一个漏洞就致企业破产:网站安全 “渗透”一下

2018-06-07 15:18 国际在线

打印 放大 缩小

互联网空间中,企业面临的安全威胁纷繁复杂。但真正的危险,是企业本以为自身足够安全,殊不知威胁早已深入内部,伺机而动。

历年来,黑客利用漏洞入侵系统对企业造成过巨大损失:

曾经全球最大的比特币交易平台Mt.Gox,由于系统漏洞遭到黑客攻击,85万个价值5亿美元的比特币被盗一空,全球超过30万比特币投资者损失惨重,平台血本无归宣布破产。

位于纽约的轻博客网站Tumblr超6500万邮箱账号密码曾遭泄露,事实上该泄露事件早在2013年就开始持续发酵,但直到2016年Tumblr才发现了漏洞所在。

美国三大信用局之一的Equifax数据库在去年9月遭到攻击,1.43亿用户的敏感数据受到安全威胁。而攻击者利用的Apache Struts漏洞早已被公布于众,但Equifax却没有做到有效的安全防护。

任何形式的攻防对抗,最重要的就是掌握主动权。随着行业发展和企业安全意识的提高,以漏洞扫描、渗透测试为代表的安全服务正在得到更多的认可。借助上述服务,可以先于黑客发现系统安全隐患,提前部署好防御措施,以保证系统各环节在未来能经得起挑战。

知道创宇云防御平台2.0推出的安全服务——漏洞扫描,即是企业信息安全体系建设第一步,通过漏洞扫描和持续监控来发现网站的安全隐患,对系统进行风险测评。该服务支持系统漏洞扫描和web漏洞扫描,含括上千种检测策略和多种网站服务器架构。

同时还可为客户提供资产探测服务,通过主动进行网络主机探测、端口扫描、硬件特性及版本信息检测等,发现无主资产、僵尸资产,让企业充分了解网络设备、安全设备、数据库等的安全信息,对资产进行全生命周期的管理。

仔细定位和量化系统的所有漏洞,还需要进一步尝试对漏洞进行攻击利用、提权以及维持对目标系统的控制权,知道创宇云防御平台2.0另一安全服务——渗透测试应运而生。

首先,安全专家会进行漏洞挖掘,通过模拟黑客攻击对业务系统进行安全性测试,发掘应用中影响业务正常运行、导致敏感信息泄露、造成现金和信誉损失的等的漏洞。

渗透测试的目的是防御,发现漏洞后,安全专家针对漏洞产生的原因进行分析,提出修复建议,以防御恶意攻击者的进攻。

漏洞修复后,安全专家会对修复方案和结果进行有效性评估,分析修复方案的有损打击和误打击风险,验证漏洞修复结果。

知道创宇安全专家对此介绍,通过漏洞扫描和渗透测试,企业用户可以从攻击角度了解系统是否存在隐性漏洞和安全风险。自动化的漏洞扫描帮助企业在全资产范围内进行排查,类似于周期性的全面杀毒。而针对性更强的渗透测试,可以对信息系统的安全性得到深刻的认知,尤其是新品上线或系统有重大更新时做渗透,有助于进一步健全安全建设体系。

也正是因为系统及Web漏洞造成的众多安全隐患,《网络安全法》要求,关键信息基础设施运营商应当自行或委托网络安全服务机构对其网络安全性和可能存在的风险每年至少进行一次检测评估,并将检测评估情况和改进措施报送相关负责关键信息基础设施安全保护工作的部门。

同时在PCI DSS(支付卡行业安全标准)中,要求至少每年在基础架构或应用程序有任何重大升级或修改后都需要执行内部和外部基于应用层和网络层的渗透测试。

银监会颁发的多项监管指引中也明确指出,对金融系统的安全策略、内控制度、风险管理、系统安全等方面需要进行渗透测试和管控能力的考察与评价。

“除了满足政策的合规性要求、提高客户的操作安全性或满足业务合作伙伴的需求,安全服务的最终目标,应该是最大限度地减小业务风险。”知道创宇安全服务专家说道。

目前,知道创宇的漏洞扫描和渗透测试已经服务了互联网金融、电商、教育等几百家企业,经过专业安全人员测试加固后的系统将更加稳定安全,测试后的报告也可以帮助管理人员进行更好的项目决策,更好地验证经过安全保护后的网络是否真实达到了预期安全目标。

责任编辑:闫冬(QT0005)