所有人都说云因速度而闻名,但在云安全方面却评价很低。在涉及到完全时,软件质量专业人士如何确保他们测试的应用已经云就绪?
我一直对云持怀疑态度。可能是因为我常常在基于云的应用中找到令不快的安全缺陷。而恰恰是这些应用因为“完美的”SSAE 16审计报告而常常存储在数据中心中。不要让销售人员知道我告诉了你们这个:实际上,“安全托管供应商”不会自动转换到安全应用上。
移动威胁如何?
你可能还想专心致志于OWASP的移动企业十大安全漏洞列表。
最近的新闻表明,云供应商要处理另外一个安全问题,当涉及到国家安全局使用卑劣的手段得到他们想的信息时。营销和监督之外,软件质量专业人员需要继续(或开始)沿着小路走,这条路已经被证明有助于支撑软件的安全漏洞。
事实证明轻易就得到是最根本的缺陷,研究一次又一次伯表明这一缺陷是应用安全问题的根源所在。在这里Pareto定律的应用很好:20%的漏洞创造80%的问题。这正是你需要关注的地方。
OWASP的2013年十大项目是一个很好的学习地方。一旦你修复了常见的应用漏洞,且准备好解答云安全相关的问题时,那么你就更近一步地跟上了威胁的步伐,并先的调查者几步,甚至先于你的竞争对手。
有一件事你需要记于心中,那就是这些之中的一些web相关的安全利用需要,或者至少是帮助了易受攻击的主机来访问你的应用(如,Java、Adobe系统,及相关的浏览器端的利用)。因为有人在负责软件质量的安全,所以你不能控制方程式的另一端,但你至少可以尽你最大的努力,来确保你的应用相当地安全,而且不要这个问题出现。
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
作者
Kevin Beaver是一名优秀的信息安全顾问与作者。拥有超过17年的IT工作经验,擅长做信息安全评估。Beaver已经写了五本书,包括《Hacking For Dummies》《Hacking Wireless Networks For Dummies》《The Practical Guide to HIPAA Privacy and Security Compliance》等。
相关推荐
-
看“风水反转”技术如何危害云安全
在安全领域中的相关专业人员都应该知道的是,当后果和影响足够严重时, 比较有利的一种做法就是将当前环境保持在趋势模型中相对不会发生的场景中。
-
预防对云应用的勒索软件威胁:备份、安全工具来帮忙
赎金费用——已从IT界中很少见的小概率事件发展成为企业用户面临不断增长的巨大威胁。勒索软件只使用攻击者拥有的密钥进行文件加密,这使得受害企业无法破解之。
-
Netskope报告显示:云勒索软件日益猖獗
在最新的云季度报告中,Netskope报告云上发现的43.7%的恶意软件都携带着勒索软件,并且由Netskope监控的10家企业中就有一家在云应用里发现了被勒索软件感染的文件。
-
克服云安全挑战:专家五个提示
云计算给业界带来了许多的利好——包括可扩展性、弹性以及成本降低,但是有部分企业仍然对放弃内部部署系统而使用公共云持谨慎态度。