目前,对黑客而言,操作系统日益难以实施攻击,这主要是由于厂商或开发者对有漏洞的代码能够更好更快地打补丁。现在,第三方的应用成为企业遭受损害的主要媒介。 在运行第三方的软件时,不管这些软件是外包的、开源的,还是现成的商品化软件,企业都必须保持警惕。根据以往的案例,大多数被利用的漏洞都属于第三方软件。
调查显示,运行在企业中的多数应用程序都来自第三方,但很少有企业会去部署控制来评估这些应用的安全性。 残酷的现实要求企业必须采取行之有效的措施来减轻第三方应用带来的风险: 首先要测试这些应用。企业IT要制定标准,使第三方应用既要满足公司标准,同时又满足合规需求。然后,再与合伙人和厂商合作测试这些应用程序……
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
目前,对黑客而言,操作系统日益难以实施攻击,这主要是由于厂商或开发者对有漏洞的代码能够更好更快地打补丁。现在,第三方的应用成为企业遭受损害的主要媒介。
在运行第三方的软件时,不管这些软件是外包的、开源的,还是现成的商品化软件,企业都必须保持警惕。根据以往的案例,大多数被利用的漏洞都属于第三方软件。调查显示,运行在企业中的多数应用程序都来自第三方,但很少有企业会去部署控制来评估这些应用的安全性。
残酷的现实要求企业必须采取行之有效的措施来减轻第三方应用带来的风险:
首先要测试这些应用。企业IT要制定标准,使第三方应用既要满足公司标准,同时又满足合规需求。然后,再与合伙人和厂商合作测试这些应用程序。有些权威评测机构(如,中国信息安全测评中心、中国软件评测中心)也可以评估、扫描和自动或手动测试这种代码。
其次,使打补丁过程正式化。以前,不少企业非常重视给Windows等操作系统打补丁,对第三方应用的安全检查和安全补丁的重视程度却远远不够。如今,市场上有不少可以为第三方应用集中地、自动地打补丁的工具,企业不妨利用这种工具使打补丁过程正式化,区分补丁的优先次序,确保所有漏洞都能够及时地得到修补。
第三,要问开发商。对第三方软件的管理至关重要。企业IT可以就安全标准和测试问题来询问第三方开发者。还要构建一种成熟的策略,要求第三方开发者同意遵循企业的策略和指南。
第四,注意合规警告。有一些规范和行业要求(其中就包括大名鼎鼎的PCI DSS3.0)非常重视第三方的安全。这些规范和行业指南对企业如何安全地使用第三方应用提出的建议和措施,值得企业去思考和实施。
企业使用的第三方应用影响着企业的形象和品牌。如果攻击者利用了某个第三方应用的一个漏洞,攻击了公司的服务器并窃取了敏感数据,那么企业将会遭受由此带来的高昂成本,其中包括严重的商誉损失。所以,企业在采用第三应用时,必须高度关注安全问题。
相关推荐
-
微软公司提供IE浏览器零日“双杀”漏洞补丁
微软公司2018年五月份的周二补丁日提供了IE浏览器零日漏洞补丁修复,该漏洞上个月已经被外部攻击者利用。(译注 […]
-
2018:自动化攻击加剧,拿什么来保障安全最后一公里?
自动化攻击的新趋势,给2018年企业的安全防护带来了前所未有的巨大挑战。对于越来越智能、呈现自主决策和军团化的自动化攻击,企业需要重新审视现有的安全防御响应系统,来保障最后一公里的安全。
-
Google Docs钓鱼攻击是如何运作的?
Google Docs钓鱼攻击使用OAuth令牌,影响了超过一百万Gmail用户。在本文中,专家Nick Lewis解释了它是如何运作的,以及如何防御这种攻击。
-
SEC数据泄露事故可导致非法股票交易
日前,美国证券交易委员会(SEC)承认,其2016年发生的数据泄露事故(此前并未公开)可能已经产生了比之前想象的更为严重的影响……