Ponemon研究所最新報告稱,65%的受訪者在過去一年遭遇了SQL注入攻擊,然而,很少有企業采取了一致的措施來阻止這種攻擊。我們外包了大量開發工作,仍然難以讓開發人員在質量保障(QA)過程中執行一致的審計代碼驗證。考慮到這一點,我們如何利用有限的資源來防止這些攻擊呢?
Nick Lewis:現在有很多可用的工具讓腳本小子用來廣泛掃描SQL注入(SQLi),如此看來,如果只有65%的受訪者遭遇了SQLi攻擊,那么,這說明35%的受訪者在其環境中沒有有效的監控來發現這些攻擊。換句換說,幾乎每個企業都是SQLi攻擊的目標。
當你外包開發工作時,你需要提出一些問題。首先,在與外包開發商的合同中是否有安全要求?這些外包開發商需要標準來遵循安全開發生命周期?他們是否對系統開發生命周期和如何安全地編碼接受過培訓?外包開發商對代碼中的漏洞是否承擔責任?如果這些問題的答案是否定的,那么,在未來合同中應該增加這些條款,并且,現有合同應該進行修訂來涵蓋這些條款。
除了外包和這些條款,企業還可以添加SQLi掃描儀或者攻擊工具來發現軟件開發過程質量保障周期中的SQLi漏洞,并提高安全性。
開放Web應用安全項目有一個SQLi抵御手冊來幫助企業和開發人員阻止攻擊。企業甚至可以使用腳本小子在其攻擊中使用的相同工具來發現潛在易受攻擊的代碼或應用。企業還可以執行靜態代碼分析來審計任何SQLi攻擊代碼。在這些代碼進入生產階段后,企業可以使用Web應用防火墻來阻止潛在SQLi攻擊,或者,利用入侵防御系統或防火墻中的功能來阻止攻擊。
