小型和中型企业使用了很多第三方web应用程序:因为第三方应用程序能够为他们节省开支,并且能够允许他们嵌入他们不可能有的专业技术。但是同时,这也为他们的业务和消费者带来安全隐患。
最近的Network Solutions事件表明这种做法有可能带来非常严重的危害:十天前,互联网域名供应商获知一种存在于至少12万个网页中的网络服务微件通过恶意软件感染了大量访问者。据称,该公司下载了该微件(即Small Business Success Index)到第三方在线目录WidgetBox。
随着越来越多的企业开始在网站中使用第三方代码,并且从其他网站导入内容,访问者的安全性越来越依赖于其他网站。
“在过去五年中,web2.0已经风靡全球,”网络扫描公司Dasient公司首席技术官Neil Daswani表示,“作为一名网络管理员,你的安全实际上基本取决于一大堆第三方,所以你必须确保监控所有代码和微件。”
Network Solutions公司并不是在其网站无意地承载恶意代码的唯一的互联网公司,一年前,攻击者冒充合法广告商在纽约时报网站提交含有病毒的广告,随后通过这个流氓程序,该网站感染了大量访问者(数目不详)。其他网站(例如福克斯新闻、商业周刊等)也不得不面对类似问题。
在网站承载流氓程序对于企业的影响是非常巨大且长久的。如果谷歌标记某网站为恶意网站(因为包含流氓代码),那么该网站的流量将下降95%之多,Daswani表示,“从我们从消费者收到的反馈来看,即使当这个问题解决后,网站从黑名单移除后,仍然会对流量产生巨大影响。”
解决这个问题并不容易,并没有标准或者可接受的方法来证明代码是否安全和可靠,代码扫描公司Converity首席研究人员Andy Chou表示,“在其他行业,对于产品的某种质量测量都有相应的认证,”Chou表示,“在其他行业有很多方法来向消费者显示他们购买产品的情况,而在软件产业,并没有类似的认证,用户必须自己对代码进行测试。”
安全专家建议,企业应该定期对程序进行扫描,检查程序是否为恶意软件或者木马程序,开发人员可以使用静态扫描仪来扫描源代码,以查找安全漏洞。运行时扫描仪和防病毒扫描仪可以被用来检测微件和程序在张贴到网站前的恶意活动。
然而,这些网站也应该经常进行检查,网站扫描公司Armorize公司首席技术官Wayne Huang表示,“组合扫描是个很好的方法,”Huang表示,“源代码扫描有其局限性,同时客户类型网络扫描也存在局限性,所以结合使用将最大限度确保安全。”
安全专家认为在大量网站发生类似事故之前,不会有太多网站定期对网站进行扫描。
“对于这个领域,人们才刚刚意识到,”Coverity公司的Chou表示,“从我们与软件开发组织的合作经验来看,所有这些开发阻止都有大量资源是由第三方来构建的,任何使用软件的地方,都来自于不同的来源。”