在信息安全世界,小型企业及其安全需求常常被忽略,特别是在应用安全领域。并且,小型企业缺乏专门的安全团队,更不用说安全专家。因此,在应对攻击和安全事故时,小型企业面临巨大的风险。那么,小型企业应该如何加强其安全性呢?
尽量减少攻击面
随着企业的不断发展,扩展规模成为一个很大的挑战。在技术方面,扩展意味着加强你的基础设施和技术来提供更广泛的可靠的服务产品,也就是说,扩展技术和服务需要增加更多“东西”到企业中。但是,随着基础设施的扩展,攻击面会相应地增大,从而给企业带来更多安全风险。
为了在扩展规模的同时减少攻击面,企业应该确保在公布企业资产、应用程序和功能信息时,只是公布需要用于交付服务的信息。企业应该经常问自己,这个信息需要放到网上吗?如果受到攻击会怎样?我们该如何防止它遭到攻击?
明白打补丁的重要性
我们都听过这样的说法,“最好的防御就是进攻”,可能这并不完全是正确的,但对于小型企业而言,确实是如此。小型企业的防御能力要弱于大型企业,但大型企业面临巨大的攻击面,这意味着你可以利用你小规模的优势来迅速且频繁地修复漏洞。对于较小型的基础设施,漏洞修复工作可以更迅速地进行,但存在的一个问题就是,保持追踪相关的安全问题。为了解决这个问题,笔者强烈建议创建一个安全@电子邮件地址;确定你的平台依赖的组件,例如Apache、MySQL、PHP、Oracle等;并使用该邮件地址订阅相关软件的安全和更新feed。一旦发现安全公告和更新,就应该评估对你系统的相关性,并立即修复。
利用免费工具
有两个优秀且免费的工具可用于web应用程序扫描:Arachni和W3AF。这两个工具主要针对应用程序专家,同时,它们也可以有效地帮助你的团队扫描网站或者应用程序,以发现SQL注入和跨站脚本攻击。即使你企业没有安全专家,笔者也强烈建议你下载并安装W3AF或者Arachni,花一些时间熟悉这些工具,并养成扫描应用程序的习惯,以确保不会忽略容易被发现的漏洞。
制定计划
未来某一天,你的企业可能会遭遇安全事故。根据攻击的动机的不同,安全泄漏事故的严重程度会有所不同,但必然会造成数据丢失、破坏等。考虑到这一点,企业应该确保具有安全的异地备份。除此之外,企业还应该确认数据的完整性,这样,当你从备份进行恢复时,数据就完全可用了。并且,企业还应该确保对这些备份的访问是“单向的”,即没有人可以登录到你的web服务器、从备份脚本读取SSH密钥/密码,然后登录到备份服务器,并破坏你的数据。
最后,如果你的企业负担得起的话,请确保你的企业每年至少执行一次专业的安全评估。你也可以自己进行评估和QA工作,更好地了解你企业和应用程序的安全态势。
尽量减少攻击面
随着企业的不断发展,扩展规模成为一个很大的挑战。在技术方面,扩展意味着加强你的基础设施和技术来提供更广泛的可靠的服务产品,也就是说,扩展技术和服务需要增加更多“东西”到企业中。但是,随着基础设施的扩展,攻击面会相应地增大,从而给企业带来更多安全风险。
为了在扩展规模的同时减少攻击面,企业应该确保在公布企业资产、应用程序和功能信息时,只是公布需要用于交付服务的信息。企业应该经常问自己,这个信息需要放到网上吗?如果受到攻击会怎样?我们该如何防止它遭到攻击?
明白打补丁的重要性
我们都听过这样的说法,“最好的防御就是进攻”,可能这并不完全是正确的,但对于小型企业而言,确实是如此。小型企业的防御能力要弱于大型企业,但大型企业面临巨大的攻击面,这意味着你可以利用你小规模的优势来迅速且频繁地修复漏洞。对于较小型的基础设施,漏洞修复工作可以更迅速地进行,但存在的一个问题就是,保持追踪相关的安全问题。为了解决这个问题,笔者强烈建议创建一个安全@电子邮件地址;确定你的平台依赖的组件,例如Apache、MySQL、PHP、Oracle等;并使用该邮件地址订阅相关软件的安全和更新feed。一旦发现安全公告和更新,就应该评估对你系统的相关性,并立即修复。
利用免费工具
有两个优秀且免费的工具可用于web应用程序扫描:Arachni和W3AF。这两个工具主要针对应用程序专家,同时,它们也可以有效地帮助你的团队扫描网站或者应用程序,以发现SQL注入和跨站脚本攻击。即使你企业没有安全专家,笔者也强烈建议你下载并安装W3AF或者Arachni,花一些时间熟悉这些工具,并养成扫描应用程序的习惯,以确保不会忽略容易被发现的漏洞。
制定计划
未来某一天,你的企业可能会遭遇安全事故。根据攻击的动机的不同,安全泄漏事故的严重程度会有所不同,但必然会造成数据丢失、破坏等。考虑到这一点,企业应该确保具有安全的异地备份。除此之外,企业还应该确认数据的完整性,这样,当你从备份进行恢复时,数据就完全可用了。并且,企业还应该确保对这些备份的访问是“单向的”,即没有人可以登录到你的web服务器、从备份脚本读取SSH密钥/密码,然后登录到备份服务器,并破坏你的数据。
最后,如果你的企业负担得起的话,请确保你的企业每年至少执行一次专业的安全评估。你也可以自己进行评估和QA工作,更好地了解你企业和应用程序的安全态势。