Equifax 的違約行為凸顯了未修補的軟件應用程序所帶來的風險。作為刷新, 在 Apache Struts 中的一個已知漏洞被利用後, 公開了1.46億客戶記錄。實際情況是, 企業正在支持越來越多的商業和本土應用程序, 這給即使是最關鍵的應用程序維護適當的安全修補程序帶來了許挑戰。
當您考慮不再監視或維護的舊式企業應用程序時, 同樣的挑戰變得更加困難。攻擊者樂於使用任何必要的手段來訪問組織的網絡, 如果組織沒有一個全面的安全計劃, 即使是他們最古老、最很少使用的安全計劃, 則遺留應用可以代表理想的方式應用。
大多數企業和組織忽視了其技術堆棧中過時的應用程序。這是組織生命週期中相當典型的一部分。隨著組織的成長, 他們會遇到成長的痛苦, 並經歷跟上發展和業務目標的負擔。而隨著工作流和優先級的轉移, 不必要的應用可能會被遺忘, 但實際上從未從技術堆棧中刪除。這樣的安全盲點對企業來說是一個巨大的安全風險。
降低傳統應用所代表的風險並不是一件容易的事情--它需要工作和規劃。以下是確保良好的應用程序安全狀態的一些最佳做法:
利用現有標準和法規
進行全面的安全審核是一項繁重的工作。為了減輕負載, 組織還不如利用所有可用的資源。因此, 請務必將引用遺留代碼與當前的合規性法規 (如Gdpr)進行交叉。既定的安全要求可幫助組織實現健全的安全性。在組織中使用這些準則。
維護準確的應用清單
你無法修復你看不見的東西。創建並維護準確的應用程序清單, 並確保定期更新名冊。此目錄應列出所有應用程序及其依賴項, 包括第三方應用程序。瞭解他們的主要目的, 併為該應用指派一名經理。此人應該知道它們的實現, 並負責在不再需要應用程序時將其從堆棧中刪除。
定期解決科技債務問題
將您的開發團隊的一些時間用於正在進行的技術債務和維護。不斷地更新、監視和維護應用和舊版應用可能會造成負擔, 因此, 將其創建為分配, 並在工作建立之前將所有權分配給團隊的一部分。
為設置日落的舊應用制定策略
當您進行安全審核和解決 it 部門問題時, 您可能會發現不再需要的舊應用。隨著組織的增長和新的工作流開發, 當舊的應用程序不再存在時, 必須刪除它們。停用這些應用程序並建立執行此操作的內部過程。確保應用程序的經理知道他們的刪除, 並能夠在任何問題上插話。此外, 一旦它從組織的堆棧中刪除, 確保它也從整個庫存中刪除。
全面的安全方法必須涵蓋技術基礎結構的所有方面。開發團隊很容易忘記過時的應用, 但攻擊者卻不忘記。這些類型的遺留應用漏洞為正在尋找訪問網絡的任何機會的攻擊者創建了簡單的入口點。
開發團隊的時間有限,網絡安全技能差距的擴大正在加劇這一問題。然而, 這一挑戰的艱鉅性並沒有消除解決這一問題的必要性。
如果不建立和遵循組織準則和程序, 不必要的遺留應用程序很容易保留在技術堆棧中, 並使組織面臨嚴重損害。通過遵循本文中介紹的最佳實踐, 組織可以降低傳統應用所代表的風險, 從而確保其技術堆棧中的某些廢棄角落不會回來咬它們。
閱讀更多 智安網絡 的文章
