以信息傳播的速度，人們很容易忘記互聯(lián)網(wǎng)還相對(duì)年輕。憑借指數(shù)級(jí)增長(zhǎng)的潛力，尤其是負(fù)面的預(yù)見，我們可以開始看到互聯(lián)網(wǎng)在使用數(shù)據(jù)推動(dòng)技術(shù)進(jìn)步時(shí)的好處。

致力于分析、開發(fā)和研究漏洞的網(wǎng)絡(luò)安全項(xiàng)目現(xiàn)在正與 Cisco Talos、Google和 IBM 等行業(yè)領(lǐng)導(dǎo)者和公司合作，旨在有目的地暴露設(shè)計(jì)缺陷。從本質(zhì)上破壞軟件的努力在本質(zhì)上是惡意和粗魯?shù)摹Ｈ欢@些蓄意的攻擊提供了透明度，促進(jìn)了安全性的加強(qiáng)，以抵御潛在的威脅。在實(shí)踐中，最好是好人在壞人利用之前發(fā)現(xiàn)漏洞。之前向供應(yīng)商提供零日漏洞在公開披露，讓開發(fā)人員有機(jī)會(huì)實(shí)施補(bǔ)丁。這個(gè)想法是一起工作，因?yàn)橄窆雀柽@樣的公司與自由軟件項(xiàng)目（如 GNU 項(xiàng)目）合作，為開源項(xiàng)目提供了一個(gè)改進(jìn)的平臺(tái)。

使用分析數(shù)據(jù)保護(hù)用戶

開源項(xiàng)目主要是社區(qū)驅(qū)動(dòng)的，許多項(xiàng)目是成員開發(fā)和研究貢獻(xiàn)的產(chǎn)物。Open Web Application Security Project，簡(jiǎn)稱 OWASP，是一個(gè)致力于 Web 應(yīng)用安全的非盈利組織。提供 Web App 安全和分析數(shù)據(jù)，這個(gè)開源社區(qū)在服務(wù)器層面有更直接的影響。雖然思科、谷歌和 IBM 等大公司在前沿運(yùn)營(yíng)，但 OWASP 等項(xiàng)目使用 2017 年收集的數(shù)據(jù)編制了Web 應(yīng)用程序中的十大安全風(fēng)險(xiǎn)。

主要網(wǎng)絡(luò)安全風(fēng)險(xiǎn)

1、注入：SQL、XML 解析器、操作系統(tǒng)命令、SMTP 標(biāo)頭

注入型攻擊顯著增加— 2017 年比 2016 年增長(zhǎng) 37%。代碼注入攻擊可以包括整個(gè)系統(tǒng)，完全控制。SQL 注入會(huì)破壞數(shù)據(jù)庫(kù)，查詢通常包含個(gè)人信息的最重要的組件。

2、身份驗(yàn)證：蠻力、字典、會(huì)話管理攻擊

隨著單詞列表的不斷膨脹，弱密碼變得更容易受到字典攻擊。避免設(shè)置阻礙密碼復(fù)雜性的特殊字符限制和最大長(zhǎng)度值。成功的身份驗(yàn)證會(huì)生成具有空閑超時(shí)的隨機(jī)會(huì)話 ID。

3、安全配置錯(cuò)誤：未修補(bǔ)的缺陷、默認(rèn)帳戶、未受保護(hù)的文件/目錄

錯(cuò)誤是幾乎五分之一的違規(guī)行為的核心。

4、XML 外部實(shí)體：DDoS、XML 上傳、

使用 XML-RPC 的 URI 評(píng)估 CMS，包括 WordPress 和 Drupal，容易受到遠(yuǎn)程入侵。有許多用于發(fā)送 DoS/DDoS 流量的pingback 攻擊實(shí)例。在大多數(shù)情況下，可以完全刪除 XML-RPC 文件。XML 處理器可以評(píng)估 URI，該 URI 可被用來上傳惡意內(nèi)容。

5、記錄和監(jiān)控不足

防止不可挽回的數(shù)據(jù)泄露需要意識(shí)。68% 的違規(guī)行為需要數(shù)月或更長(zhǎng)時(shí)間才能發(fā)現(xiàn)。記錄和監(jiān)控警報(bào)對(duì)于記錄異常情況至關(guān)重要。

網(wǎng)絡(luò)安全的未來

了解風(fēng)險(xiǎn)是最好的防御。對(duì)看似不可避免的攻擊的準(zhǔn)備是在漏洞百出的世界網(wǎng)絡(luò)中最大的資產(chǎn)。毫無疑問，安全始于個(gè)人。大多數(shù) IT 專業(yè)人士同意相關(guān)課程應(yīng)該是一項(xiàng)要求。漏洞會(huì)隨著技術(shù)的進(jìn)步而出現(xiàn)，作為一個(gè)社區(qū)，我們可以看到數(shù)據(jù)和分析在創(chuàng)新中的重要性。