大部分網絡攻擊事件,均以盜取個人資料為目標,然後將資料放在網上肆意買賣。受害者輕則收到不明來歷推銷電話,不勝其煩;重則是信用卡資料遭盜用,引致財務損失。
根據Vanson Bourne調查顯示,全球1,000名資訊科技專業人士之中;八成表示創作應用程式的保安,全靠保安團隊負責;其中超過7成表示,產生網頁應用程式過程中,不會與負責應用保安的同事,共同監察程式的漏洞。
HP軟件技術顧問唐燕嫦表示,製造應用程式過程中,開發及品質保證(QA)人員,最容易忽略保安風險,以至遺留難以解決的保安漏洞,最後讓駭客通過網頁予取予攜,輕易盜取客戶資料。HP研發的HP Application Security Center的保安方案,包括DevInspect、QAInspect、以及WebInspect三項軟件,專為抵禦網絡應用程式的威脅。
提早解決保安漏洞 避免問題滾存
HP整個保安方案貫穿了研發、品質保證、產品評估三個製造網絡應用程式的必經階段。
開發人員為程式編碼時,DevInspect在這個階段已經掃描分析,檢查保安漏洞,並且在轉送QA之前解決漏洞,避免問題滾存。
雖然已經在轉往QA前,已先行處理研發層面浮現漏洞,QAInspect仍會協助QA人員在符合保安標準的情況下,進行不同形式品質檢定,模擬客戶使用程序,確保在各種情況下,均可運作正常。
WebInspect偵出網頁內所有連結
網站的資料存取一般來比較危險,但一般人都只在安全設定上防範,如防火牆、DMZ、限制網站登入者身分等。例如,發生SQL注入(SQL injection)漏洞的主因,是開發人員撰寫網頁應用程式之際,貪圖方便依循慣性的寫法,缺乏防衛 SQL 語言及資料庫管理系統的認識,結果資料庫大開中門,駭客可以乘虛而入。
因此,HP的保安方案最後一個階段是WebInspect,協助保安人員以高效率,掃描常見的保安漏洞,如SQL注入及XXS。
WebInspect可以迅速偵測網頁內每一條連結,列出隱藏漏洞,並提供相關解決的指引,內附不同行業網絡安全守則,協助保安組人員,在符合政府安全規定的情況下,製定網頁應用程式。
HP網絡保安研究小組
為確保企業有效防範日新月異的威脅,HP組成網絡保安研究小組,不斷為HP Application Security Center就網頁應用程式更新檢測;包括Apache及MySpace plug-in的嚴重漏洞,全新檢測可於24小時內,為客戶進行自動更新。
Application Security Center 協助資訊保安人員,免受潛在保安問題困擾,為客戶全面測試服務及應用程式,縮短推出市場前的保安測試所須時間。
沒有留言:
發佈留言