2012 年 12 月，一名黑客找到了雅虎網(wǎng)站上的第三方應(yīng)用程序的漏洞，從而攻擊了雅虎。他所使用的攻擊方式被稱為 SQL 注入。這次攻擊反映了很多網(wǎng)絡(luò)應(yīng)用程序所面臨的風(fēng)險(xiǎn)：網(wǎng)絡(luò)應(yīng)用程序通常包含著某種第三方代碼，例如 API，這種代碼一般并非是開發(fā)者開發(fā)的源代碼，不可自行改動(dòng)和修復(fù)，存在相當(dāng)大的不可控性，大大增加了網(wǎng)站遭受攻擊的風(fēng)險(xiǎn)。

“雅虎遭襲的最薄弱環(huán)節(jié)并非由雅虎公司自行開發(fā)編程的，甚至不是由雅虎服務(wù)器所代管的程序。主要原因起源于在其服務(wù)器上進(jìn)行應(yīng)用的第三方程序代碼所產(chǎn)生的漏洞。”Imperva 公司首席技術(shù)官 Amichai Shulman 先生說：“雅虎遭到攻擊的事件對(duì)企業(yè)肩負(fù)起如何確保第三方代碼和云端應(yīng)用程序的安全責(zé)任提出了巨大挑戰(zhàn)。”

作為Imperva (IMPV) 董事長和 CEO，以及世界上最偉大的信息安全行業(yè)的企業(yè)家————Shlom Kramer 先生深入挖掘了這些黑客背后的動(dòng)機(jī)。他說道：“這些黑客深不可測(cè)，背后暗藏金錢、政治或軍事動(dòng)機(jī)。他們已突破了數(shù)據(jù)中心儲(chǔ)存業(yè)務(wù)交易和其它數(shù)據(jù)保護(hù)技術(shù)應(yīng)用的屏障。”

Kramer 先生認(rèn)為 Imperva 為希望在“新型威脅環(huán)境”中保護(hù)自己的企業(yè)來說，提供了卓越的安全解決方案。

同時(shí)，在“雅虎遭襲的經(jīng)驗(yàn)教訓(xùn)”這份報(bào)告中，Imperva 公司提出了具體的解決方案。例如，為了維持業(yè)務(wù)良性發(fā)展，企業(yè)應(yīng)：

從安全的角度考慮，在合同中制定您能接受什么，不能接受什么的法律條款。

將信息安全責(zé)任的調(diào)查，納入企業(yè)并購事務(wù)的考量范圍之內(nèi)。

在此報(bào)告中，Imperva 公司也提出了技術(shù)方面的建議措施：

對(duì)網(wǎng)絡(luò)應(yīng)用程序所存在的漏洞進(jìn)行安全評(píng)估。用人工方式檢查網(wǎng)絡(luò)應(yīng)用程序的安全，或正確運(yùn)用自動(dòng)應(yīng)用程序可以識(shí)別潛在漏洞，并評(píng)估漏洞的安全系數(shù)。這些漏洞應(yīng)在軟件開發(fā)生命周期 (SDLC) 的初始階段就予以充分考慮和提出解決方案。

部署網(wǎng)絡(luò)應(yīng)用程序防火墻 (WAF)。網(wǎng)絡(luò)應(yīng)用程序防火墻對(duì)于信息安全起到至關(guān)作用，可防止有漏洞的網(wǎng)絡(luò)應(yīng)用程序被利用。Kramer 先生同時(shí)就此事件背后所隱藏的信息安全市場(chǎng)發(fā)展方向發(fā)表了自己的看法。“信息安全市場(chǎng)十分龐大——每年的銷售額可達(dá)到 300 億美元。”對(duì)于 Imperva 的未來Kramer 先生同樣滿懷信心。Imperva 的目前客戶基礎(chǔ)非常龐大，并且呈持續(xù)增長的趨勢(shì)。因?yàn)槠髽I(yè)組織日益關(guān)注到其數(shù)據(jù)中心的信息受到全新的安全威脅。據(jù) Kramer 先生稱：“我們所擁有的2200 家的大型企業(yè)客戶正在努力保護(hù)自己免受外部載體的入侵，包括移動(dòng)設(shè)備、網(wǎng)絡(luò)應(yīng)用程序，來自于客戶和合作伙伴的潛在信息危害。”

“我們的主要指標(biāo)均呈現(xiàn)樂觀趨勢(shì)。目前訂購火爆，銷售渠道正在不斷拓展。而且越來越多的組織認(rèn)為為保護(hù)數(shù)據(jù)中心的安全，有必要平衡此方面的預(yù)算，增加相應(yīng)的投入。”