以信息傳播的速度，人們很容易忘記互聯(lián)網(wǎng)相對年輕。有了指數(shù)增長的潛力，首先是負面的預(yù)見，我們可以開始看到互聯(lián)網(wǎng)在使用數(shù)據(jù)推動技術(shù)進步時的好處；和整個人類。

致力于漏洞分析、開發(fā)和研究的網(wǎng)絡(luò)安全項目現(xiàn)在正與行業(yè)領(lǐng)導(dǎo)者和公司合作，例如 Cisco Talos、Google, 和 IBM 的目的是故意暴露設(shè)計缺陷。故意破壞軟件的努力本質(zhì)上是惡意和粗魯?shù)摹Ｈ欢@些蓄意攻擊提供了透明度，促進了潛在威脅的安全加強。在實踐中，好人最好在壞人利用漏洞之前發(fā)現(xiàn)它。零日漏洞在公開披露之前提供給供應(yīng)商，使開發(fā)人員有機會實施補丁。這個想法是共同努力，因為谷歌等公司與 GNU 項目等自由軟件項目合作，為開源項目提供了一個改進的平臺。

使用分析數(shù)據(jù)保護用戶

開源項目主要由社區(qū)驅(qū)動，許多項目是成員開發(fā)和研究貢獻的產(chǎn)物。Open Web Application Security Project，縮寫為OWASP，是一個致力于Web應(yīng)用程序安全的非盈利組織。提供 Web App 安全和分析數(shù)據(jù)，這個開源社區(qū)對服務(wù)器級別有更直接的影響。雖然像思科、谷歌和 IBM 這樣的大公司處于最前沿，但像 OWASP 這樣的項目已經(jīng)使用 2017 年收集的數(shù)據(jù)編制了Web 應(yīng)用程序中的十大安全風(fēng)險。

頂級網(wǎng)絡(luò)安全風(fēng)險

1. 注入：SQL、XML 解析器、操作系統(tǒng)命令、SMTP 標頭注入型攻擊顯著增加——2017 年比 2016 年增長了 37%。代碼注入攻擊可以包括整個系統(tǒng)，完全控制。SQL 注入破壞了數(shù)據(jù)庫，查詢通常包含個人信息的最重要的組件。
2. 身份驗證：蠻力、字典、會話管理攻擊隨著單詞列表不斷膨脹，弱密碼變得更容易受到字典攻擊。避免設(shè)置不利于密碼復(fù)雜性的特殊字符限制和最大長度值。成功的身份驗證會生成具有空閑超時的隨機會話 ID。
3. 安全配置錯誤：未修補的缺陷、默認帳戶、未受保護的文件/目錄錯誤是幾乎五分之一漏洞的核心。
4. XML 外部實體：DDoS、XML 上傳、使用 XML-RPC 的 URI 評估CMS，包括 WordPress 和 Drupal，容易受到遠程入侵。有許多用于發(fā)送 DoS/DDoS 流量的pingback 攻擊實例。在大多數(shù)情況下，可以完全刪除 XML-RPC 文件。XML 處理器可以評估 URI，可以利用它來上傳惡意內(nèi)容。
5. 日志記錄和監(jiān)控不足：防止不可挽回的數(shù)據(jù)泄漏需要意識。68% 的違規(guī)行為需要數(shù)月或更長時間才能被發(fā)現(xiàn)。日志記錄和監(jiān)控警報對于記錄違規(guī)行為至關(guān)重要。

網(wǎng)絡(luò)安全的未來

了解風(fēng)險是最好的防御措施。在一個漏洞百出的世界網(wǎng)絡(luò)中，為看似不可避免的攻擊做好準備是最大的財富。毫無疑問，安全始于個人。大多數(shù) IT 專業(yè)人士同意，相關(guān)課程應(yīng)該是一項要求。漏洞會隨著技術(shù)的進步而出現(xiàn)，作為一個社區(qū)，我們可以看到數(shù)據(jù)和分析在創(chuàng)新中的重要性。