随着企业数字化转型的深入,越来越多的业务应用系统被部署到互联网平台上,这吸引了网络犯罪团伙的强烈关注,以Web攻击为代表的应用层安全威胁开始凸显。通过利用网站系统和Web服务程序的安全漏洞,攻击者可以轻松获取企业Web应用系统及服务器设备的控制权限,从而进行网页篡改、数据窃取等破坏活动,严重损害企业的业务发展。
保障Web应用安全已经成为行业普遍认知。但研究人员发现,目前很多企业对Web应用安全防护还存在许多认知误区,这随时可能引发严重的安全问题和事故。
我们只是普通的企业组织,我们的Web应用系统不会被攻击。
真相:大多数网络攻击是自动化的、没有特定目标的,因此每个企业都可能成为攻击者的目标。
不管是大型企业,还是中小企业用户,普遍都认为坏事只会发生在其他机构。许多组织抱着侥幸心理,以为自己不会受到网络攻击,因此无需操心Web应用程序安全。但事实是,现在的网络攻击大都是由有组织的犯罪团伙发起,它们每天都在全球网络上进行自动攻击嗅探,一旦机器人程序发现了可被利用的安全漏洞(比如Log4Shell),其所在的企业就在劫难逃。每个企业都应该为防范Web应用攻击做好充分的准备和预案。
部署WAF就可以阻止针对Web应用系统的攻击。
真相:WAF并不能成为Web应用系统防御的唯一防线,攻击者会专门针对WAF寻找相应的绕过策略。
部署Web应用防火墙(WAF)就能够保证Web应用安全是目前最常见的认知误区之一。WAF可以被看成是Web版的网络防火墙,它可以过滤HTTP流量以检测并阻止可能存在的攻击企图。WAF还常常用作负载均衡系统,提供额外的应用安全能力,对于临时阻止突然爆发的零日漏洞很有价值。然而,它们却很难检测出所有可能的攻击,只要系统中存在未被发现的安全漏洞,攻击者就有可能会找到绕过WAF 规则的方法。
企业网站已经使用了HTTPS协议,因此Web应用系统是安全的。
真相:HTTPS只保护用户数据免受窃取和篡改,却无法防范恶意流量等威胁。
应用HTTPS表示所有Web应用流量都经过加密,这是防止中间人攻击的关键最佳实践,但却无法防范攻击者已经建立有效连接的应用程序级攻击。比如说,如果攻击者可以在易受攻击的纯HTTPS应用程序中访问或创建有效的用户账户,他们就可以随意尝试SQL注入、权限提升及其他攻击,而这一切都是在安全加密的连接中进行。
如果Web应用系统仅在企业内部网络上运行就是安全的。
真相:网络攻击者可以通过受攻击的Web服务器系统间接攻击Web应用程序,即使在内部网络中也是如此。
很多人会错误认为,没有连接互联网的内网Web应用系统就是安全的,不会受到基于Web的网络攻击。实际上,攻击者可以利用服务器端请求伪造(SSRF)之类的漏洞,以某一台被攻陷的服务器为跳板,攻击企业内网上的应用系统。特别是在云优先环境下,许多组织不再拥有完全物理隔离的内部网络,只有私有云部署的应用方式,这是另一种Web应用的安全隐患。
只允许通过VPN访问的Web应用系统是安全的。
真相:VPN是保护互联网隐私的强大工具,但不是保护Web应用安全的完整解决方案。
远程工作模式大行其道,虚拟专用网(VPN)已变成企业普遍使用的远程访问工具。尽管VPN确实提供了额外的隔离和访问控制,就像内部网络一样,但不应该将VPN视为Web应用系统的安全凭证。如果攻击者设法访问了 VPN(比如使用被盗的凭据、泄露的员工账户或某种社会工程伎俩),任何Web应用程序都可能很容易受到攻击。
浏览器内置的攻击防护机制可以保障应用安全。
真相:浏览器安全机制是应用程序安全防护的补充,但却无法取而代之。
大概十年前,因为跨站脚本漏洞的盛行,浏览器服务商尝试将XSS过滤器直接嵌入到浏览器中,这误导了一大批企业用户:新一代浏览器可以对Web应用程序进行安全防护。但实践表明,这种保护措施的效果非常有限,并且已从很多高版本浏览器中删除。实际上,浏览器安全是网络安全领域一个完全独立又至关重要的方面,永远不应依赖浏览器作为应用程序的额外防线。相反,Web开发者应竭力遵循公认的行业标准和规范,让浏览器能够正确地处理和呈现应用程序。
Web应用系统有备份,即使发生安全事件也可以快速恢复。
真相:备份对于数据存储和保持业务连续性很重要,但却无法减轻数据泄密造成的间接破坏和损失。
备份一直是企业整体安全策略的关键组成部分,拥有良好的备份和可靠的恢复方案是无可替代的。但是备份只能防止数据丢失和损坏,却无法帮助企业避免网络攻击产生的其他灾难性后果(系统停运、商业秘密泄露和品牌商誉损失等)。因此,备份是Web应用安全防护计划中不可或缺的部分,但企业在确保应用系统安全性方面的要求与随时准备数据恢复一样重要。
Web应用的开发框架是安全可靠的,因此应用系统也是安全的。
真相:高质量的开发框架可以防止许多安全漏洞,但仅靠框架还远远不够。
Web应用框架和模块库已彻底改变了Web应用系统的开发方式,提供了构建生产级站点和应用程序的基础,会大大节约应用开发的时间和资源。选择一种安全可靠的框架固然是重要的,因为它可以帮助企业避免很多类型的技术漏洞,特别是跨站脚本(XSS)类型的漏洞。但即使开发人员严格按照规范,Web开发框架不能识别所有应用场景下的漏洞,因此,使用可靠的Web开发框架只是安全编程的基础。
应用发布前已经在集成开发环境(IDE)中进行了安全检查,所以是安全的。
真相:静态代码安全检查只是确保整体应用程序安全性的手段之一。
新一代Web开发工具通常会集成代码安全检查工具,有时甚至作为免费插件。应用这种工具的好处是,可以提升开发人员的安全意识,减少人为错误导致的安全隐患。但这些工具也有其应用局限性,只能识别有限的问题,并且容易出现误报,将真正的警报淹没。虽然为IDE增添面向安全的检查工具有利于规避Web应用的安全问题,但需要认识到,它只是确保应用程序安全的众多手段之一,通过全部静态安全检查并不能保证应用程序的绝对安全,还有很多地方可能出岔子。
Web应用安全防护不是开发团队的工作。
真相:保障应用程序安全是现代Web应用开发的重要组成部分,特别是应用开发安全运营(DevSecOps)模式后更是如此。
由于应用需求的提升,导致Web应用系统变得更加复杂,保护Web的应用安全与每个人息息相关,并从开发阶段就启动安全策略。有效地发现安全漏洞并及时处理修复请求,对于避免发生严重的安全事件和节省安全防护资源至关重要。
筑牢安全防线:安企神企业助力特种设备机械企业数据防泄密解决方案
西安苛菲特机械设备有限公司 西安苛菲特机械设备有限公司致力于特种设备的发展,专业从事特种设备的研发、制造和销售。目前已成为有色冶金特种设备、大型船舶特种设备、煤化工特种设备的领军品牌,并在业内得到了“ 特种设备专家”的称号。公司以打造国内一流特种设备为使命,主要产品定型为高品质特种(高温、高压、高合金)流量控...
安企神软件——为中国铁道建筑集团有限公司筑牢数据防泄密系统
01公司介绍中国铁建是中国乃至全球最具实力、最具规模的特大型综合建设集团之一,入选世界500强企业、全球225家最大承包商之一等荣誉。公司以工程承包为主业,集勘察、设计、投融资、施工、设备安装、工程监理、技术咨询、外经外贸于一体,经营业务遍及除台湾省外全国31个省市(自治区)、世界20多个国家和地区,企业总资产820亿...
强化终端安全,安企神软件与涂料制造企业共创安全未来
西安经建油漆有限责任公司规模化、专业化、现代化涂料制造企业西安经建油漆有限责任公司,年涂料生产能力20万吨,为中国中西部实力较强、产能较大的涂料制造企业。公司成立伊始便积极承担起重点建设项目及国防军事工业、航空航天工业提供配套涂料科研开发及生产任务。多次受到中国航天科技集团总公司的通令嘉奖,为我国航天事业跻身世界前列做...
全球著名减震器制造商——天纳克携手安企神共筑安全制造新防线
天纳克(北京)汽车减振器有限公司天纳克(北京)汽车减振器有限公司成立于1995年,是天纳克在中国最早投资的合资企业。公司集设计、开发、生产及销售汽车减振器于一身。作为天纳克全球网络的一部分,能充分享受天纳克全球的技术积累经验和国际领先的设计理念,加之先进的生产设备和工艺技术。天纳克(北京)汽车减振器有限公司完全能保证为...
强强联合!安企神软件携手瀚颐共筑汽车行业终端安全防线
瀚颐上海汽车电子科技有限公司EAST瀚颐中国团队成立于2015年。是国际AUTOSAR软件联盟的研发伙伴单位。具备汽车电子硬件设计、软件开发、CAN网络集成、系统集成测试以及项目管理的全面研发能力。专注于汽车电子以及相关产业并拥有25年以上的专业经验,拥有来自于德国和中国业内专家和高管组成的顾问团队,并向全球汽车行业客...