ddos防攻击_高防ddos如何打_免费试用-墨者安全-墨者盾
DDOS防御_CC防护_高防CDN服务器_【墨者安全】—墨者盾墨者盾—你的网站贴身保镖!

QQ:800185041
高防免费接入:400-0797-119

渠道合作:156 2527 6999

主页 > DDOS防御 > ddos防攻击_高防ddos如何打_免费试用

ddos防攻击_高防ddos如何打_免费试用

小墨安全管家 2021-05-05 05:25 DDOS防御 89 ℃
DDoS防御

ddos防攻击_高防ddos如何打_免费试用

Veracode Marketing最近对InfoSec的杰出人物举行了一次调查,询咨询他们"公司在应用程序安全方面犯的最大错误是啥?他们怎么解决?"我们特别兴奋向您介绍来自众多安全专家的回应,包括CSO杂志的Bill Brenner、451 Group的Andrew Hay、Tenable Network security的Jack Daniel和Veracode自个儿的Chris Wysopal。尽管我们所有的专家都有他们独特的观点,然而一些共同的主题浮上了,其中包括更仔细地对待应用程序安全性和致力于编程想法与非常手动测试的差不多思想。我们要谢谢所有参与调查的受访者,我们也欢迎您的方法-使用我们的评论区,告诉我们,"您以为公司今天犯下的最大错误是啥?"公司在应用程序安全性方面犯的最大错误是啥?他们怎么修复它?CISO集团的联合创始人兼执行合伙人Alan Shimel@ashimmy讲,尽管有点人大概会指出应用程序安全性方面的技术编码和开辟错误,但我的答案将保持简单。公司在应用程序安全性方面犯的最大错误是自满于以为世界是静态的。应用程序不像我们一样日子在一具静态的世界里。即使应用程序代码没有更改,也不意味着服务器、客户端或网络保持静态。在技术领域,补丁、升级和新设备不断浮上。仅仅因为你在第一次安装时检查了你的代码和应用程序,而你没有升级或更改它,这并不意味着它如今是安全的。你思量过防火墙规则集的变化吗?你正在使用的服务器操作系统的补丁呢?大概是治理程序更新?哪些客户端正在访咨询网站,或者他们使用的扫瞄器和扫瞄器版本怎么?有这么多变数在不断变化。太多的人以为应用程序安全测试是一次性的,或者惟独当你更新你的应用程序代码时才会做的情况,然而除了应用程序之外,还有更多的应用程序安全。我记得往常经常举行漏洞扫描被以为太多了。一年或两年最多一次是常态。今天,没有人会以为每年一次的漏洞测试是好的安全性。应用程序安全也是这样。即使你的应用程序前面有WAF或其他技术,你也需要定期测试和探测漏洞、可利用性和可访咨询性。一具使测试成为常规事件的应用程序安全程序是公司提高应用程序安全性的最佳挑选。不要沾沾自喜,也不要以为假如当时是安全的,如今是安全的!Andrew Hay,451 Research高级安全分析师,@andrewsmhay关于购买的COTS应用程序,我以为组织对交付的产品过于信任。大多数组织答应产品的表面价值,并以为供应商基本举行了脚够的尽职调查,以确保产品的安全性-我的意思是,谁会公布一具充满安全咨询题的产品仅仅是为了赚钞票?答案是,几乎所有的供应商。软件供应商从事的是赚钞票的行业,要做到这一点,他们必须承担一定的风险,以确保他们的产品可以及时投放市场。我们都希翼软件供应商希翼爱护他们的客户群,但实际上,大多数人不过想爱护他们向客户群销售今后产品的能力。不幸的是,大多数供应商将安全性(即bug、漏洞等)视为需要使用带外更新机制(如修补程序)或下一具要紧版本(固然,新特性和功能允许)来修复的咨询题。每个组织都应该测试在其环境中部署的新(和最近更新的)应用程序是否存在漏洞和潜在的漏洞,并怀疑供应商大概没有举行脚够的尽职调查来爱护自个儿的软件。Bill Brenner,CSO杂志的高级编辑,@BillBrenner70的公司在没有思量到安全隐患的事情下匆忙将应用推向市场。一具应用程序不过另一具要出售的产品,当有了钞票能够赚的时候,开辟者就没有时刻确保代码是铁定的,以防潜在的漏洞。所以,这些应用在市场上的安全漏洞最后来会被坏人发觉。解决方案是放慢生产过程,让开辟者从第一天起就在应用程序中建立安全性。我以为在这方面有没有朝着正确的方向进展?一点点。但还远远不够。可悲的是,大多数客户宁肯等待并拥有一具更安全的应用程序,而不愿快速访咨询一具让他们易受盗窃之害的应用程序。微软高级安全技术专家davidleblanc实际上有一组相关的咨询题,这取决于代码的年龄。假如一家公司有一具基本存在特别长时刻的旧代码库,这么特别大概代码不是使用现代编程实践构建的,DDoS防御,或者没有思量到安全性。假如您试图将安全性改造为旧代码,这将是艰难的-旧代码特别难重构,同时"只要使用标准模板库容器,如今错误将是安全崩溃"的建议实际上是不实际的,DDoS防御,除非您有时刻完全检查、重构和重新测试代码。第二个咨询题是思量将来能够思量安全性,这在新代码中更常见。人们在性能方面也会犯类似的错误——假如性能或安全咨询题是由深层次的设计缺陷造成的,这么修复它们将特别艰难。我发觉我通常会有时刻写一次东西,假如幸运的话能够重写一次——以为我将来会回来整理是不现实的。你大概不大概做所有你想做的安全工作-航运是一具功能,非常是在初创企业-但假如你至少思量安全,你更有大概幸免产生重大咨询题。第三个咨询题是缺乏教育——人们通常从学校出来就不懂任何对于安全的知识,在特别多地点他们也不能让它发挥作用。假如你想要最好的结果,每个团队中的一些人都需要花时刻了解安全怎么应用于他们的工作。假如你能负担得起的话,拥有一具核心团队来支持安全是特别好的,你需要专家来关心解决棘手的咨询题,然而当最接近代码的人思量安全性时,最好的结果就会浮上。可能最大的咨询题是想有啥奥妙的解决办法。所有你能够用来确保安全的系统和流程以及你大概运行的所有工具都特别好——它们都有关心。但这还不够。从长远来看,真正有效的是让那些关怀制造高质量产品的人,知道安全是质量的重要组成部分,并愿意为实现质量而努力工作。这算是为啥我用"编写可靠代码"来命名"编写安全代码"——可靠、强壮的代码通常是安全代码。可靠、安全的代码需要困难的工作,这才是真正的解决方案。Eoin Keary,OWASP全球副主席兼BCC风险问总监/CTO@EoinKeary缺乏开辟人员和利益相关者的意识,依赖单一的限时渗透测试来确保应用程序的安全是一具常见的大错误。开辟人员不需要成为安全专家,但假如他们懂可用的工具,我相信他们会编写更安全的代码。假如它不过调用一具编码API或执行负的单元测试,这么假如开辟人员和架构师在SDLC的早期就意识到了这一点,这么这并不是一具特别大的开销。假如已知威胁和潜在攻击,了解"外部"风险(不管是it客户端安全咨询题依旧传统服务器咨询题)软件设计和体系结构安全性将大大提高。从安全代码的角度来看,假如实现了一具修复程序,它能够减轻很多类漏洞。使用企业范围内的通用组件举行身份验证或数据验证等策略会带来丰厚回报。开辟人员只需在调用某些函数时使用组件/API即可。在某些事情下,他们甚至不需要懂缘由,但他们需要懂的不过去做。依赖单笔测试,用有限的测试窗口也是一具特别大的错误。它使应用程序的安全性即将处于不利地位。必须记住的是,攻击者只要需要破坏系统就能够了,而依赖单笔测试举行谨防是一种失败的游戏。我建议使用一种持续的监视想法,比如"应用程序雷达",它能够不断地扫描应用程序,并在发生更改时对其举行标记。这也有助于度量漏洞和代码更改的相关性。与单笔测试相比,延续监测加上稳健的SDLC是一种更可持续的想法。Guillaume Lovet,Fortinet Fortiguard EMEA研究主管,防DDoS,@GuillaumeLovet不一致的修补策略,假如他们有。我真的知道,打补丁的生产机器,非常是那些为客户提供服务的机器,不会总是急忙就完成的,而且必须首先在测试环境中确保补丁服务器的稳定性。但在这种事情下,您必须百分之百地确保爱护您的服务器的IPS系统可以阻挠任何大概利用该漏洞的攻击,该漏洞将由修补程序修复。易受攻击的应用程序大概不是公司信息系统的唯一入口点,然而思量到对已知漏洞举行攻击的免费和公共工具的可用性,CC防御,这大概是最简单的,也是攻击者大概首先尝试的想法。所以,经过使用IPS系统阻挠它,不仅能够防止攻击,而且还能够被告知您大概受到渗透尝试的阻碍,同时攻击者大概从如今开始尝试利用更复杂的攻击vec


DDoS防御

当前位置:主页 > DDOS防御 > ddos防攻击_高防ddos如何打_免费试用

标签列表
DDoS防御
网站分类
X
 

QQ客服

400-0797-119