重视应用安全
虽然有人担心厂商和媒体在应用安全方面有炒作之嫌,但应用安全确实值得重视。我们可以从一连串新闻事件中发现它的重要性:Lexis-Nexus公司的数据泄密、零售商TJX近期出现的问题,甚至T-Mobile和CardSystems遭遇的风波,这些信息安全事件都是应用安全漏洞引起的。
那么,如何辨别这是炒作还是真实危机?一个要点就是关注应用层。据Gartner集团声称,网络层和系统层的安全漏洞在漏洞总数中所占比例不到30%;而据美国标准与技术研究所(NIST)声称,这个比例不到10%。
另外要考虑到:网络安全比应用安全成熟得多;你在这方面的投入可能已经比在应用安全方面的投入多出几个数量级。如果应用安全的投资不是至少是网络安全投资的两三倍,那么你在缓解的漏洞数量就会出现不平衡。
接下来可以考虑何处、何时落实应用安全成本最大。大约两年前,IDC和IBM两家公司联合开展了一项调查,列出了软件开发生命周期中解决问题所需的成本。结果发现,假如设计阶段发现了缺陷,修复成本为1X;那么编码阶段发现同一个缺陷,成本为6.5X;如果在部署前的测试阶段发现,成本为15X;如果部署之后被客户发现,成本高达100X。
牢记这一点:这只是考虑了用来解决问题的时间和人力(内部成本);甚至还没有考虑声誉受损、修补及部署的成本以及安全缺陷通常带来的其他损失(如市场份额和股价下跌)等因素。
