世界上有三種類型的網站所有者:具有開發風險意識的人,認為沒有任何東西可以破壞他們的網站的人,以及不真正關心網站的人。第二種業主比其他人更容易后悔和受苦。事實是,我們生活在一個每分鐘有 20 多個網站被黑客入侵的世界,這意味著攻擊者遲早也會嘗試進入假定的“安全”系統,并且他們很有可能會成功。
對于那些不在乎的人來說,通常的反駁是他們的業務或組織幾乎不值得付出努力,但黑客入侵的真正原因實際上不僅僅是金錢收益。如今,攻擊者因污損、數據泄露、服務器接管以中繼垃圾郵件、臨時 Web 服務器使用、非法文件傳輸以及許多其他不知情的惡意活動而進行黑客攻擊。
這些嘗試通常在由自動化工具支持的自動化腳本上運行,這些自動化工具會尋找腳本不佳或安全的網站和服務器。因此,每個網站所有者都應該有一個基本的清單,以確保網絡安全完好無損,或者至少是更新的。
保護網站所有者的 7 個習慣
習慣 1:始終如一地進行審計
管理員和信息安全官員很少會超越他們自己對攻擊和利用的感知。這正是安全審計可以幫助評估安全基礎到底有多強大的地方。
理想情況下,您應該定期審核幾乎所有內容,包括外部資源、移動應用程序、Web 應用程序、物理安全、路由器、防火墻、集線器、服務器設備、虛擬基礎設施、VPN、無線安全和工作站。然而,同樣由于 75% 的漏洞發生在應用層這一事實,最好通過Web 應用掃描(WAS)、動態應用安全測試 (DAST)、虛擬補丁和監控。
習慣 2:審查信息可用性
攻擊者經常利用有關網站的可用信息來攻擊系統。它可以是從公共 DNS 記錄到員工信息的任何內容,可以通過社交或反向工程來利用您的資源。
在這里,應用層保護也很關鍵。有關應用程序類型、服務器類型、開發人員、操作系統、部署或帶寬的信息可用于啟動 DDoS、命令注入或跨站點請求偽造。
理想情況下,安全的網站所有者應該審查和限制公開可用的信息,并分析如何以一種或另一種方式利用它。在推出目錄結構或本地機器名稱信息之前,即使是在錯誤頁面上,也應該絕對關注。
習慣 3:持續監控
監控攻擊、流量和用戶行為,尤其是使用專用工具或掃描儀可以提供有價值的信息。網站管理員可以了解很多有關哪些國家、IP 和連接導致問題以及如何創建自定義規則來阻止或限制此類行為的信息。
在入侵防御系統的幫助下,可以對每個通信層尤其是網絡采用警戒策略。另一方面,對于應用層來說,強大的 Web 應用掃描 (WAS) 測試工具可以派上用場。這樣,您不必為 Web 應用程序聘請單獨的安全團隊,并且仍然可以控制攻擊日志和對其采取的決策。
習慣 4:定期更新
這實際上是最明顯但被忽視的安全習慣。雖然沒有什么比在多個平臺和系統上更新軟件、補丁和修復更乏味的了,但它可以讓您的安全機制保持警惕。
無論是您的操作系統還是惡意軟件掃描工具,沒有一款軟件是完美的。統計數據顯示,超過 90% 的更新都是基于安全性的。事實上,開發人員努力在黑客利用它們之前發現漏洞和編碼補丁。很明顯,未能更新會增加違規風險并危及您的整個網絡。除此之外,更新對服務器框架和配置也很重要。
習慣 5:超越合規性
支付卡行業數據安全標準制定了一套最受信任的要求,以確保信用卡信息的處理,所有網站都應針對其合規性,但這只是制定安全協議的地方,而不是結束。
信息安全是一個持續的過程,隨著經驗、數據和學習而變得更好。網站所有者必須意識到,合規性是提高安全性至少可以做的事情。除此之外,在內部和外部層面還有很多工作要做。應在組織內鼓勵保護通信和敏感數據的創新舉措。
習慣 6:開發分層安全架構
開放系統互連概念模型將通信層分為心理層、數據鏈路層、網絡層、傳輸層、會話層、表示層和應用層。鑒于每個抽象層都可能使用不同類型的漏洞受到損害,因此開發分層安全產品組合變得至關重要。
分層安全包括通過心理資源、災難管理計劃、數據包過濾器、系統中的惡意軟件和特洛伊木馬檢測器以及SSL 證書進行保護。其中很多都包含在網絡防火墻和 IPS 之下。
然而,鑒于大多數攻擊發生在第 7 層,網站所有者也應該認真對待 Web 應用程序安全。事實上,Indusface 研究表明,組織需要 30 到 180 天來修補已知漏洞,這對于攻擊者來說是足夠的時間來修復漏洞。開發。
我們建議最好使用Web 應用程序掃描程序檢測第 7 層的漏洞,并進一步使用 Web 應用程序防火墻進行虛擬修補,以限制攻擊者利用這些漏洞,直到開發人員完成工作。
習慣 7:明智地預算
我們已經討論過超過 75% 的網站攻擊發生在第 7 層。但是您是否也知道,仍然只有不到 18% 的信息安全總預算分配給應用程序安全?這個巨大的差距經常被忽視,比如沒有足夠的時間持續尋找應用層漏洞,然后分配時間和金錢來修補它們。
從近年來的攻擊模式來看,應用層攻擊的數量和復雜性都會增加。信息安全研究巨頭 Gartner 建議將靜態和動態 Web 應用程序測試相結合,由Web 應用程序防火墻支持,以便對漏洞進行即時虛擬修補。網站所有者、管理人員和CISO應設法分散他們的安全預算,并更加關注應用程序安全。
