dlc

  • 《我的世界》推出《吃豆人》40周年DLC 再现街机经典

    经典游戏《吃豆人》迎来40周年,《我的世界》为庆祝这一时刻,在游戏中推出了“吃豆人”DLC,先来看一下相关宣传片。

    游戏快讯 2020年5月23日 103
  • 《黑手党3:终极版》预告片泄露 所有DLC将免费提供

      今日2K Games将公布关于《黑手党:三部曲》的新细节,现在《黑手党3:终极版》预告已经在网上泄露。

    游戏快讯 2020年5月20日 42
  • 《欧陆风云4》DLC“君主”发售日公布!已开启预售

      《欧陆风云4》最新DLC“君主”已经上架Steam并开启预售,国区售价70元,DLC“君主”预计将于2020年6月9日正式发售。

    游戏快讯 2020年5月15日 47
  • CSS,分享

    CSS(Cascading Style Sheet,层叠样式表)定义如何显示HTML元素。 每个CSS样式由两个组成部分:选择器和声明。声明又包括属性和属性值。…

  • 软件安全十诫(下)企业安全分享!

    上一篇:软件安全十诫(上)

    不应该将软件安全活动仅限于技术SDLC活动,尤其是渗透测试。你当然应该利用渗透测试的优势,但你需要了解它的局限性。主要的限制是经济方面:当你在内部系统(或者即将出货的系统)中发现一个安全问题,解决问题将变得非常昂贵。你要解决你所发现的问题,对吗?这里需要注意的是,软件安全不仅仅是充斥着各种漏洞以及攻击者威胁的技术问题。当然你需要做大量适当的技术操作,但永远不要忘记将这些操作直接联系到业务影响和风险管理。你正在修复开发器以确保开发人员在最开始制造更少的安全漏洞吗?你正在构建安全的中间件解决方案以供开发人员和架构师使用吗?你正在测量安全活动,并内部公开相关结果吗?你应该这样做。这也是BSIMM涵盖的范围广于架构师、开发人员和测试人员的工作范围的原因。我们询问了很多企业有关提出、创建和部署安全软件的一切数据,我们记录了这些数据,并产生了BSIMM。我们与跨多个垂直行业的各种规模的几十家公司(包括软件供应商)的持续接触都表明,一个涵盖政策、风险、合规、管理、衡量、运营、服务水平协议以及相关条目的软件安全计划除了设计、编码和测试中所有重要关键的因素,他们认为是这些业务流程以及他们产生的文化和环境对生产和维护安全软件至关重要。    为你的SSG发展和培养软件安全专家(因为周围没有足够的合格的专家)。最佳软件安全组成员是软件安全人员,但软件安全人员往往找不到。如果你必须从头开始创建软件安全类型,从开发人员开始,教他们安全知识。不要试图从网络安全人员开始–教他们关于软件、编译器、SDLC、漏洞追踪和软件界的一切知识。再多的传统安全知识也无法克服软件的“木讷”。应该像种树一样,从播种开始,逐渐将其培育成参天大树。当你开始这样做时,你应该尝试培养“瑞士军刀”类型的专家,而不是重视每分钟的专家。我一直期待找到可以审查代码、做一些渗透测试,以及能够解决安全问题的人。    关注来自业务、运营和事件响应人员的情报信息,并相应地调整SSI控制。安全是一个过程,而不是一个产品。软件安全更是如此。你可以构建世界上最好的代码,具有超级“防弹”架构,但在操作过程中仍然可能发生问题。使用你经历过(以及你的同行经历过)的安全攻击来提高你的软件安全方法,并根据业务重要性来进行调整。尽可能地了解你的敌人。    仔细追踪你的数据,知道数据的位置,无论你的架构多么云计算化。云时代已经来临,你的数据将被转移到云中。请了解清楚,你不能将软件安全责任外包给你的云供应商。你的客户还依赖你来保护他们的数据,在某些情况下,政府还会监管这种责任。云计算的弊端在于应用在云端运行。现在正确地构建,能让以后的日子更轻松   不要单纯地依靠安全特性与功能来构建安全软件,因为安全是整个系统的新兴资产,它依赖于正确地建立和整合所有部分。无论我们说多少次,开发人员、架构师和建造者仍然将安全作为一件事情。他们接受的多年的培训都是将系统认为是特性和功能集,这是我们需要克服的。不要陷入“神奇加密神话”的陷阱。加密当然是有用的,一些系统仍将需要加密功能,但安全是一个系统级属性。聪明的攻击者很少会试图攻破加密功能,他们往往会攻击系统其它晦涩部分的漏洞。当你在选择和部署安全功能时,请确保你花了尽可能多的实践来试图消除漏洞和问题。即使是具有良好加密、强大的身份验证、细粒度授权、费解的CAPTCHA以及很多其他完美编码的安全功能的软件,都可能遭受攻击。这些功能通常会阻止授权用户做已知的不好的事情。但他们很少阻止未经授权的用户做未知的不好的事情。你需要一个软件安全计划来为整个产品组合有效且高效地构建安全软件。    你应该修复已识别的软件问题:漏洞和缺陷。这很讨厌,但在实践中,软件安全就是这样的。你聘请一些洗心革面的黑客来进行渗透测试,你知道他们已经洗心革面了,因为他们是这样告诉你的。在你让他们从外部探测你的系统的一周内,他们就找出六个安全漏洞,然而,他们可能只会告诉你其中的五个漏洞。你修复了两个看似可修复的漏洞,然后宣布胜利。但其他四个漏洞呢?简单地说,如果你将所有精力花费在通过架构风险分析、代码审查和渗透测试来找出软件中的问题,而不花时间修复你找出的漏洞,你的软件将变得更加不安全。修复软件吧!当然,修复漏洞是一个风险管理活动,没有哪个公司有无限的资金投入其中。因此,企业应该根据影响、成本和其他重要业务因素,来优先漏洞修复顺序。然而,极少数企业会追踪每个没有被修复的漏洞。10个低严重漏洞会变成中级严重漏洞吗?那100个?1000个漏洞呢?此外,极少数企业会关联来自多个测试方法的研究结果,而是在每个测试后,独立作出决定。分别来自架构评估、静态分析、模糊技术以及渗透测试的低严重性漏洞相结合,会成为紧急漏洞吗?我也不知道,但企业应该考虑这个问题。修复软件可能更容易。    有关描述性模型的规范性建议    最终,你需要确定和采用你自己的规范性SSDL方法,然后使用描述性的测量系统来跟踪进度。我们的建议是使用BSIMM来测量你的软件安全计划的当前状态,确定你应该开始着手的其他软件安全活动。如果你的企业确定需要投资的领域之一与SDL中的一个做法相匹配(举例来说),你可以利用微软对此的智慧来做。    鉴于多年来我们一直在观察51家公司的真正的软件安全计划,我们可以自信地说,如果你的软件安全计划没有每年进行改善,你将落后于其他公司。我们知道,每个软件安全计划都是独一无二的,就像所有其他软件安全计划一样,你的同样也是独特的。幸运的是,无论你为软件安全采取哪种规范性方法,BSIMM都可以作为测量标杆、灵感源泉以及是否进步的客观测量标准

  • 软件安全十诫(上)企业安全分享!

    2012年9月发布的《在成熟模型中构建安全》(BSIMM)的第四版本被媒体大肆宣传,BSIMM4包含对英特尔和富达案件的详细的案例分析。笔者认为BSIMM的重要性在于—它是唯一可用于衡量软件安全计划的数据驱动模型。BSIMM从事实出发,详细描述软件安全状态。   但BSIMM没有提供直接的建议来指导你的公司如何处理软件安全问题。诚然,绝大多数企业才刚刚开始面对软件安全,他们将受益于多年(集体)直接经验的可操作性指导。   根据在该行业多年的经验以及四年解译BSIMM数据的经验,笔者提出了软件安全十诫。   软件安全十诫:规范性指导   0.你应该通过软件安全组(SSG)来建立软件安全计划(SSI)。   1.你应该依赖采用BSIMM的风险管理和客观测量来定义SSI的成功来确定SSI的成功,而不是“前十名列表”和漏洞数量。   2.你应该与企业高管沟通,直接将SSI的成功与业务价值联系,并与公司的竞争对手作比较。   3.你应该创建和采用SSDL方法,如微软SDL或者Cigital Touchpoints,这些方法整合了安全控制(包括架构风险分析、代码审查和渗透测试)以及比他们自己运行的工具还更了解软件安全的人员。   4.你不应该将软件安全活动仅限于技术SDLC活动,尤其是渗透测试。   5.你应该为你的SSG发展培养软件安全专家(因为周围没有足够的合格专家)。   6.你应该关注来自业务、运营和事件响应人员的情报信息,并相应地调整SSI控制。   7.你应该仔细追踪你的数据,并指导数据的位置,无论你的架构多么云计算化。   8.你不能单纯地依靠安全特性与功能来构建安全的软件,因为安全是整个系统的新兴资产,它依赖于正确地建立和整合所有部分。   9.你应该修复已识别的软件问题:漏洞和缺陷    通过软件安全组(SSG)来建立软件安全计划(SSI)。BSIMM的51家企业都有一个活跃的软件安全组。如果没有软件安全组,是不太可能建立可行的软件安全计划(迄今为止,在该领域没有出现过例外),所以,在你开始软件安全活动前,创建一个软件安全组。软件安全组有各种规模和形态,所有好的软件安全组都应该包含具有深度编码经验的人和具有架构经验的人。代码审查是非常重要的最佳实践,而执行代码审查,你必须完全理解代码(更不用说大量的安全漏洞)。然而,最佳代码审查人员有时候是非常糟糕的软件架构师,要求他们执行架构风险分析只会让他们一片茫然。请确保你的软件安全组中有架构人员以及代码人员。渗透测试同样如此,渗透测试需要以聪明的方式入侵事物(但通常不具有深度编码技能)。最后,软件安全组将需要对数百名开发人员进行培训和指导,并直接与他们合作。沟通能力、教学能力以及良好的咨询都是必备技能,至少对于部分软件安全组工作人员而言。   依赖采用BSIMM的风险管理和客观测量来定义SSI的成功,而不是“前十名名单”和漏洞数量。太多软件安全专业人士将软件安全视为“打地鼠”式的漏洞查找。企业应该意识到,发现漏洞并不没有创建安全的软件,也不能以此与管理层沟通。事实上,面对不断扩大的安全问题清单,只会让高层管理人员感到更加沮丧。如果你将所有时间花费在查找漏洞上,而不花时间来修复这些漏洞,这根本是徒劳无功。同样地,如果你花时间来修复安全漏洞,但又反复发现同样的漏洞,这仍然是徒劳。幸运的是,BSIMM为软件安全计划提供了一个极好的测量标杆。你可以将你的软件安全计划中的活动与同行进行对比,以确定你是遥遥领先、排在中间,还是最后(不要让自己沦为倒数)。BSIMM测量提供了对软件安全计划的详细快照,这让高层管理人员很容易理解。一些领先的企业使用BSIMM测量来追踪进展情况,并为设置软件安全计划战略提供真实的数据。对于你的企业而言,需要何种程度的软件安全性?这个问题问得好。所幸的是,一些你的同行可能知道。   与企业高管沟通时,直接将SSI的成功与业务价值相联系,并与公司的竞争对手作比较。正如上诉所说,如果你正面对着不断扩大的安全问题清单,而你没有想办法来解决这些问题,你可能会被视为是问题的一部分。企业高管希望看到你的软件安全计划所有方面的一些“关键绩效指标”。培训进展如何?你的开发人员学会了如何在最开始避免漏洞吗?你的漏洞密度比是?也就是说,与六个月前相比,在相同单位内,漏洞数量有所下降吗?每当你的开发团队整合新技术堆栈时,是否会出现大量安全漏洞?当你发现和解决架构问题或者修改了的要求时,你展示了这将会为你省下多少苦恼和金钱吗?与去年相比,通过最近的生命周期渗透测试,你是否发现问题变少了?(应该是这样)。最后,因为软件安全计划具有多个活动部件,BSIMM测量是测量你自己的最可靠的方法。高层管理人员喜欢BSIMM,并能够即时掌握其效用。   创建和采用SSDL方法,如微软SDL或者Cigital Touchpoints,这些方法整合了安全控制(包括架构风险分析、代码审查和渗透测试)以及比他们自己运行的工具更了解软件安全的人员。因为很多公司都在做软件安全,所以存在很多不同的SSDL。并不是所有公司都有正式化的SSDL,但他们应该有。你应该从我的书《软件安全》以及微软的SDL借鉴一些想法,再加上一些OWASP和SAFEcode的想法。阅读BSIMM,看看其他公司正在做什么。主要是要认识到,我们知道现在应该如何做软件安全,这个领域已经很成熟。首先,你需要用代码审查(最好使用工具)来查找漏洞,用架构风险分析来找出问题,用渗透测试来找出容易忽略的漏洞。请确保当你使用这些工具时,不要盲目地使用它们(或者将这些工具扔给不知所措的开发人员)。请记住这一点:如果所有的开发人员在没有帮助的情况下,能够直接利用安全工具的结果并且修复安全漏洞,他们将不会在最开始制造漏洞。你至少需要一名比这些工具更聪明的安全专业人士。真的是这样,如果你需要确定和建立SSDL,就去寻求帮助,有很多安全顾问靠这个吃饭

  • 如何缓解Web应用程序威胁企业安全分享!

    现在几乎所有企业都会在互联网上建立网站,他们不仅通过网站提供信息,而且还通过Web应用程序、博客和论坛与他们的客户进行互动。从网上零售商的互动婴儿注册表,到电子交易网站的投资计算器,或者软件供应商的互动支持论坛,企业每天都会产生新的Web应用程序来使获取信息。
     
      以业务为中心的Web互动迅速发展也带来了新的信息安全威胁,而企业以前的静态网页并没有这些威胁。这些威胁主要是针对Web应用程序,包括补充的Web服务器、数据库和其他支持基础设施。
     
      在本文中,我们将讨论Web应用程序面临的最严重的威胁以及安全团队应该如何保护应用程序。
     
      Web应用程序面临的紧迫威胁
     
      Cenzic、惠普、Imperva、Veracode、Whitehat Security以及Verizon等供应商都评估了当今企业面临的Web应用程序威胁,其中最常见的两种Web应用程序威胁是跨站脚本(XSS)和SQL注入攻击。这两种攻击已经存在多年了,但Web应用程序仍然容易受到它们的困扰。
     
      鉴于这两种攻击的广泛影响范围以及丰富的攻击工具,企业必须加强Web应用程序安全性来降低攻击风险。虽然新的Web应用程序威胁也已经出现,但是大多数攻击仍然是利用这些最基本的薄弱点。
     
      如何让Web应用程序更加安全
     
      安全团队可以采用一些基本的方法来加强Web应用程序的安全性,包括改善web应用程序开发和部署新工具来帮助管理Web应用程序面临的新信息安全风险。这些方法应该配合使用,而不是单独使用,同时部署其他安全控制。
     
      改善Web应用程序开发来提高Web应用程序的安全性应该作为任何软件或安全开发生命周期的一部分。在软件开发生命周期(SDLC)方面有很多资源,例如微软以及美国国土安全部网络安全处提供的资源。开放Web应用程序安全项目(OWASP)也提供了开发指南,包括Development Guide 2010,其中讨论了安全Web应用程序开发的方法。作为软件开发生命周期的一部分,用户可能需要定期检查Web应用程序面对的最普遍的威胁,并且定期更新威胁列表。所有这些技巧都可以用于培训开发人员以改善应用程序,确保最小化安全漏洞,更快发现漏洞和更快修复漏洞。
     
      另外,缓解Web应用程序威胁的其他重要方法包括部署新工具来帮助管理web应用程序安全。这些工具可能并不是真正意义上的新工具,但是对于很多企业而言,Web应用程序防火墙和Web应用程序安全扫描仪等产品从来没有列入考虑范围,因为他们能够规避规定使用这些产品的合规要求,或者说因为web威胁从来不是他们的重点关注问题。
     
      然而,这些和其他相关的新兴Web防御技术可以成功地阻止web应用程序层攻击以及扫描web应用程序漏洞。Web应用程序安全扫描仪可以涵盖在你的软件开发生命周期测试阶段,或者作为一个独立的项目,以积极地评估你的web应用程序的安全状态。Web应用程序防火墙能够对攻击Web应用程序的网络流量进行检查,阻止最常见的攻击。但是Web应用程序防火墙和Web应用程序安全扫描仪并不能阻止或者检测所有攻击或者漏洞,这些工具需要不断更新以发现新威胁。
     
      这些工具扩展你现有安全控制,但同时你应该了解紧迫的威胁如何绕过很多传统的安全控制。例如,如果你允许HTTP通过端口80到你的防火墙再到web服务器,你的防火墙通常无法判断该网络流量是否是合法HTTP流量,或者是否有用于SQL注入攻击的潜在恶意SQL代码。但Web应用程序防火墙可以检测HTTP流量,发现和(多数情况下)阻止大多数SQL注入攻击。请记住,没有哪个单一的安全工具或者控制方法可以保护所有企业的web应用程序,而结合使用Web应用程序防火墙和web安全扫描能够提供坚实的保护,来抵御最常见的XSS和SQL攻击。
     
      结论
     
      尽管新web应用程序能让企业与客户进行互动,改善与客户的关系,但这些web应用程序也带来了新的信息安全风险。传统安全控制本身通常无法抵御这些web应用程序威胁,不过,我们对传统控制进行扩展,将web应用程序安全融入软件开发生命周期,并部署新的web应用程序安全工具,可以帮助减小这些威胁的风险。那些没有使用这些技术或者没有计划这样做的企业应该仔细想想:这些应用可能会扩大他们潜在的Web安全威胁。对于当今企业信息安全计划而言,保护web系统免受新型威胁已经成为重要且优先的事项
     
    TechTarget中国

    企业安全 2020年4月27日 48
  • 微软Azure安全功能如何实现PaaS的安全性企业安全分享!

    正如我在之前的文章中所讨论的那样,应用程序安全专业知识是PaaS安全性的关键之所在。对于使用PaaS环境的企业来说,投资于教育与软件开发生命周期过程是极其重要的。但是,总的来说企业在应用程序安全方面的投资一直是缓慢的。

  • 保护敏感数据对付恶意内部人员的九大妙招(一)企业安全分享!

    有意或无意的内部人员威胁一直都大量存在。在经济困难时期,其恶尤甚。由于数字信息的激增,将信用卡数据、个人身份信息和知识产权变成现金、财产的手段,以及由此造成的风险都与日俱增。我们不再对受到信任的内部人员窃取敏感数据的行为感到惊奇。企业日益发现,最大的威胁来自内部。
      如今,许多企业同意最有价值的IT资产存在于应用程序和数据库中。多数企业还承认应用程序和数据库的安全水平最低,这就使其成为系统管理员、数据库管理员、顾问、合伙人、客户的恶意活动的首要目标。
      本文将探讨保护敏感数据免受访问数据的人员的损害的多种方法。虽然内部威胁难以应对,但只要利用适当的工具,也并非不可能。
      一、知道敏感数据存在于哪些数据库
      看一下最近的安全类文章,你会发现解决特定安全问题的居多。原因在于全面安全,即平等地保护一切的观念过于昂贵,并且不易衡量。虽然这个观念很容易理解,但确认关键的资产却绝非易事。对于数据库及其包含的敏感数据而言,尤其如此。此类数据可能是信用卡号、个人身份信息、雇员、医疗记录、研究报告、业务计划、绝密文件等。实际上,每家企业都有需要保护的敏感信息,但往往并不知道信息在哪里。
      首先需要确认数据库自身。但此任务未必如像乍看起来那么简单。面向服务架构(SOA)可能很庞大且复杂。例如,企业可能对包含敏感数据的数据库进行了某种测试,此外,还有可能存在一些未经验证的数据库。
      一旦确认了数据库,对敏感数据进行分类并确认其包含的对象就显得至关重要了。必须对分类进行验证,其目的是为了减少一些“似是而非”的情况。验证过程应当是自动化的,并支持多次执行,而且还要随着时间的推移而支持可扩展性,并保证准确性。
      二、勿轻信本机的数据库工具
      如果是拥有特权的内部人员作案,如数据库管理员和系统管理员,再相信受到其攻击的系统的安全信息将毫无意义。如果恶意的内部人员可以访问数据库并可能操纵本地的审计日志,这些日志就毫无用处。这就像让犯罪份子成为现场调查员一样。因而必须实施责任分离:安全和操作必须分离。不能相信那些存在于受攻击的数据库系统中的审计信息或由这种数据库创建的审计信息。此外,本地的数据库审计日志还会带来一些技术问题。例如:
    在很多情况下,并没有启用本地数据库审计。
    本地审计的启用靠手工完成,容易出现错误;数据库管理员可能启用了并不充分的审计。
    本地审计会对被审计的服务器带来高昂的费用。启用本地审计有可能耗尽数据库主机资源,影响系统的效率。
    不同的数据库提供了不同的审计功能。在异构环境中对每个数据库版本和类型启用审计会耗费大量的资源,因为其输出是不同的,有可能不完整,而且对于并不精通每种数据库的人员来说,这种输出结果也难以解析。
    许多数据库并不能捕获被变造的SQL查询。
      在捕获数据库的审计日志时,应当独立于数据库工具:强化责任分离、增强数据库的性能、确立用户责任等。
      三、监视善意的、恶意的和有特权的用户
      需要访问敏感数据的用户也是能够给这种数据带来威胁的用户。设计DMZ、业务流程外包以及SOA等,目的都是为了改善访问,提高运营效率,促进信息共享等。但事物总有其两面性。
      监视善意人员:怀有恶意的人有可能伪装成善人。监视内部和外部的好人,特别是那些接触“敏感数据”的人。
      监视恶意人员:这是因为来自不可信的外部人员的多种风险仍然存在,所以你无法在没有传统网络安全控制的情况下就进行操作。但利用这些机制来保护敏感数据并非根本解决之道。网络安全的根本设计目的并不是为了解决数据安全。
      监视特权人员:这是因为这些人掌握着关系到企业存亡的大权。在许多情况下,他们不但负责运营,在很多情况下,还负责安全。颇具讽刺意味的是,特权人员还被要求保障系统的安全。
      不管对可信用户、不可信用户还是特权用户,对敏感数据的保护需要时时刻刻地进行。要假设每个人都可以访问数据,假设每个人都想窃取数据。
      由于Web服务器是外部攻击者用以窃取数据的典型攻击媒介,传统的网络安全控制对于减轻数据攻击的效率是很低的,需要实施应用程序防火墙来检测和防止基于Web的攻击,如SQL注入攻击、跨站脚本攻击、cookie投毒、会话劫持等。确保“数据安全”控制能够监视所有的特权用户活动,以及应用程序的用户通信。所实施的控制必须包括事件阻止、警告、报告、审计等。最后,确保这些安全控制独立于操作人员,从而能够高效地监视特权用户对数据的使用。
     
    四、对数据库的使用进行分析
      许多人员认为恶意内部用户的焦点问题是,用户在哪里与敏感数据交互。传统的网络安全控制,如防火墙(使用签名匹配方法),专注于检测和阻止特定的事件,在应对人员和数据时就显得太简单了。如果一家企业能够决定正常的活动是怎样的,就可以根据用户活动的源头(源用户、源应用程序、源位置)、目的(目标数据库和数据库对象)、用户活动的环境(时间、经常性的用法、成功及失败的活动等)来对使用情况进行分类。可以检测缺乏签名的数据使用的异常情况。一个证明分析的价值的例子是业务逻辑攻击。业务逻辑攻击可以使web应用程序的功能用来对付业务,它破坏的是业务逻辑而不是应用程序。
      分析应用程序和数据库的交互也很重要。这样做可以更好地防御SQL注入攻击,并确认由于应用程序的设计缺陷而造成的异常数据库活动。以这种方式分析应用程序还可以揭示:在一个不合适的环境中使用后将会显得不正常的各种合法应用:
      1) 在单个设备与多个设备通信时,有可能被看成是恶意软件的传播和漫延,而实际上有可能是一台备份服务器或一台代理服务器。
      2) 在非运营时间进行的大量数据传输有可能被认为是信息窃取,而实际上有可能是合法的数据库备份。
      3) 还可以发现潜在的恶意模式,例如:
    过度的文件下载
    在可疑的时间发现了用户活动
    非授权用户企图访问保密数据,例如,开发人员试图访问人力资源部门的系统
    可疑的无效活动(如大量的非法登录企图)
      分析并不像一次性的扫描。因为应用程序和数据库属于连续变化的动态环境,因而对应用程序及数据库的使用情况进行不断分析和更新是很重要的,这应当成为一个成熟的数据安全策略的不可缺少的一部分。
      五、协调Web应用程序和数据库之间的活动
      监视用户的全部任务就是跟踪用户并让其为自己的活动负责。确认网络活动的责任人可能很困难。在使用连接池的多数现代应用程序中,并没有在本地记录Web应用程序和数据库之间的用户会话。连接池通过再次使用已打开的数据库连接而不是为每个用户打开数据库连接,从而改善了应用程序的性能。虽然应用程序的性能得到了提高,但连接池也掩盖了每个请求活动的用户身份,这意味着确实没有方法可以将数据库活动与特定用户关联起来。
      企业可以重新编写客户应用程序和数据库代码来支持此功能。不过,这是一个昂贵的建议,需要为企业中应用程序和数据库的每个版本都这样做,而且增加的代码可能会带来漏洞。
      Web应用程序和数据库活动的关系协调必须在这两者之外实现,而且要独立于厂商、版本等。以这种方式跟踪用户会话可以更好地控制会话记录,而不会额外地耗用Web和数据库应用程序的资源,也不会使宝贵的开发资源偏离其它项目。可以在Web应用程序、数据库之间有效地协调用户会话,不但可以捕获查询,还可以捕获作为结果而返回的数据。
      六、以人类的直觉来强化基于机器的分析
      预防性的安全控制的可升级性总是有限的,如果没有人的分析,纯粹从技术中获得的价值总是有限的。实时的警告一般源自纯技术分析得到的结论。报告可以从两方面来强化这个过程。首先,报告可以更长远地检测趋势,如几个月都在滥用资源的方式。其次,报告利用人类的直觉来强化基于机器的分析。
      对内部人员而言,拥有一套使人能够根据结果做出结论的简易而有效的方法是至关重要的。这是因为人可以考虑更多的因素,而不仅仅通过应用程序和数据库的分析所捕获的数据。例如,某用户表现不佳,并且有传言说他要离开公司到某竞争对手那里去。因为IT安全团队不可能拥有公司每个人的“全面情况”,因而,这份报告能使公司的各种人员都能使用是很重要的,如非技术经理、人力资源部门、法律部门等。这种由现实分析与应用程序和数据库的详细证据的组合,可以生成比单纯一个方面更多的精确结果 七、通过日志分析对犯罪情况进行取证调查
      警告、报告、个别事件分析在发现恶意内部人员时都扮演着重要的角色。但高效的内部人员调查要求更多的灵活性。详细检查可能缺乏有力审计线索的多个异构数据库,借以调查内部人员是不足取的。企业利用Perl、grep、SED、awk等工具来搜索审计数据,查找特定的已知恶意条目也是不可取的。这种方法是不可升级的,而且对于查找未知的威胁也没有什么用处。
      在涉及审计日志时,一张图片比一万个日志可能更有说服力。与审计数据的可视化交互会形成一种因果关系,如果不使用可视化工具,就很难注意到这种关系。例如,分析人员可以根据用户、登录、被监视的资产(如服务器等)来搜索信息。通过使用这些搜索,分析人员就可以访问底层的事件细节。这种信息有可能会促使分析人员查找新的以前没有注意的趋势。在多数内部人员调查中,一旦确认了恶意活动的迹象,就可以问三个问题:内部人员还做了什么?这种状况持续了多长时间?谁还牵涉到类似的活动中了?
      在调查中,必须考虑下面的事件顺序:
    检测到SQL错误——但并非所有的SQL错误都是在生产环境中发现的。
    分析人员可以轻易地利用可视化工具,过滤并且不选择非生产环境中的资源。
    下一步,从与SQL错误相关的用户方面进一步调整其分析,进一步更新数据。
    某特定用户的错误比其它用户更多。
    确认该用户为一位开发人员,而且他所访问的系统属于生产环境中的。
    进一步挖掘此数据,发现该用户试图访问的信息位于信用卡和工资表中。
    其它细节还有可能显示出该用户访问这些数据的成功和失败的企图。
    趋势报告可显示出,此事件发生了多长时间,还有谁牵涉到类似的活动中了。
      八、保护数据库中的敏感数据
      数据库安全是保护敏感数据免受内部人员危害的最关键的领域之一,因为数据库中存储着恶意内部人员需要的信息。这些数据库一般十分复杂且动态变化,难以锁定。更糟的是,数据库管理员一般重视正常的运行时间和可用性,而安全则是以后才会想到的事情。以往,这造成了IT安全和数据库管理员之间的分离。有两种解决方案可以很好地适应数据库管理员和IT安全的需要,即数据库防火墙和数据库活动监视解决方案。
      数据库防火墙:正如传统的网络防火墙解决以网络为中心的攻击一样,数据库防火墙可以阻止以攻击形式或数据窃取形式直接针对数据库的恶意活动。数据库防火墙可以提供的一些关键功能有:
    阻止数据库攻击和欺诈活动
    提供敏感数据的实时、自动化的保护
    洞察用户访问数据的方式
    利用灵活的视图和审计分析进一步调查被审计的事件
    通过有效的补丁来透明地保护数据库
      借助于数据库防火墙,虚拟补丁可用于解决通过漏洞评估解决方案发现的漏洞,而不必重写代码、应用补丁、经历冗长而昂贵的漏洞修补过程。数据库防火墙可以阻止这种企图:利用已经打上了虚拟补丁的漏洞进行攻击,或对此攻击发出警告,从而使企业更安全地运营,直至其有时间和资源直接解决漏洞。
      数据活动监视:数据库防火墙在数据库层提供了类似于传统网络防火墙的功能,而数据库活动监视能够捕获独立于数据库和数据库管理的用户和数据库之间的双向通信,从而提供了强健的审计。数据库活动监视有助于解决五个关键的数据库审计问题:
      1、审计过程独立于被审计的数据库系统吗?不要依赖于数据库的审计信息。
      2、审计线索能够确立用户责任吗?特定的事件需要与特定的用户责任相关联。
      3、审计线索包括适当的细节吗?审计系统必须收集足够有用的细节。如果有问题的审计系统是数据库的本地方案,答案一般是否定的。
      4、审计线索能够确定与标准的正常活动的本质差异吗?决定正常活动和异常活动之间的差别是至关重要的。
      5、审计线索的范围足够吗?
      必须监视整个数据库系统,其范围包括:数据库软件、操作系统软件、数据库协议。注意,数据库协议并不遵循某个开放标准而且经常变化,因而常常是攻击者的切入点。
      数据库防火墙和数据库活动监视一起提供数据库的保护、监视、警告,并且提供审计质量数据,能够调查并对针对数据库的恶意活动进行报告。
      九、保护用户用于访问数据库的Web应用程序
      虽然敏感数据存在于数据库中,但多数用户是通过一个Web应用程序来访问数据库的。因而,除了要保护数据库层,还需要保护Web应用程序层。保护在线应用程序和数据使其免受复杂的应用程序级攻击需要“双管齐下”的方法,既要考虑开发又要考虑生产。
      开发:在保护Web应用程序时,在应用程序进入生产前可以采取几个步骤来改善安全。向应用程序的开发人员培训安全编码,并利用安全开发生命周期(SDLC)来改善安全代码的开发。还有几种可以测试并分析代码的模式,如静态代码测试、动态代码测试、架构风险分析、测试滥用情况、黑盒测试、白盒测试等。
      许多企业在开发阶段还使用Web应用程序防火墙。在此情况下,Web应用程序防火墙并不提供防火墙功能,但监视除外。更准确地说,Web应用程序防火墙向开发人员提供了一种检查其应用程序操作的更好视图。在beta测试阶段,对于动态客户和客户数据而言,这更为有效。Web应用程序防火墙可以提供:
    透明地监视Web应用程序和通信
    监视客户如何使用Web应用程序及应用程序的工作方式
    监视所期望的和真实的用户行为
    关于Web应用程序参数的细节,如长度和类型
    Web连接的性能结果
    监视数据库活动(如果结合使用数据库活动监视和数据库防火墙)
      生产:所有的安全编码、测试及最佳方法已经锁定。由于威胁不断演变,而且代码绝不会完美或100%的安全,因而需要在生产阶段强化Web应用程序的安全。Web应用程序防火墙能够提供多种好处,例如阻止恶意活动、监视、警告、报告等。另一个关键方面是解决Web应用程序的漏洞。Web应用程序防火墙能够执行虚拟补丁,但这种工作是在Web应用程序层完成的。
      Web应用程序防火墙提供的其它功能包括:
    在多个应用程序和版本之间的操作
    警告或阻止恶意事件
    Web应用程序的入侵检测
    管理应用程序风险的深度防御
      Web应用程序防火墙在开发和生产阶段可以提供增强安全性的高效机制。通过在Web应用程序层提供事件防御和检测,可以减轻源自内部或外部的对敏感数据的攻击,而敏感数据就会更安全。
      总结
      到目前为止,业界已经找到了大量的方法和技术来减轻恶意的内部人员威胁。然而,还需要一种统一的技术。数据安全需要一种透明性。通过将应用程序和数据库信息关联起来,对企业全面的数据安全形势形成一种整体的观点,同时又强化防止、检测、审计内部人员活动,这是可能的。
      当今的攻击伎俩利用了数据库和应用程序之间的诸多弱点。从侦察阶段到实际的攻击阶段,非常关键的一点是,将数据库和应用程序之间的信息与真正理解用户和数据的交互方式关联起来,并且将合法的活动与潜在的或已知的恶意活动隔离开来。
      内部人员的威胁分析,可以从以数据为中心的多个信息源中获得好处,这是因为单个源提供的信息可能并不完整。发现和分类应当用于确认关键的资产及其包含的信息。利用Web应用程序防火墙来保护应用程序,利用数据库防火墙来保护数据库,并应当利用数据库活动监视来提供数据库的审计。可以将这些方案一起用于减轻内部人员的威胁,即使对于极复杂的运行着关键任务的分布式环境,也不应当影响Web应用程序和数据库操作的性能
     
     
    TechTarget中国原创内容

    企业安全 2020年4月27日 41
  • 《生化2重制》克莱尔配音谈新项目 或参演系列新作

      据外媒Rely On Horror报道,在上周举行的一次《生化危机》官方特别直播活动中,曾在《生化危机2:重制版》中为克莱尔配音的演员Stephanie Panisello在闲聊中透露了一些自己参与的新项目的信息。一起来了解一下。

    2020年4月26日 63
  • IGN评《辐射76》废土客6分:故事获补全 后续需努力

      在《辐射76》的新DLC“废土客”(Wastelanders)上线两周后,IGN给这款DLC打出了6分的评分,IGN认为此次更新的故事内容不错,但在多人游戏方面仍有欠缺。

    2020年4月26日 64
  • 企业信息安全的两个成熟度模型企业安全分享!

    企业信息安全的两个成熟度模型
    对于今天高度依赖信息竞争力的企业来说,信息安全的重要性已经无需多言,这一点从企业每年不断增加的信息安全预算以及信息安全优先级的不断提升中得到体现。但是,随着信息安全市场技术创新的不断加速,新的威胁、技术和方法不断涌现,信息安全人才和专业服务相对匮乏,这些都为企业的信息安全策略制定带来了困惑。

    一个好的信息安全成熟度模型能够帮助企业快速找到信息安全短板并制定有针对性的策略,加速将信息安全融入企业文化,提升企业“安全竞争力”。

    近日著名安全博客KrebsonSecurity推荐了两个企业信息安全成熟度模型并进行了点评如下:

    一、 Enterprise Strategy Group 信息安全成熟度模型。

    ESG将企业信息安全成熟度划分为基础、进阶和高级三大类,同时为企业首席信息安全官给出了安全规划和策略路径。值得注意的是,ESG认为数据泄露等安全事故也有着积极的意义,通常重大数据泄露事故会刺激企业的信息安全成熟度提升到下一个阶段。
    二、 Blue Lava 的信息安全成熟度模型

    Blue lava将企业信息安全成熟度划分为“防御与处理”、“合规驱动”和“基于风险的安全方法”三大类和五个阶段:

    第一阶段:信息安全流程缺乏组织,或者非结构化,个体的成功经验无法复制和重现,也无法扩展推广,主要原因是流程缺乏定义和文档。

    第二阶段:信息安全进入可重现阶段,一些基本的项目管理技术成型并可重用,这基于信息安全流程已经定义、建立并文档化。

    第三阶段:信息安全工作的重点是文档化、标准化和维护运营支持。

    第四阶段:企业通过数据采集和分析来监控和管控自身的信息安全流程。

    第五阶段:这是一个迭代阶段,企业通过对现有流程和新流程的监控和反馈来持续改进信息安全流程。

    Blue Lava信息安全成熟度模型的优点是可以为所有的企业定制使用,企业可以将每个业务部门建立自己的成熟度积分体系,例如下图中的SDLC(安全开发生命周期)和PMO(项目管理部),图中红色块是企业业务部门最迫切需要提升的安全短板。

    2020年4月26日 46