資訊安全新知分享
NEITHNET 資安實驗室
資訊安全,最隱蔽也最顯眼的戰爭。
沒有一瞬停止攻防,在外部的攻擊者虎視眈眈,或偷或搶或騙,無所不用其極的達到目的,防禦方面當然也不會落後,設立關卡驗證或監控,築起了資安城牆,保護重要資產。
內部風險的隱患,開發方便性潛藏的危機
漸漸廣為認知的短板理論,讓企業除了基本的監控鞏固外,開始重視人員資訊安全認知的提升,選擇從第一線的基層開始著手,除了遵循法令法規要求,也會透過公司政策宣導、資安教育課程與資安事件演練等方式,提升整體的資安防禦力量。
看起來正逐步邁向更完善的防禦機制,提升了短板高度,卻忘了內部風險不只存在於無知,更容易被輕忽的地方是『方便』。在系統開發過程中,會為了快速、省時、方便一切從簡。像是順手設置admin簡單密碼、留個後門或是用開發工具進行開發等。這些看似方便快捷的行為,暗藏了許多潛在的威脅,包括:
● 程式碼漏洞
● 配置錯誤
● 依賴第三方工具的安全性問題
別在外圍設下層層屏障,內裡卻能隨意遊走,能四通八達,這樣的話,一旦被進入那就等同赤裸狀態,最嚴重狀況下任何東西都守不住。
整合開發環境IntelliJ存在重大漏洞,恐曝露GitHub存取憑證
為此開始重視開發環境保護、開發工具的維護。將正式系統與測試進行切割,注意在開發工具版本的更迭。但從頭落實也更佳全面的是『安全開發』。
Fortinet 實踐資安資訊公開透明承諾,呼籲重視安全產品開發流程
安全系統發展週期
從頭導入的確會增加成本與時間,但更貼合企業對於資安的需求,提前修補漏洞減少後期修補的可能,長遠的來看不只能降低開發成本並提升效率,更能把企業整體資安完善的更加周全。
別讓自己的產品成為資安危機。
想了解更多產品資訊,請連至官網https://www.neithnet.com/zh/,或直接與NEITHNET資安專家聯繫:info@neithnet.com