根據調查顯示,企業面對的資訊科技風險,除了源於系統日趨複雜,業務環境經常改變,就是來自網上駭客的攻擊。針對系統保安帶來的風險,HP(惠普)推出了HP Application Security Center方案,幫助系統人員堵塞漏洞,以防範於未然。
HP委託經濟學人信息部 (Economist Intelligence Unit,EIU)進行了一項全球性調查,訪問了過千名以美州、歐洲、中東及亞太區為基地的資訊科技專業人員,調查他們對目前及未來有關資訊科技風險的看法。其中在香港進行的調查顯示,四成以上受訪者認為,最有效降低IT業務風險方法,乃建立更周全的應用方案及數據保安。另一方面,調查中有關整體投放於應用保安的員工比例(overall security team involved with application security)一項,香港錄得受訪者回應,卻為整個亞洲區中最低的,僅為百份之七。
HP網絡保安研究部經理Billy Hoffman就報告的結果指出,香港整體對資訊科技層面的保安意識偏低,百份之五十七受訪者更表示,現時仍會採人手方式,檢查應用的保安漏洞,Hoffman形容這種作業方式「不切實際」。資訊科技對企業的重要性和使用率越來越高,以有限的人力,找尋如恆河沙數的系統和應用漏洞,效率之低,可想而知。
此外,他亦表示即使是網上資料搜尋功能,也可對企業構成威脅。以往入侵電腦需具備一定的專業知識。現時一些電腦駭客,竟把系統和應用漏洞,或入侵電腦方法,放到網上公諸同好,系統被入侵的危機因此大為增加。
此外,許多企業非常大意,重要資料竟存放外間能夠予取予攜的檔案位置。Hoffman即場示範,隨便通過網絡的搜尋器,只消輸入關鍵字眼,就能輕易取得一些敏感內容,包括載有銀行帳戶或護照號碼文件檔。
根據網絡應用程式保安聯盟(Web Application Security Consortium)調查顯示,現時為了盜取個人資料、買賣資料的網絡襲擊,佔網絡入侵行為總數四成以上。綜合調查報告,以及以上似拙實巧、千奇百怪的漏洞,Hoffman認為對症下藥,安裝切合實際情況的保安檢查系統,才是最佳解決辦法。
Hoffman表示,HP就保安漏洞風險推出了HP Application Security Center,協助企業發現、復修及預防網絡應用的保安漏洞,提高現有系統應用的安全性。Hoffman指出,現時許多企業架構,均沒有清晰劃分應用保安,應由那些部門負責,HP Application Security Center 的升級版,具備了協助資訊科技部門改善協作功能,矯正現時軟件開發、質檢、操作及系統保安之間,各自為政和缺乏溝通的情況,減少因誤解造成的漏洞。
Hoffman表示, HP Application Security Center包括Devlnspect,QAInspect和WebInspect三部份。DevInspect的使用對象主要為開發人員,提供結合靜態及動態分析的混合分析方法,協助偵察系統和應用內的漏洞,並在建立保安代碼時,提供更清晰的建議及指引,可同時支援Microsoft Visual Studio 2008、Visual Studio 2005及Eclipse開發環境。
另外為品質保證團隊(quality assurance teams) 設計的HP QAInspect,能夠分段處理及整合不同程式的軟件缺陷(defect),就影響業務的風險程度,篩選和排序缺陷,並將相關保安缺陷資訊,知會開發軟件、品質保證、操作及系統保安等應用生命週期團隊(application lifecycle team)的負責人,測試和解決潛在保安問題。
HP WebInspect則為保安專家而設計的工具,能掃描駭客最常用攻擊網站保安漏洞(包括跨站腳本及SQL injection),改善網站設計精確性,加快對保安缺陷作出修正。
Hoffman表示HP在二OO七年收購SPI Dynamics後,一直持續擴充研究應用保安、升級產品及發展新服務;包括成立HP 網絡保安研究小組(HP Web Security Research Group),為HP Application Security Center增加及更新檢測各種互聯網應用;包括開放源碼的 Apache Web Server 以及社交網站MySpace外掛程式(plug-in)漏洞。Web 2.0應用發展迅速,研究小組亦逐步為Asynchronous JavaScript、XML (AJAX)、Adobe Flash, Microsoft Silverlight 等Web 2.0技術研發相應的保安解決方案。
沒有留言:
發佈留言