软件开发中SSL是否足以实现云安全性?

网站是功能强大的应用程序,它依赖服务器和浏览器之间的双向信息流。例如:从登录,注册,财务交易,个人信息存储,用户的浏览习惯到对用户社交生活的洞察力等。所有这些操作都是为了向用户展示量身定制的特定内容。这是由Web应用程序实时动态完成的。
 
美国国家标准技术研究院将云计算定义为
能够在365天之内访问24/7的云中信息的可用性对于应用程序在企业内部和与企业一起工作至关重要。但是,将数据暴露给包含漏洞的应用程序具有相同的风险,由于其中使用过时的技术,可能存在一种漏洞,这使它们很容易受到具有已知漏洞的“ 组件 ”的攻击。”,这是OWASP发布的2013年OWASP十大攻击中的A9。同样,一旦客户操作系统在虚拟机管理程序上运行,而又不知道客户操作系统的依赖项(如果过时或与未修补的安全性组件一起运行),则将虚拟化用于云计算可能会带来误导用户信息的风险。会使系统易受攻击。从授予后门访问权限以运行远程过程调用。
在所有这些情况下,处理的大多数信息都是私人的和敏感的,因此隐私成为主要问题。作为Internet的一部分,Web应用程序同样是Intranet的一部分,以支持涉及使用特定于用户的数据的业务功能。例如 员工,客户,企业资源的业务详细信息,与服务器,工作站,虚拟机等其他企业资源的相互依赖性。
 
随着业务中的云解决方案被证明更加可靠和高效,被认为是企业内部资源的资源现在越来越多地托管到云中。随着云能够使用除PaaS和IaaS之外的面向服务的方法,它具有可扩展以满足用户需求,多租户等的能力。
 
云使用位置透明性模型来隐藏其服务和数据的位置。因此,供应商能够从云中的任何地方托管他们的服务。在这种情况下,组织可能会失去对信息的控制权,并且可能不了解在存储信息的远程位置上建立的适当安全机制。随着安全防御的完整性脱离组织的掌控,所有这些都可以使数据和体系结构中使用的技术对更广泛的潜在攻击透明。
尽管对组织进行了平等的数据收集和传输规定,并且通常要求组织在其地理范围内存储与一个国家的公民有关的数据,因为可以在遵守国家法规的情况下对其进行监管,因此组织必须遵循进行他们的“ 数据业务 ”。
 
因此,针对Web应用程序的最严重的攻击是利用敏感数据或对应用程序后端进行无限制访问的攻击。
大多数应用程序声明它们是安全的,因为它们使用SSL。
 
例:
 
“该站点旨在使用128位安全套接字层(SSL)技术。”
经常敦促用户根据其证书和使用的加密协议信任站点,以传输其个人信息。组织也越来越多地引用其对支付卡行业(PCI)标准的遵从性,以向用户保证其安全性。
 
例:
 
“该站点每天都会被扫描,以确保我们保持PCI标准并免受黑客攻击。”
但是,尽管SSL / TLS技术的广泛使用和常规PCI扫描的采用,大多数Internet应用程序还是不安全的,因此,它们通过自身在网络上进行漏洞检查来评估漏洞评估和渗透测试,以了解自己的漏洞。
 
ISO / IEC 27001:2013要求组织每年至少由2名认证审核员进行检查,以使企业的最终用户客户和服务提供商放心。
 
OWASP在调查的基础上每三年发布一次十大漏洞,该调查研究了对全球造成最大损害的攻击。具有优势的云也带来使用风险。针对Internet应用程序的大多数攻击都涉及将输入注入到经过精心设计的服务器中,从而导致某些事件发生,而这些事件是应用程序设计人员无法预期的。例如 服务器端的恶意代码注入,无论是SQL Injection还是XSS。
 
对于此应用程序,必须假定所有输入均可能是恶意的,并且必须采取措施以确保攻击者无法通过干扰逻辑和行为来使用精心设计的输入来破坏应用程序,从而导致未经授权访问功能上的数据和凭据。提交精心设计的输入以实现这些目标的示例包括:



 
更改在隐藏的HTML表单字段中传输的产品的价格
更改一些将由后端数据库处理的输入,以注入恶意数据库查询并访问敏感数据
修改HTTP Cookie中传输的会话令牌以劫持合法用户的会话
删除通常为了利用应用程序处理中的逻辑缺陷提交的某些参数
SSL不会阻止将精心设计的输入提交到服务器。如果应用程序使用SSL / TLS,则仅意味着网络上的其他用户无法查看或修改正在传输的攻击者的数据。因为攻击者可以通过他的SSL隧道发送任何内容。
如果可以利用未修补漏洞的任何攻击在服务器端起作用,都可能给整个企业带来巨大的损失。这种攻击的例子是“ 想哭的病毒这种攻击针对整个欧洲的医疗保健系统,因为它们运行的??Windows XP具有未利用的安全漏洞。Wanna-Cry最初创建是由于CIA丢失了软件源代码,而CIA一直将其保留为间谍软件,然后由某些黑客将其制作为病毒。最近,华硕供应链面临类似的攻击,但是这次攻击仅针对27种(不确定!)基于MAC id的设备。
 
18215660330
179001057@qq.com