信息技术领域变化无常。常有新理念与产品更改我们做业务的方式。经验丰富的行业人士有时说,行业的变化之快前所未有。的确如此,但我也认为互联网让事情变得超乎想象的快速,因为新的消息几乎在瞬间填充网络。
安全是一个经常变化的领域,尤其是紧随着的大量安全漏洞,如Target与Home Depot、OpenSSL与NTP中也有醒目的软件漏洞。
预算有限也常常为安全不足背黑锅,但还有其他因素。我们基于功能选择产品,但安全问题却没有纳入购买过程。之后,我们能做的就是将系统放在防火墙后面,或者让防火墙识别好的与坏的流量。我们可以限制用户访问,然后将系统名模糊掉,希望坏人发现不了,或者在攻击时不知所措。
这些都是创可贴,无法扩展或进行支援,我们需要从根源出发,修复IT基础架构安全问题。安全控制不到位,无法解决实际问题:软件没有安全性可言。
软件开发者并不关心安全,因为雇佣他们的人根本不考虑安全。技术参数由非技术人员撰写,不含安全条款、指定加密或优先用户保护,诸如增强型密码与双重认证。这些说明由开发者添加,但他们对该技术不了解,尤其是加密。
一个例子就是我们的银行,不允许密码中出现标点符号、百分比与空白。为什么不啊?他们可以避免受到SQL注入式攻击,而这些字符颠覆了数据使用应用的方式。这其实意味着他们的应用安全性太弱。他们牺牲我们账户的安全,因为他们没有对应用输入进行审查。
关于不安全有太多例子可以分享,尤其是随着我们深挖基础架构堆栈。我们的数据中心塞满了许多实用默认密码的产品,还开启了通信协议,没有防火墙或IP级别的访问控制。厂商应该一直致力于让安全更容易执行在IT基础架构的所有层级。我该为那些让自己产品更安全,并以更安全配置交付产品的厂商鼓掌。
数据中心行业需要持续关注IT安全。在调查一款产品时首先询问的该是安全功能,如数据加密、密码处理、双重认证与IP限制。略过厂商介绍直接找答案去。最后,不要购买和使用不带安全功能的产品。