小企業(yè)也需要大安全
在信息安全世界,小型企業(yè)及其安全需求常常被忽略,特別是在應(yīng)用安全領(lǐng)域。
在信息安全世界,小型企業(yè)及其安全需求常常被忽略,特別是在應(yīng)用安全領(lǐng)域。并且,小型企業(yè)缺乏專門的安全團(tuán)隊(duì),更不用說(shuō)安全專家。因此,在應(yīng)對(duì)攻擊和安全事故時(shí),小型企業(yè)面臨巨大的風(fēng)險(xiǎn)。那么,小型企業(yè)應(yīng)該如何加強(qiáng)其安全性呢?
盡量減少攻擊面
隨著企業(yè)的不斷發(fā)展,擴(kuò)展規(guī)模成為一個(gè)很大的挑戰(zhàn)。在技術(shù)方面,擴(kuò)展意味著加強(qiáng)你的基礎(chǔ)設(shè)施和技術(shù)來(lái)提供更廣泛的可靠的服務(wù)產(chǎn)品,也就是說(shuō),擴(kuò)展技術(shù)和服務(wù)需要增加更多“東西”到企業(yè)中。但是,隨著基礎(chǔ)設(shè)施的擴(kuò)展,攻擊面會(huì)相應(yīng)地增大,從而給企業(yè)帶來(lái)更多安全風(fēng)險(xiǎn)。
為了在擴(kuò)展規(guī)模的同時(shí)減少攻擊面,企業(yè)應(yīng)該確保在公布企業(yè)資產(chǎn)、應(yīng)用程序和功能信息時(shí),只是公布需要用于交付服務(wù)的信息。企業(yè)應(yīng)該經(jīng)常問(wèn)自己,這個(gè)信息需要放到網(wǎng)上嗎?如果受到攻擊會(huì)怎樣?我們?cè)撊绾畏乐顾獾焦簦?br />
明白打補(bǔ)丁的重要性
我們都聽(tīng)過(guò)這樣的說(shuō)法,“最好的防御就是進(jìn)攻”,可能這并不完全是正確的,但對(duì)于小型企業(yè)而言,確實(shí)是如此。小型企業(yè)的防御能力要弱于大型企業(yè),但大型企業(yè)面臨巨大的攻擊面,這意味著你可以利用你小規(guī)模的優(yōu)勢(shì)來(lái)迅速且頻繁地修復(fù)漏洞。對(duì)于較小型的基礎(chǔ)設(shè)施,漏洞修復(fù)工作可以更迅速地進(jìn)行,但存在的一個(gè)問(wèn)題就是,保持追蹤相關(guān)的安全問(wèn)題。為了解決這個(gè)問(wèn)題,筆者強(qiáng)烈建議創(chuàng)建一個(gè)安全@電子郵件地址;確定你的平臺(tái)依賴的組件,例如Apache、MySQL、PHP、Oracle等;并使用該郵件地址訂閱相關(guān)軟件的安全和更新feed。一旦發(fā)現(xiàn)安全公告和更新,就應(yīng)該評(píng)估對(duì)你系統(tǒng)的相關(guān)性,并立即修復(fù)。
利用免費(fèi)工具
有兩個(gè)優(yōu)秀且免費(fèi)的工具可用于web應(yīng)用程序掃描:Arachni和W3AF。這兩個(gè)工具主要針對(duì)應(yīng)用程序?qū)<遥瑫r(shí),它們也可以有效地幫助你的團(tuán)隊(duì)掃描網(wǎng)站或者應(yīng)用程序,以發(fā)現(xiàn)SQL注入和跨站腳本攻擊。即使你企業(yè)沒(méi)有安全專家,筆者也強(qiáng)烈建議你下載并安裝W3AF或者Arachni,花一些時(shí)間熟悉這些工具,并養(yǎng)成掃描應(yīng)用程序的習(xí)慣,以確保不會(huì)忽略容易被發(fā)現(xiàn)的漏洞。
制定計(jì)劃
未來(lái)某一天,你的企業(yè)可能會(huì)遭遇安全事故。根據(jù)攻擊的動(dòng)機(jī)的不同,安全泄漏事故的嚴(yán)重程度會(huì)有所不同,但必然會(huì)造成數(shù)據(jù)丟失、破壞等。考慮到這一點(diǎn),企業(yè)應(yīng)該確保具有安全的異地備份。除此之外,企業(yè)還應(yīng)該確認(rèn)數(shù)據(jù)的完整性,這樣,當(dāng)你從備份進(jìn)行恢復(fù)時(shí),數(shù)據(jù)就完全可用了。并且,企業(yè)還應(yīng)該確保對(duì)這些備份的訪問(wèn)是“單向的”,即沒(méi)有人可以登錄到你的web服務(wù)器、從備份腳本讀取SSH密鑰/密碼,然后登錄到備份服務(wù)器,并破壞你的數(shù)據(jù)。
最后,如果你的企業(yè)負(fù)擔(dān)得起的話,請(qǐng)確保你的企業(yè)每年至少執(zhí)行一次專業(yè)的安全評(píng)估。你也可以自己進(jìn)行評(píng)估和QA工作,更好地了解你企業(yè)和應(yīng)用程序的安全態(tài)勢(shì)。
盡量減少攻擊面
隨著企業(yè)的不斷發(fā)展,擴(kuò)展規(guī)模成為一個(gè)很大的挑戰(zhàn)。在技術(shù)方面,擴(kuò)展意味著加強(qiáng)你的基礎(chǔ)設(shè)施和技術(shù)來(lái)提供更廣泛的可靠的服務(wù)產(chǎn)品,也就是說(shuō),擴(kuò)展技術(shù)和服務(wù)需要增加更多“東西”到企業(yè)中。但是,隨著基礎(chǔ)設(shè)施的擴(kuò)展,攻擊面會(huì)相應(yīng)地增大,從而給企業(yè)帶來(lái)更多安全風(fēng)險(xiǎn)。
為了在擴(kuò)展規(guī)模的同時(shí)減少攻擊面,企業(yè)應(yīng)該確保在公布企業(yè)資產(chǎn)、應(yīng)用程序和功能信息時(shí),只是公布需要用于交付服務(wù)的信息。企業(yè)應(yīng)該經(jīng)常問(wèn)自己,這個(gè)信息需要放到網(wǎng)上嗎?如果受到攻擊會(huì)怎樣?我們?cè)撊绾畏乐顾獾焦簦?br />
明白打補(bǔ)丁的重要性
我們都聽(tīng)過(guò)這樣的說(shuō)法,“最好的防御就是進(jìn)攻”,可能這并不完全是正確的,但對(duì)于小型企業(yè)而言,確實(shí)是如此。小型企業(yè)的防御能力要弱于大型企業(yè),但大型企業(yè)面臨巨大的攻擊面,這意味著你可以利用你小規(guī)模的優(yōu)勢(shì)來(lái)迅速且頻繁地修復(fù)漏洞。對(duì)于較小型的基礎(chǔ)設(shè)施,漏洞修復(fù)工作可以更迅速地進(jìn)行,但存在的一個(gè)問(wèn)題就是,保持追蹤相關(guān)的安全問(wèn)題。為了解決這個(gè)問(wèn)題,筆者強(qiáng)烈建議創(chuàng)建一個(gè)安全@電子郵件地址;確定你的平臺(tái)依賴的組件,例如Apache、MySQL、PHP、Oracle等;并使用該郵件地址訂閱相關(guān)軟件的安全和更新feed。一旦發(fā)現(xiàn)安全公告和更新,就應(yīng)該評(píng)估對(duì)你系統(tǒng)的相關(guān)性,并立即修復(fù)。
利用免費(fèi)工具
有兩個(gè)優(yōu)秀且免費(fèi)的工具可用于web應(yīng)用程序掃描:Arachni和W3AF。這兩個(gè)工具主要針對(duì)應(yīng)用程序?qū)<遥瑫r(shí),它們也可以有效地幫助你的團(tuán)隊(duì)掃描網(wǎng)站或者應(yīng)用程序,以發(fā)現(xiàn)SQL注入和跨站腳本攻擊。即使你企業(yè)沒(méi)有安全專家,筆者也強(qiáng)烈建議你下載并安裝W3AF或者Arachni,花一些時(shí)間熟悉這些工具,并養(yǎng)成掃描應(yīng)用程序的習(xí)慣,以確保不會(huì)忽略容易被發(fā)現(xiàn)的漏洞。
制定計(jì)劃
未來(lái)某一天,你的企業(yè)可能會(huì)遭遇安全事故。根據(jù)攻擊的動(dòng)機(jī)的不同,安全泄漏事故的嚴(yán)重程度會(huì)有所不同,但必然會(huì)造成數(shù)據(jù)丟失、破壞等。考慮到這一點(diǎn),企業(yè)應(yīng)該確保具有安全的異地備份。除此之外,企業(yè)還應(yīng)該確認(rèn)數(shù)據(jù)的完整性,這樣,當(dāng)你從備份進(jìn)行恢復(fù)時(shí),數(shù)據(jù)就完全可用了。并且,企業(yè)還應(yīng)該確保對(duì)這些備份的訪問(wèn)是“單向的”,即沒(méi)有人可以登錄到你的web服務(wù)器、從備份腳本讀取SSH密鑰/密碼,然后登錄到備份服務(wù)器,并破壞你的數(shù)據(jù)。
最后,如果你的企業(yè)負(fù)擔(dān)得起的話,請(qǐng)確保你的企業(yè)每年至少執(zhí)行一次專業(yè)的安全評(píng)估。你也可以自己進(jìn)行評(píng)估和QA工作,更好地了解你企業(yè)和應(yīng)用程序的安全態(tài)勢(shì)。
責(zé)任編輯:和碩涵
免責(zé)聲明:本文僅代表作者個(gè)人觀點(diǎn),與本站無(wú)關(guān)。其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本站證實(shí),對(duì)本文以及其中全部或者部分內(nèi)容、文字的真實(shí)性、完整性、及時(shí)性本站不作任何保證或承諾,請(qǐng)讀者僅作參考,并請(qǐng)自行核實(shí)相關(guān)內(nèi)容。
我要收藏
個(gè)贊
- 相關(guān)閱讀
- 安全信息
- 安全技術(shù)
- 系統(tǒng)安全
- 信息安全案例
- 等級(jí)保護(hù)
- 安防軟件
-
發(fā)電電力輔助服務(wù)營(yíng)銷決策模型
2019-06-24電力輔助服務(wù)營(yíng)銷 -
電力線路安全工作的組織措施和技術(shù)措施分別是什么?
-
兩會(huì)保電進(jìn)行時(shí)丨陜西電力部署6項(xiàng)重點(diǎn)任務(wù)
-
電力線路安全工作的組織措施和技術(shù)措施分別是什么?
-
兩會(huì)保電進(jìn)行時(shí)丨陜西電力部署6項(xiàng)重點(diǎn)任務(wù)
-
山東特高壓首次完成帶電消缺 確保電力安全穩(wěn)定迎峰度冬
-
發(fā)電電力輔助服務(wù)營(yíng)銷決策模型
2019-06-24電力輔助服務(wù)營(yíng)銷 -
繞過(guò)安卓SSL驗(yàn)證證書(shū)的四種方式
-
網(wǎng)絡(luò)何以可能
2017-02-24網(wǎng)絡(luò)
-
Windows 10首發(fā) 四大安全提升
-
超級(jí)安卓漏洞 “寄生獸”影響數(shù)千萬(wàn)手機(jī)應(yīng)用
-
航空公司首出現(xiàn)操作系統(tǒng)被黑
2015-06-23航空公司
-
“企業(yè)應(yīng)急響應(yīng)和反滲透”之真實(shí)案例分析
-
攜程恢復(fù)正常 安全,我們準(zhǔn)備好了嗎?
2015-05-29攜程 -
一張圖讀懂《2014年消費(fèi)者個(gè)人信息網(wǎng)絡(luò)安全報(bào)告》
