第三方应用已经成为了大量企业的必需品,根据CloudLock CyberLab发布的2016年第二季度的网络安全报告,过去两年,第三方应用的使用量已经增加了30倍。殊不知,这样看似平常的做法其实隐含着大量的安全隐患,第三方的应用实际上已经成为了企业遭受损害的主要媒介。
第三方应用隐患重大
实际上不仅仅是企业,所有的第三方应用普遍都存在着安全风险。安全厂商Secunia就曾发布报告指出,甲骨文Java、QuickTime、Adobe Reader这些应用成为了名列前茅的安全威胁,漏洞的源头中,47%是针对第三方软件。这主要是因为操作系统的安全性逐步提升,而第三方应用又无处不在,因此,黑客更容易攻击第三方应用程序。这也是为什么Adobe Flash、Java这样的应用程序屡屡爆出漏洞,被当作病毒的传播渠道。
企业环境中的风险个人用户如此,企业用户更是这样。从企业管理者的角度来说,总是希望能够减少开支,尤其是当前形势下,经济不景气,企业希望减少支出,把有限的精力放在提高竞争力上。然而,企业往往都会忽略其中的安全风险。
举例来说,有很多应用用到了OAuth的认证技术,这种认证技术的好处在于不需要用户输入密码,就能够允许应用进行大量操作。但是,一旦使用了OAuth,就意味着应用能够访问到企业数据,它可以查看、删除、转移、存储数据。但即便使用了OAuth认证仍然不代表完全安全,OAuth的认证可以通过绑定劫持、授权劫持、越权访问等手法进行攻击,这样,企业的机密隐私在黑客的攻击下荡然无存。
大量地使用第三方应用实际上就是把对安全的控制权交给了这些第三方厂商。一旦第三方厂商被攻击,或者某些第三方厂商别有用心发布恶意应用,企业都难以防范。
根据CloudLock的报告,平均每家企业会使用733个第三方应用,这些应用都是接入到企业环境的。其中高校、科技和媒体行业使用的第三方应用数量名列前茅。而这些应用中,27%都是高危应用。
很多企业不但使用了不安全的第三方程序,还缺少其他安全措施,对其中的风险一无所知。
Computing公司对英国一些企业的第三方应用使用情况进行了调查,结果令人堪忧。
使用未经授权的软件不仅会使企业自身面临法律风险,且会为企业的信息安全埋下隐患。未经授权的软件使用比率越高,遭受恶意软件的侵害就越严重。大多数恶意软件都会给用户的网络安全带来威胁,进而导致重要数据丢失、外部恶意攻击和系统故障等。Computing调查了企业对于内部使用的都是经过授权的软件有多少信心,结果显示,将近半数的受访者没有充分信心内部使用的都是经过授权的软件。
及时为第三方应用打上补丁又是另一道安全防线,很多程序漏洞被发现后,厂商会立刻打上补丁,以免危害进一步扩大。然而许多企业并没有及时安装补丁,有些反而避免在第一时间安装。当被问及为何不及时打上补丁时,很多企业认为,测试和验证需要时间,也有人把此归咎于资源和补丁管理工具的不及时,还有一部分认为,立即部署所有的补丁会对业务造成影响。
安全须知
由此看来,使用第三方应用对企业的安全具有很大的隐患,但完全不使用第三方应用是不现实的,怎样合理正确地使用第三方程序才是关键:
首先,企业要对这些软件进行测试,不仅要测试软件能否满足需求,还需要测试软件是否足够安全,评估它们的安全风险。
其次,使用第三方软件时,要及时打上补丁。可以使用软件自带的更新功能,也可以使用第三方更新程序及时更新这些软件,确保漏洞及时修复。
第三,要问开发商。对第三方软件的管理至关重要。企业IT可以就安全标准和测试问题来询问第三方开发者。还要构建一种成熟的策略,要求第三方开发者同意遵循企业的策略和指南。
第四,注意合规警告。有一些规范和行业要求(其中就包括大名鼎鼎的PCI DSS3.0)非常重视第三方的安全。这些规范和行业指南对企业如何安全地使用第三方应用提出的建议和措施,值得企业去思考和实施。
安全对企业来说至关重要,它守护着企业的业务、数据安全甚至用户的隐私,而第三方应用在企业又被广泛使用,因此,怎样合理安全地使用第三方应用,了解其中的安全隐患,是每个企业必须学习的一课。
*参考来源: CloudLock & Lumension & BSA & Rising ,FB小编Sphinx编译,转载请注明来自CodeSec.Net