经理,你是怎样管理网络安全的?”“不知道,这不属于我的部门业务,IT团队处理这些问题。”

“好,我能理解这种情绪。那让我和IT组的同学聊一聊..”

“嘿,IT组的同学们,你们是怎么管理网站安全的? 这不是我们的业务,你去找找网站/内容团队吧。”

这听起来是不是有点耳熟?应该是的,因为在几乎所有的行业中我一次又一次地听到。这也是为什么糟糕演员会不停获胜的原因。可悲的事实是,所有域名组织都面临着资源短缺的问题,这既体现在技术方面也体现在资金方面。虽然对组织来说线上呈现很重要,但对于该线上资产的安全性却并没有多少关注,至少在问题出现前是如此。

站点管理员,或是没有站点管理员…

我仍然觉得仅次于教育和认识最大的问题存在于网站管理这块短板上,这同时被我的客户和不同的读者每天证实着。可悲的是,同样的问题困扰着所有的行业,从小型企业到大型企业再到联邦和州立组织莫不是如此。

我的一些朋友取笑我使用网址管理员(网管)这一术语。他们说这很像 1990,而网站拥有者并不是这样。我认为不论他们观点如何,他们并不将自己视为站点管理员,而与他们打交道你必须知道他们对自己的身份认识。

“如果它走起路来和说起话来都像一只鸭子,那么有可能它就是一只鸭子。”

从市场和销售的视角,我能明白这个观点和背后的情绪,但这并不意味着我不觉得这让人很生气。正是这种观念让网站最终倒闭。它不断地宣传自身的行为和行动最终在某个折衷之后不得不面对上门道歉。我很同情组织机构不得不面对的挣扎。

每天都有新的事情需要去做,作为组织他们必须不断工作以便能在不断进化的行业中保持领先优势。这时你发现没人愿意担事儿,并在卸掉某个责任后长舒一口气。但是,我们不能忘记的这么做并不意味这我们就撇开了所有权,我们必须装备它要求的技能,尤其是知识,来保护它。尤其是在你管理的这些东西可能会直接代表你的受众和品牌,并对它们有可能产生负面影响的时候。

如果你是那个挺身而出的可怜人,我赞扬你,但是你必须明白类似“那不是我的责任”的回答是不可接受的。如果你接受了这个职位,那么(网站)所有权就是你的,不管你愿意与否。每天我都看见这一点对全世界网站拥有者的毁灭性的影响。没有比必须独立承担起机构利益损失和品牌损害更糟的感觉了,最糟的是由于你的网站遭木马入侵导致别人财务凭证被盗而失去了一生的积蓄。

网站所有者责任重大

一个人管理网站很容易让人想到的仅仅是推送内容、更新设计或是其他任何相关的单调工作。相信我,我知道这里面的痛苦。直到现在,我和我的合伙人仍旧是最后检查推送到我们财产上的代码的两个人。的确,我们的工作被简化了,因为我们已经拥有了一个很好的安全文化,这使得事情对于我们容易多了,但这正意味着在该过程很重要。

除了网站的实际管理外,真正的重担应该更多地放在我们的网站对整体互联网的影响。网站仍是各种恶意软件的主要攻击对象,虽然有人可能会说桌面和手机应用正开始迅速地占领网站的主导地位。

网站面对的受众是所有的人,从国家总统,到政府官员和家庭,到在遍布世界的企业单位工作的每个人。生活在一个不断进化的互联世界,我们和它打着交道,因此使这份体验尽可能地安全是每个人义不容辞的责任。

原文地址:http://perezbox.com/2015/09/two-critical-challenges-facing-website-security/

如今,多样化的攻击手段层出不穷,传统安全解决方案越来越难以应对网络安全攻击。OneRASP 实时应用自我保护技术,可以为软件产品提供精准的实时保护,使其免受漏洞所累。想阅读更多技术文章,请访问 OneAPM 官方技术博客

本文转自 OneAPM 官方博客