网络安全 频道

融合运维理念 助力Web安全评估

  2. 现有Web评估之殇

  2.1 损伤,维稳的天敌

  Web评估,就是把网站作为核心资产,在不影响其持续运行的前提下,进行安全横向到边、纵向到底的全面风险度量。反观眼下Web漏洞扫描产品,对网络带宽的过分占用及对业务系统的大量资源消耗所引发的一系列业务变慢、断网等恶性事件,让评估者一直心存阴影,使用积极性严重削减。

  2.2 耗时,进度的拖延

  应用为王的互联网时代,网站数量日益增多、复杂度逐渐提升,使得愈发严格的检查成为了一场与时间赛跑的竞赛。但纵观各类Web漏洞扫描产品,多年来一直专注于精度而忽略速度,对大规模网站的快速评估存在一定的滞后性,拖延整个检查进度。

  2.3 复杂,高门槛解读

  网站合规检查频次的增多,让很多网络运维人员的工作转投到日常网站安全评估中来。然而Web安全经验的相对不足,各类网站应用系统的复杂多变,及多年来Web漏洞扫描产品的专业定位,让运维人员在面对网站业务逻辑、运转流程,工具的功能理解、操作使用上,都存在一系列的认知误区。更为重要的是扫描报告解读的困难,由于运维人员对报告中的漏洞类型、存在位置、影响程度等缺乏足够的认识和重视,无法自行判断是否存在误报等问题,导致风险识别严重滞后,最终影响后续漏洞修复的开展。

  2.4 修复,莫名的恐惧

  网站安全事故的出现,都源自于网站自身存在漏洞。网站周期性的评估检查,就是及时发现这些漏洞,并让安全人员第一时间修复它,实现安全加固的最终目的。然而在明确网站漏洞分布后,安全人员到底该采用哪种有效的修复方式,如打哪个系统升级包,如何调整网络结构,是否增设网络安全产品,已有的WAF防护策略如何调整等,还无法从现有Web漏洞扫描产品中得到清晰可靠的指导性建议。此外,即使采用了某种修复手段,该手段是否会造成网站业务的不良影响,依然无法确定。以上问题最终导致了网站陷于一种漏洞已知,却不敢下手修复的尴尬境地,让网站评估半途而废。

0
相关文章