Web應(yīng)用程序也許是目前整個(gè)IT世界中最流行的事物,但根據(jù)最近的一份報(bào)告,它們也可能是企業(yè)最大的敵人。
由美國系統(tǒng)網(wǎng)絡(luò)安全協(xié)會(huì)(SANS Institute)這家安全培訓(xùn)組織發(fā)布的年度報(bào)告顯示,缺乏適當(dāng)保護(hù)的Web應(yīng)用程序,連同掉進(jìn)釣魚攻擊等網(wǎng)絡(luò)陷阱的員工,對(duì)企業(yè)的IT安全造成了新的威脅。
這個(gè)消息是一個(gè)嚴(yán)重的警示,可能會(huì)讓一直努力增強(qiáng)系統(tǒng)、程序和設(shè)備安全性的IT安全專家們感到震驚。不斷涌現(xiàn)的Web工具需要額外的安全防護(hù),但在許多情況下,安全軟件廠商們還沒有研究出有效的防護(hù)手段。
這些新的安全威脅會(huì)給CIO和IT經(jīng)理們帶來更大的壓力,因?yàn)樵絹碓蕉嗟钠髽I(yè)都在建造或購買基于Web的應(yīng)用程序,想借此增加效率和協(xié)作并降低成本。
根據(jù)SANS的這份報(bào)告,網(wǎng)絡(luò)黑客們一直在尋找各種Web應(yīng)用程序中的安全漏洞,以便讓相連的計(jì)算機(jī)受到病毒感染,或是從未經(jīng)保護(hù)的計(jì)算機(jī)上竊取數(shù)據(jù)。這些漏洞經(jīng)常是由于軟件開發(fā)者編寫的錯(cuò)誤代碼造成的。為了抵抗這些威脅,SANS推薦了一些專門用于Web工具的防火墻和掃描工具。
SANS還報(bào)告說,經(jīng)常有“容易上當(dāng)”的企業(yè)員工掉進(jìn)了電子郵件騙局中,他們未經(jīng)核實(shí)就按照郵件中的指示去做,從而讓黑客入侵到企業(yè)的IT系統(tǒng)中。這些釣魚式欺詐郵件可能是為了獲取他人的銀行賬戶和密碼,或是為了竊取敏感的客戶或企業(yè)數(shù)據(jù)。
SANS敦促企業(yè)對(duì)員工進(jìn)行安全測試,其中一種方法是向員工發(fā)送無害的釣魚電子郵件,如果他們上當(dāng)受騙,就暫時(shí)取消他們?cè)L問企業(yè)IT系統(tǒng)的權(quán)利。SANS還推薦對(duì)員工展開培訓(xùn)并實(shí)施系統(tǒng)監(jiān)控。
