美国东部时间7月15日(北京时间7月16日)消息:许多公司都常常忽略一个主要的事实,那就是他们的网站通常都是其安全上的一个脆弱环节。
计算机安全学会(Computer Security Institute)本周发布了一项调查报告称,去年声称网站受到攻击的公司数量急剧增多。
计算机犯罪与安全调查是由计算机安全学会与联邦调查局驻旧金山市办公室的一个计算机侵入调查小组共同展开的,调查发现在被调查的公司中有95%的公司的网站在2004年遭到了10次以上的攻击,比2003年上涨了5%。美国各公司、政府机构、医疗机构和高等学府的700多名计算机安全从业者参加了这项调查。
专家称,网站受到攻击的公司数量的大幅度上升是由于许多公司都意识到他们的网站为攻击者们提供了一个窃取数据的门径。NT Objectives Inc.是一家安全应用和软件公司,其负责业务发展的副总裁Erik Caso说:“我们发现网站受到攻击的公司数量发生了很大的变化,这并不因为没有发生网站攻击现象,而是因为人们没有意识到攻击者可以直接通过前门(网站)窃取信息。”
各公司虽然在防火墙、入侵侦测系统和其他的保护其网络的技术方面做了大量的投资,但是大部分公司都忽略了一个事实,即公开的网站已经为罪犯窃取敏感数据提供了足够的信息。黑客们只需要控制了公司的网址或者cookies,就可以进入系统在不触动任何警报的情况下窃取所有权信息。Caso说:“他们不用通过防火墙,只需要浏览公司网站就可以了。”
防火墙和入侵侦测系统在防止外来攻击者进入操作系统和电子邮件服务器方面非常有效,但是对于越过鉴别机制情况窃取数据的问题就无能为力了。Standard & Poor公司Capital IQ部是专门为财务公司提供市场数据和数据分析软件的一个机构,其首席安全官Ken Pfeil说,如果某个入侵者可以不受网站鉴别程序的检查,入侵侦测系统就没办法抓住他,而最后抓住他的时候又已经太晚了。他说,侦测系统可以记录下登陆失败尝试的数量,但是它没办法阻止一个粗制滥造的软件程序被攻击者利用来提供信息。
Capital IQ已经注意到,这类网站攻击事件正在增多,开始设计可以防止非授权登陆的软件程序。Pfeil说:“你需要使用一个强大的软件程序开发体系来应对各种攻击。”
Capital IQ的客户们,比如投资银行、顾问公司和法律事务所等,都将机密所有权信息存储在Capital IQ的系统中,并且使用Capital IQ的软件来管理关于合并、收购和其他大宗财经交易的相关数据。对于Capital IQ来说,最糟糕的情况就是被某人有意或者无意地进入了系统,获得了竞争对手公司的交易信息。为了避免那种情况的发生,Pfeil说:“我们将安全看作是软件开发生命周期的一个基础性的组成部分。”
