目前，對(duì)黑客而言，操作系統(tǒng)日益難以實(shí)施攻擊，這主要是由于廠商或開(kāi)發(fā)者對(duì)有漏洞的代碼能夠更好更快地打補(bǔ)丁?，F(xiàn)在，第三方的應(yīng)用成為企業(yè)遭受損害的主要媒介。

安全使用第三方應(yīng)用須注意這四個(gè)問(wèn)題

在運(yùn)行第三方的軟件時(shí)，不管這些軟件是外包的、開(kāi)源的，還是現(xiàn)成的商品化軟件，企業(yè)都必須保持警惕。根據(jù)以往的案例，大多數(shù)被利用的漏洞都屬于第三方軟件。調(diào)查顯示，運(yùn)行在企業(yè)中的多數(shù)應(yīng)用程序都來(lái)自第三方，但很少有企業(yè)會(huì)去部署控制來(lái)評(píng)估這些應(yīng)用的安全性。

殘酷的現(xiàn)實(shí)要求企業(yè)必須采取行之有效的措施來(lái)減輕第三方應(yīng)用帶來(lái)的風(fēng)險(xiǎn)：

首先要測(cè)試這些應(yīng)用。企業(yè)IT要制定標(biāo)準(zhǔn)，使第三方應(yīng)用既要滿足公司標(biāo)準(zhǔn)，同時(shí)又滿足合規(guī)需求。然后，再與合伙人和廠商合作測(cè)試這些應(yīng)用程序。有些權(quán)威評(píng)測(cè)機(jī)構(gòu)(如，中國(guó)信息安全測(cè)評(píng)中心、中國(guó)軟件評(píng)測(cè)中心)也可以評(píng)估、掃描和自動(dòng)或手動(dòng)測(cè)試這種代碼。

其次，使打補(bǔ)丁過(guò)程正式化。以前，不少企業(yè)非常重視給Windows等操作系統(tǒng)打補(bǔ)丁，對(duì)第三方應(yīng)用的安全檢查和安全補(bǔ)丁的重視程度卻遠(yuǎn)遠(yuǎn)不夠。如今，市場(chǎng)上有不少可以為第三方應(yīng)用集中地、自動(dòng)地打補(bǔ)丁的工具，企業(yè)不妨利用這種工具使打補(bǔ)丁過(guò)程正式化，區(qū)分補(bǔ)丁的優(yōu)先次序，確保所有漏洞都能夠及時(shí)地得到修補(bǔ)。

第三，要問(wèn)開(kāi)發(fā)商。對(duì)第三方軟件的管理至關(guān)重要。企業(yè)IT可以就安全標(biāo)準(zhǔn)和測(cè)試問(wèn)題來(lái)詢問(wèn)第三方開(kāi)發(fā)者。還要構(gòu)建一種成熟的策略，要求第三方開(kāi)發(fā)者同意遵循企業(yè)的策略和指南。

第四，注意合規(guī)警告。有一些規(guī)范和行業(yè)要求(其中就包括大名鼎鼎的PCI DSS3.0)非常重視第三方的安全。這些規(guī)范和行業(yè)指南對(duì)企業(yè)如何安全地使用第三方應(yīng)用提出的建議和措施，值得企業(yè)去思考和實(shí)施。

企業(yè)使用的第三方應(yīng)用影響著企業(yè)的形象和品牌。如果攻擊者利用了某個(gè)第三方應(yīng)用的一個(gè)漏洞，攻擊了公司的服務(wù)器并竊取了敏感數(shù)據(jù)，那么企業(yè)將會(huì)遭受由此帶來(lái)的高昂成本，其中包括嚴(yán)重的商譽(yù)損失。所以，企業(yè)在采用第三應(yīng)用時(shí)，必須高度關(guān)注安全問(wèn)題。

本文出自瑞星安全資訊