令人驚訝的是，網(wǎng)絡(luò)安全可以像遵循最佳實(shí)踐一樣簡(jiǎn)單，理想情況下應(yīng)該將其融入企業(yè)文化本身。在這篇文章中了解更多。

網(wǎng)絡(luò)安全的重要性

在當(dāng)今的網(wǎng)絡(luò)安全期望中，軟件工程師應(yīng)該優(yōu)先考慮他們的計(jì)算機(jī)系統(tǒng)和內(nèi)部IT網(wǎng)絡(luò)的安全性。我認(rèn)為嚴(yán)重依賴技術(shù)是一個(gè)錯(cuò)誤，因?yàn)楹芏囡L(fēng)險(xiǎn)本質(zhì)上都是非技術(shù)性的。互聯(lián)網(wǎng)可能使企業(yè)容易受到數(shù)據(jù)泄露和勒索軟件的攻擊，從而導(dǎo)致持久的聲譽(yù)損害。這些非技術(shù)風(fēng)險(xiǎn)確實(shí)可以使用技術(shù)解決方案來(lái)處理。

這些事件還可能導(dǎo)致重大的經(jīng)濟(jì)損失和潛在的法律問(wèn)題。在我看來(lái)，實(shí)施強(qiáng)大的網(wǎng)絡(luò)安全措施不僅是一項(xiàng)技術(shù)要求，而且是任何希望加強(qiáng)其防御和彈性的企業(yè)的關(guān)鍵舉措。

在這篇文章中，我想說(shuō)明的是，軟件工程師不應(yīng)該再把安全看作是安全工程師的責(zé)任，而應(yīng)該接受它是他們的責(zé)任。您不需要成為工程經(jīng)理或主管來(lái)提出和實(shí)施最佳實(shí)踐。軟件工程師應(yīng)該使用說(shuō)服、數(shù)據(jù)和展示投資回報(bào)的力量，輕輕地推動(dòng)他們的組織朝這個(gè)方向發(fā)展。

重大網(wǎng)絡(luò)安全事故

（1）Equifax數(shù)據(jù)泄露

這可能是人們記憶最深刻的漏洞，也可能是有史以來(lái)最大的安全漏洞之一。在這次事件中，1.445億人的社會(huì)保險(xiǎn)號(hào)和信用卡信息被盜。該漏洞的發(fā)生是因?yàn)閣eb應(yīng)用程序框架的一個(gè)弱點(diǎn)沒(méi)有及時(shí)修復(fù)。這表明及時(shí)更新軟件是多么重要。

（2）WannaCry勒索軟件攻擊

這次攻擊造成了持久的破壞，成千上萬(wàn)的計(jì)算機(jī)網(wǎng)絡(luò)癱瘓。英國(guó)國(guó)家醫(yī)療服務(wù)體系(NationalHealthService)不得不用紙和筆來(lái)管理其設(shè)施。這次勒索軟件攻擊對(duì)全球150個(gè)國(guó)家的20多萬(wàn)臺(tái)計(jì)算機(jī)造成了影響。它是由未修補(bǔ)的Windows漏洞引起的。

（3）SolarWinds網(wǎng)絡(luò)攻擊

對(duì)太陽(yáng)風(fēng)獵戶座平臺(tái)的網(wǎng)絡(luò)攻擊是一種相對(duì)罕見的供應(yīng)鏈攻擊。黑客在軟件更新中插入病毒。這一漏洞影響了許多美國(guó)政府機(jī)構(gòu)和私營(yíng)部門公司，凸顯了與第三方軟件相關(guān)的漏洞。

8個(gè)網(wǎng)絡(luò)安全最佳實(shí)踐

1.是否有數(shù)據(jù)分類策略并強(qiáng)制執(zhí)行

沒(méi)有人比編寫軟件來(lái)處理和管理數(shù)據(jù)的人更了解數(shù)據(jù)了。軟件工程師有責(zé)任按照預(yù)期使用數(shù)據(jù)。軟件工程師應(yīng)該推動(dòng)健壯的數(shù)據(jù)分類策略和執(zhí)行機(jī)制。在一天結(jié)束的時(shí)候，如果有誤用，軟件工程師將被追究責(zé)任，即使是部分責(zé)任。

數(shù)據(jù)分類是根據(jù)(a)數(shù)據(jù)的敏感程度和(b)如果被錯(cuò)誤的人看到會(huì)造成多大的傷害，將數(shù)據(jù)分成不同的組。這樣的分類，雖然簡(jiǎn)單，但有效，因?yàn)橛幸粋€(gè)計(jì)劃的數(shù)據(jù)分類:我們可以確保重要的信息保持安全，只有應(yīng)該看到它的人。定期檢查我們是否遵守規(guī)則并在需要時(shí)對(duì)組進(jìn)行更改也很重要。

2.有數(shù)據(jù)、設(shè)備和政策的清單嗎

軟件工程師應(yīng)該有足夠的工具、信息和指導(dǎo)方針來(lái)實(shí)現(xiàn)安全性。他們應(yīng)該成為這樣一種文化的支持者，這最終會(huì)讓他們的生活輕松得多。

在任何有效的網(wǎng)絡(luò)安全管理系統(tǒng)中，維護(hù)所有數(shù)據(jù)、設(shè)備和政策的最新庫(kù)存都是至關(guān)重要的。這樣的列表可以幫助您了解哪些數(shù)據(jù)存儲(chǔ)在何處以及如何保護(hù)它們。它還確保硬件文檔、軟件安裝和漏洞識(shí)別配置。

3.定期進(jìn)行風(fēng)險(xiǎn)評(píng)估并提出改進(jìn)建議

軟件工程師工具箱中最大的工具之一是威脅模型。它包括所有涉及到的軟件組件的設(shè)計(jì)圖，它們之間的交互，以及客戶請(qǐng)求的進(jìn)出口點(diǎn)。彼此之間提出尖銳的問(wèn)題有助于我們?cè)u(píng)估風(fēng)險(xiǎn)，避免陷入毫無(wú)根據(jù)的假設(shè)的陷阱。

定期的風(fēng)險(xiǎn)評(píng)估使您能夠識(shí)別開發(fā)環(huán)境中的威脅或漏洞。這些評(píng)估必須包括內(nèi)部和外部因素，包括員工和第三方供應(yīng)商，以及新的網(wǎng)絡(luò)攻擊趨勢(shì)。基于這些發(fā)現(xiàn)，您必須提出改進(jìn)建議，以加強(qiáng)組織的安全態(tài)勢(shì)。

4.對(duì)所有登錄嘗試實(shí)施雙因素身份驗(yàn)證(2FA)

雙因素身份驗(yàn)證提供了額外的安全性，因?yàn)橛脩舯仨毺峁﹥煞N類型的標(biāo)識(shí)才能訪問(wèn)帳戶或系統(tǒng)。因此，即使登錄憑據(jù)暴露，這也會(huì)減少未經(jīng)授權(quán)的個(gè)人進(jìn)入的機(jī)會(huì)。在所有平臺(tái)和應(yīng)用程序上實(shí)現(xiàn)2FA是保護(hù)敏感數(shù)據(jù)的基礎(chǔ)。

雖然這聽起來(lái)像是IT需求，但應(yīng)該使用2FA來(lái)訪問(wèn)所有關(guān)鍵的軟件工程平臺(tái)和門戶。您是否想要登錄到一個(gè)跳轉(zhuǎn)主機(jī)，以便訪問(wèn)云環(huán)境?請(qǐng)確保您的工作流程啟用了2FA。如果不是，你能說(shuō)服管理相關(guān)基礎(chǔ)設(shè)施的人嗎?

5.是否有全公司范圍的密碼管理系統(tǒng)

密碼管理系統(tǒng)提供了一種安全的存儲(chǔ)和管理密碼的方式，從而為各種帳戶開發(fā)出可靠且唯一的密碼。它降低了密碼泄露的風(fēng)險(xiǎn)，簡(jiǎn)化了個(gè)人登錄憑據(jù)管理。

可能存在許多沒(méi)有單點(diǎn)登錄的外部系統(tǒng)，我們需要?jiǎng)?chuàng)建另一組憑據(jù)，其中一些可以與團(tuán)隊(duì)共享。密碼管理器是在工程師和其他員工之間共享這些密碼或秘密的最佳方法-不再通過(guò)電子郵件或聊天消息發(fā)送秘密。

6.安全意識(shí)培訓(xùn)和釣魚測(cè)試

對(duì)員工進(jìn)行有關(guān)網(wǎng)絡(luò)安全威脅和最佳實(shí)踐的培訓(xùn)，對(duì)于創(chuàng)建具有安全意識(shí)的文化至關(guān)重要。安全意識(shí)培訓(xùn)應(yīng)定期涵蓋識(shí)別網(wǎng)絡(luò)釣魚電子郵件、安全使用互聯(lián)網(wǎng)和正確的數(shù)據(jù)處理程序等領(lǐng)域。偶爾可以進(jìn)行網(wǎng)絡(luò)釣魚測(cè)試，以確定員工是否能夠注意到或報(bào)告可疑事件。

作為軟件工程師，如果您使用內(nèi)部工具(通常提供更廣泛的權(quán)限)，這一點(diǎn)就更為重要。與您的安全團(tuán)隊(duì)或IT部門討論安全意識(shí)培訓(xùn)。

7.加密所有內(nèi)部和外部通信

加密確保在組織內(nèi)外發(fā)送的敏感信息保持機(jī)密性和安全性。應(yīng)該在所有通信渠道上部署健壯的加密協(xié)議，包括電子郵件系統(tǒng)、消息傳遞應(yīng)用程序和文件傳輸。因此，即使信息在傳輸過(guò)程中被截獲，也可以防止對(duì)信息的未經(jīng)授權(quán)的訪問(wèn)。

AES-256對(duì)于靜態(tài)數(shù)據(jù)是一個(gè)很好的加密算法。對(duì)于傳輸中的數(shù)據(jù)，最好使用用于通信的任何TLS庫(kù)的默認(rèn)值。它們通常默認(rèn)為AES-256，但選擇默認(rèn)可以確保我們不會(huì)嘗試任何不太為人所知、研究較少的加密算法。即使是點(diǎn)對(duì)點(diǎn)的機(jī)器通信也應(yīng)該理想地使用加密。在專用網(wǎng)絡(luò)的端點(diǎn)之間使用明文通信是可能的，但它需要大量的經(jīng)驗(yàn)來(lái)鎖定它。

8.是否有事件響應(yīng)計(jì)劃

制定的事件響應(yīng)計(jì)劃有助于指導(dǎo)實(shí)體在網(wǎng)絡(luò)威脅(如數(shù)據(jù)泄露或勒索軟件滲透)期間采取行動(dòng)。它包括預(yù)防措施、響應(yīng)協(xié)議、恢復(fù)策略和通信程序。該計(jì)劃的定期排練和持續(xù)改進(jìn)確保組織為潛在的安全突發(fā)事件做好準(zhǔn)備。

大多數(shù)情況下，軟件工程師將參與到事件中，他們將承擔(dān)大部分緩解責(zé)任。作為一名軟件工程師，有這樣一個(gè)計(jì)劃可以確保你知道自己的角色和責(zé)任。

總結(jié)

總之，雖然這些實(shí)踐乍一看很簡(jiǎn)單，但軟件工程師必須記住它們的重要性。有時(shí)候，好的解決方案是最簡(jiǎn)單的。有了復(fù)雜的政策，就會(huì)產(chǎn)生混亂，這正是惡意行為者所希望看到的。當(dāng)這些實(shí)踐融入到組織的文化中時(shí)，效果會(huì)更好。