现在,企业如果不重视安全问题,那么黑客攻击或感染恶意代码就有可能导致“一夜回到解放前”。最近,勒索软件(Ransomware)正在急速扩散。过去只要将感染恶意代码的PC终端断开网络,备份文件后格式化或杀毒即可。但勒索软件对PC终端的所有重要文件加密后,我们无法解密,甚至会对具有写权限的所有网络共享文件造成危害。积攒数十年的公司资产可能一瞬间就化为乌有,令公司难以为继。我们需要动员所有安全领域的监测力量,研究这个恶意代码是通过什么路径进行渗透的。另外,还必须监测/拦截外部试图入侵的众多攻击。安全是公司经营中必不可少的项目。以前那种遭到网络攻击后一带而过的时代已经结束了,包括安全负责人在内的所有员工都应当逐步开展安全工作。
有人提出这样的观点:学习新技术能够获取更大的利益,学习安全方面的知识却未必会带来经济价值。对于“学习安全方面的知识未必会带来经济价值”,我是有不同意见的。无论哪个领域,仅满足于公司月薪的话,那么其价值也不过就是公司年薪而已。国外很多国家都鼓励举办黑客大赛并积极推进人才培养计划,政府也给予很多投资。从事安全工作的人应当灵活运用这些资源,通过多种活动将市场中的价值变为自身价值。
测试:怎样判断一个应用是否安全?
与我们诊断Web服务时使用的方法一样,在诊断Web服务时,同时检查服务器和终端PC中发生的变化,从而找出漏洞。此时可以参考OWASP TOP 10或SANS发布的诊断指南,或各机构发布的指南。
在移动应用诊断时,诊断的则是服务器和移动终端中发生的变化。OWASP TOP 10也发布了检查项目,可以对照参考进行测试。而金融界需要保护的用户资产数据很多,应当安装并重点检查应用安全解决方案。
用户:自身如何保护移动安全
作为一个Android用户和一个程序员,我在考虑移动安全时,总使用与用户终端PC一样的方法。终端PC中,为了不感染恶意代码,我们要拒绝访问可疑网站,不安装可疑文件。移动环境也是如此,尤其不要下载可疑文件,也不要安装贴吧中附带的应用(APK)。另外,应当安装可信赖的杀毒软件进行预防。
小编推荐阅读