6月5日,南山深圳湾,华为云举行了6月的首场安全技术私享会,分享了华为云DDoS高防服务、等保解读、Web应用防火墙、数据库安全服务等多项服务和技术。作为现场最大的亮点,华为云安全专家宣布了漏洞扫描服务的全面升级,置入华为软件开发云,让开发者从代码开发到部署上线,全生命周期自动进行安全检测,发现潜在安全问题,释放企业安全负担。
华为云安全专家在现场发表演讲
无法消除的软件漏洞
2018年2月,中国民营企业500强TOP20的某公司互联网业务系统遭黑客攻击,致重要数据泄漏。该公司在安全方面投入了巨额资金和人力,但还是因其使用的某ERP软件存在一个漏洞,被黑客利用,导致了上述安全事件。回顾历史,这个事件还只是冰山一角,事实上还有更多的黑客活动没有被暴露出来。
安全漏洞是一个永恒的话题,数量多、分布广、灭而不绝,并且可能随时爆发,下图是国家计算机网络应急技术处理协调中心公布的2017年CNVD收录的安全漏洞数据。
所有软件都有漏洞,漏洞覆盖了从软件的开发阶段到生命周期结束的整个过程,就像一个婴儿从出生开始,就面临各种各样的疾病威胁。
尽管各软件公司的开发人员在消除漏洞方面都非常努力,但还是不能完全消除漏洞,包括微软等大公司也一样无法避免。
如何应对漏洞带来的安全风险呢?
对于安全漏洞,不得不承认3点:
1)所有软件和系统在它的生命周期内都存在漏洞;
2)没有受到攻击并不是因为你的系统很安全,而是你的数据没有被黑客“盯上”;
3)数据显示有44%的攻击是基于已知漏洞(受害者往往没有及时打补丁和防御措施);
如何应对?每个人都有自己的一套办法:
“不是不想修复所有漏洞,关键是解决问题的代价/花费太大,我们(企业)根本无法承担。”
“我的数据不重要,没人会注意到我。”
“我们企业是内网,没那么多威胁,漏洞带来的风险影响有限。”
“安全技术薄弱,不会使用这么专业的安全设备。”
.…...
总结起来,就是所有人都认可漏洞带来的巨大风险,也没有不想修复漏洞的,但现实却是“无奈”的,更多人(企业)往往是破罐子破摔,放任自流。
但只要我们能正视这个问题,并积极的采取适当的防御方法,就可以在很大程度上缓解漏洞带来的风险,而且这个过程或许并没有相像的那么难,花费也没有那么多。
发现问题才能解决问题
为了让开发者能够自动化地发现软件和系统中可能存在的安全漏洞,华为云发布了全新升级后的漏洞扫描服务,覆盖从代码开发到上线部署的全生命周期:
1、软件开发阶段
越早期解决漏洞的成本越低,最佳处理阶段就是在代码的开发阶段,漏洞发现的“性价比”是要体现软件/系统的整个生命周期。为此,华为云漏洞扫描提供了覆盖编码、测试、部署、运营、运维等各个阶段的漏洞检测服务。编码和测试阶段是发现并消灭漏洞的最佳时期,可以减少50%以上的严重漏洞。
华为云漏洞扫描全面升级,置入华为软件开发云
2、软件上线运营阶段
在软件验收、运营和运维阶段,提供自动化的安全巡检、上线评测等服务,尽可能多的发现漏洞:
1)功能全,可以发现编码、Web、主机、数据库、中间件、业务系统等多种漏洞,能一站式的发现全部漏洞;
2)扫描范围广,不受公/私网IP限制;
3)部署简便,使用便捷;
实际操作中,一次性解决所有安全问题不现实,建议先用最少的投入解决最大风险,其它风险可以放在监控之中,折机而动。
华为云安全专家表示,华为漏洞扫描服务全面置入软件开发云,让开发者告别手工查找漏洞,让运维者告别线上漏洞巡查的繁琐,降低了企业的开发运维和运维成本。未来,华为云还将推出更多优质的安全服务和平台,帮助企业从复杂和高成本的安全活动中解脱出来。点击了解华为云安全服务:https://www.huaweicloud.com/
