依據市場專家指出,應用程式資安市場正逐漸成熟。不只資安預算逐年增加,像是IBM、Oracle與RSA等重量級公司相繼投入市場,NIST(National Institute of Standards and Technology)這類政府機構也提出了相關指引,確認了資安市場的重要性。許多資安從業者發現,要將注意每日例行的防駭治療資訊,轉移為涓滴成塔的預防手段,並不是件容易的事。線上安全評估服務可協助我們達到事倍功半的效果。
Forrester機構最近訪談180家美國與英國公司,顯示62%的公司去年曾發生軟體資安事件,只有34%的公司回應他們的軟體開發考慮到資訊安全。
當企業開始進行應用軟體更新時(patching),Tenable Network Security公司的首席科學家Marcus Ranum曾大聲疾呼:「我早就告訴過你這些問題了!」。他說道:「我們花了15年才知道只更新軟體是沒有用的。」
例如,銀行業、軍方、金融服務業這類高資安需求行業,資安推動的腳步相當的慢。許多擔任資安管理人早期需為資安經費搞的焦頭爛額,而這是業界公認最頭痛的「資安問題」。
Forrester的研究顯示,2009年組織可動用的資安經費增加。麻省的劍橋地區1000家公司的企業資安預算顯示:2008-2009年間的IT部門資安預算,從2007年的7.2%,到2008年的11.7%,到2009年上升至12.6%。
一項由Robert Half Technology針對超過1400位資訊長的調查顯示,43%受訪者回覆資安為公司願意進行投資的首要項目。金融服務業與運輸業也有相同的回應,分別是59%與58%。
數個引領業界重新思考資安重要性的重點:
Ranum並非是唯一認為業界應該要找另一種解決方法的人。Fortify產品策略主管Jon Gettinger也認為,應用程式安全作為無法完全阻擋外來的威脅,但可以從軟體自己防堵這些漏洞。
他說道:「具有前瞻眼光的資安人員,瞭解他們無法抵禦所有來自外界無所不在的威脅(由外而內),但是可以控制自己的軟體防堵這些弱點(由內而外)。我們現在討論的是弱點,而非威脅,因為駭客可以有好幾百種攻擊單一弱點的方法,而且手法日新月異。」
這就是為什麼我們必須使用簡單又有效率的方法指出軟體弱點,讓公司可以進行弱點風險分類,修復弱點,並提早進行預防措施。依據這些專家的經驗,公司可依自己的環境,並搭配以下三項建議:
現在,能在軟體開發階段就能用更經濟的方式測試軟體。線上(On-demand)掃瞄可提供無法購買工具的公司資安服務。這代表公司掃瞄頻率可以更為頻繁,而資安團隊可以更瞭解應用程式的弱點。
Ranum認為工具的安全分析資訊足以提供你掌握駭客的手法。他補充,「在測試過程中,我們提供寶貴的資安資訊。與其棄之不用,不如以這些資料建構更好的應用程式,預防漏洞更勝於事後防堵。」
伴隨著資安市場逐漸成熟,這些「由內而外」的資安手段正逐漸證明是有效且有用,可消弭風險的方法。但是資安從業人員利用線上安全評估服務將依賴兩大因素:公司的規模與能力,還有資安未來預防攻擊手段的成熟速度。
Barbara Morris 為自由專欄作家,現居住於紐約市。