反黑客任務

Sohaib Athar是巴基斯坦一名普通的IT人士，因為無意中對美國反擊本.拉登進行了微博直播，一夜之間成為了網絡名人。他沒想到出名帶來的后果：一個黑客在Athar的博客上安裝了惡意軟件，他上百萬的新訪客和潛在訪客都可能成為惡意軟件的受害者。

商業網站——從小企業到商業巨頭的網站——正遭受到越來越多的網絡安全攻擊。對商業網站來說，他們必須學習在一個新的、日益丑惡的世界里做生意。

即使是掌握豐富資源和強大團隊的企業也可能被攻擊。今年早些時候，黑客盜取了至少70萬索尼PlayStation網絡用戶的信用卡信息和個人資料。RSA——馬薩諸塞州一家網絡安全公司，為超過90%的世界500強企業提供網絡安全服務，它也由于公司安裝的某些軟件中的隱藏缺陷，而被黑客攻擊。

索尼預計在2010-2011財年凈虧損達到32億美元，其中一個原因就是受黑客襲擊。RSA也遭受了信任危機，它曾經被看做無懈可擊的安全產品正不斷被質疑。

這些攻擊的核心是一種新的商業安全風險。網絡罪犯不僅利用市場上商業電腦硬件和軟件的弱點，現在，他們也越來越多地利用公司網站上定制的商業應用程序里隱藏的缺陷。這些應用程序的漏洞有著怪異但是聽起來無害的名字，如SQL注解和腳本錯誤等。但他們不是無害的，他們對公司以及公司客戶都有著極大的潛在破壞性。

Jeff Williams，安全顧問和開放式Web應用程序安全項目（美國馬里蘭州哥倫比亞地區一個非營利的應用程序安全協會項目）的主席說：“不僅是商用硬件和軟件受到攻擊，越來越多的，由某個公司編寫的自定義應用程序也受到攻擊。”

對企業來說，這意味著下載并安裝最新版本的操作系統、軟件和安全工具不再足夠。現在企業面臨著艱巨的任務：測試、人工分析代碼和估計網站整體風險水平——公司的網站上定制的應用程序幾乎總有漏洞。這些自定義應用程序包括任何自定義編碼的、開放源代碼的程序，比如公司網頁、博客訂閱、商家賬戶、購物工具、內容管理系統和營銷應用程序等。

對于很多企業，最少要對幾萬行代碼進行檢查和風險分析。如果發現關鍵信息有泄漏風險，必須立即修復漏洞，不然就必須把應用程序從網站上拿下。

“我們應當意識到，保證應用程序的安全性相當困難，”Justin Clarke——紐約一家網絡安全公司Gotham數碼科技的主管說：“但我們不能什么也不做，網絡罪犯不關心你的企業，他們的攻擊是為了得到客戶的信息。”

保證應用程序的安全性也不便宜。提供應用程序安全服務的專業人士都是軟件界的高薪精英。網絡安全服務外包起價高達每小時幾百美元，應用程序安全維護軟件的價格可達到七位數，另外，每年的維護費也達到買價的10%～15%。也難怪大公司每年在應用程序安全服務上的預算高達數百萬美元。

對于較小的企業來說，也有希望改善自定義應用程序的安全性。一種新的基于Web的應用程序安全性服務已經向規模較小的企業開放，但這些工具不是像諾頓殺毒那樣便宜。公司預計花費至少要達到每年15000美元，或者更多——如果他們至少有一個網站，這樣才能保證更高的安全性。這個價格意味著有些企業只能任風險存在。但對于法律、醫療或政府網站，數據丟失可能導致民事和刑事處罰，他們沒有選擇余地，只能支付巨額保證應用程序的安全性。

如何提高應用程序的安全性呢？花錢讓別人解決該問題，這樣，除了知道您正采取步驟來保護您的業務和客戶，在出現問題時，也有了第三方共同承擔責任。萬一出現安全漏洞，您雇傭的公司也需要承擔相應責任。

采用第三方服務并不簡單，最好在您能力范圍內聘請資金充足、有優秀人才儲備的組織機構。亞馬遜的靈活支付服務和PayPal是網上結賬合作伙伴不錯的選擇。他們都資金雄厚，有幾十年提供安全更新服務的經驗。谷歌和微軟提供優良的托管式網絡服務，并為小企業提供多種類型的安全產品。ADP、Intuit和Paychex公司提供安全的薪酬支付和商業系統，有為大公司提供應用程序安全服務的良好記錄。

另外不要忘了您的博客和社交媒體——您與客戶互動的地方通常安全隱患很高。許多專家認為，谷歌Blogger和WordPress的托管網絡應用程序為小企業提供了良好、安全的服務資源。

“我堅決支持盡可能多的外包，”Bill Pennington（加州圣克拉拉一家為大中型企業提供安全風險分析的公司WhiteHat Security的首席戰略官）說：“大型網絡服務公司投資數十億美元保證網絡安全，這對小公司來說是不可能的。”無論您采用何種外包解決方案，您必須確保在您可控的地方存儲公司備份數據。如果有任何問題，您至少不會損失公司數據。

Philippe Courtot，公司董事長兼首席執行官說：“我們希望為所有企業提供最優質的應用程序安全服務，只需要稍微培訓，即使是最小的企業也能運行。”但是如果它提供了你根本看不懂、或者看懂了還是不知道如何采取行動的結果，不要太驚訝。

掃描工具只是安全難題中的一環，您將需要抽出時間專門研究如何運行。當然，這可能使小公司陷入困境——你是否應當對安全問題投入資源？最好是采訪一些應用程序安全顧問，以評估應用程序安全是否對公司的安全構成威脅，然后決定您是否可以承受不處理風險的后果。

現在來講最困難的部分是——如何選擇一個應用程序安全顧問。聘請一個應用程序安全的專業人士是復雜、昂貴、坦白來說有些煩人的問題。很多時候，安全專家有良好的意圖，也努力工作。但是，像許多高薪顧問一樣，他們往往難以管理，并認為他們在公司系統之外或系統之上工作。您的應用程序安全性專家顧問很可能與軟件開發人員發生沖突，因為他很可能會對您的軟件開發人員指手劃腳。

尋找合適的顧問很棘手。一個明智的方式是從一個非營利性安全組織的地方分會入手，比如開放式Web應用程序安全項目。選擇一個在您的軟件類型內有良好記錄的安全專家。如果您能找到一個特定領域的研究專家就更好了。此外，像雇用他人一樣，您也可以向自動化工具的專家要求推薦信，他們中很多人與當地經銷商有主動轉介服務等關系。

因此，你需要研究相應的方案和預算。但是，正如選擇醫生一樣，你也需要應用程序的安全專家第二甚至第三個備用。隨著網絡迅速成為一個虛擬的狂野大西部，你需要集合所有的應用程序安全部隊。

_譯/萬婧