1.3.8　不要信任基礎設施

在信息安全領域有一種誤解，那就是“我使用了主流的基礎設施，例如網站服務器、數據庫服務器、緩存服務器，因此我不需要額外防護我的應用了。我完全依賴于這些基礎設施提供的安全措施。”

雖然主流的信息基礎設施在設計和實現時會把安全放在重要的位置，但是如果沒有健壯的驗證機制和安全控制措施，這些應用反而會成為基礎設施中顯而易見的攻擊點，使得黑客通過應用漏洞完全控制基礎設施。

WebLogic這樣一個廣泛使用的Web容器平臺就曾經爆發過嚴重的安全漏洞。例如，在2017年12月末，國外安全研究者K.Orange在Twitter上曝出有黑產團體利用WebLogic反序列化漏洞（CVE-2017-3248）對全球服務器發起大規模攻擊，大量企業服務器已失陷且被安裝上了watch-smartd挖礦程序。這個例子告訴我們，要時時刻刻關注信息基礎設施的安全，及時修正其存在的安全缺陷。