世界上有三種類型的網(wǎng)站所有者:具有開發(fā)風(fēng)險(xiǎn)意識(shí)的人,認(rèn)為沒有任何東西可以破壞他們的網(wǎng)站的人,以及不真正關(guān)心網(wǎng)站的人。第二種業(yè)主比其他人更容易后悔和受苦。事實(shí)是,我們生活在一個(gè)每分鐘有 20 多個(gè)網(wǎng)站被黑客入侵的世界,這意味著攻擊者遲早也會(huì)嘗試進(jìn)入假定的“安全”系統(tǒng),并且他們很有可能會(huì)成功。
對(duì)于那些不在乎的人來說,通常的反駁是他們的業(yè)務(wù)或組織幾乎不值得付出努力,但黑客入侵的真正原因?qū)嶋H上不僅僅是金錢收益。如今,攻擊者因污損、數(shù)據(jù)泄露、服務(wù)器接管以中繼垃圾郵件、臨時(shí) Web 服務(wù)器使用、非法文件傳輸以及許多其他不知情的惡意活動(dòng)而進(jìn)行黑客攻擊。
這些嘗試通常在由自動(dòng)化工具支持的自動(dòng)化腳本上運(yùn)行,這些自動(dòng)化工具會(huì)尋找腳本不佳或安全的網(wǎng)站和服務(wù)器。因此,每個(gè)網(wǎng)站所有者都應(yīng)該有一個(gè)基本的清單,以確保網(wǎng)絡(luò)安全完好無損,或者至少是更新的。
保護(hù)網(wǎng)站所有者的 7 個(gè)習(xí)慣
習(xí)慣 1:始終如一地進(jìn)行審計(jì)
管理員和信息安全官員很少會(huì)超越他們自己對(duì)攻擊和利用的感知。這正是安全審計(jì)可以幫助評(píng)估安全基礎(chǔ)到底有多強(qiáng)大的地方。
理想情況下,您應(yīng)該定期審核幾乎所有內(nèi)容,包括外部資源、移動(dòng)應(yīng)用程序、Web 應(yīng)用程序、物理安全、路由器、防火墻、集線器、服務(wù)器設(shè)備、虛擬基礎(chǔ)設(shè)施、VPN、無線安全和工作站。然而,同樣由于 75% 的漏洞發(fā)生在應(yīng)用層這一事實(shí),最好通過Web 應(yīng)用掃描(WAS)、動(dòng)態(tài)應(yīng)用安全測(cè)試 (DAST)、虛擬補(bǔ)丁和監(jiān)控。
習(xí)慣 2:審查信息可用性
攻擊者經(jīng)常利用有關(guān)網(wǎng)站的可用信息來攻擊系統(tǒng)。它可以是從公共 DNS 記錄到員工信息的任何內(nèi)容,可以通過社交或反向工程來利用您的資源。
在這里,應(yīng)用層保護(hù)也很關(guān)鍵。有關(guān)應(yīng)用程序類型、服務(wù)器類型、開發(fā)人員、操作系統(tǒng)、部署或帶寬的信息可用于啟動(dòng) DDoS、命令注入或跨站點(diǎn)請(qǐng)求偽造。
理想情況下,安全的網(wǎng)站所有者應(yīng)該審查和限制公開可用的信息,并分析如何以一種或另一種方式利用它。在推出目錄結(jié)構(gòu)或本地機(jī)器名稱信息之前,即使是在錯(cuò)誤頁(yè)面上,也應(yīng)該絕對(duì)關(guān)注。
習(xí)慣 3:持續(xù)監(jiān)控
監(jiān)控攻擊、流量和用戶行為,尤其是使用專用工具或掃描儀可以提供有價(jià)值的信息。網(wǎng)站管理員可以了解很多有關(guān)哪些國(guó)家、IP 和連接導(dǎo)致問題以及如何創(chuàng)建自定義規(guī)則來阻止或限制此類行為的信息。
在入侵防御系統(tǒng)的幫助下,可以對(duì)每個(gè)通信層尤其是網(wǎng)絡(luò)采用警戒策略。另一方面,對(duì)于應(yīng)用層來說,強(qiáng)大的 Web 應(yīng)用掃描 (WAS) 測(cè)試工具可以派上用場(chǎng)。這樣,您不必為 Web 應(yīng)用程序聘請(qǐng)單獨(dú)的安全團(tuán)隊(duì),并且仍然可以控制攻擊日志和對(duì)其采取的決策。
習(xí)慣 4:定期更新
這實(shí)際上是最明顯但被忽視的安全習(xí)慣。雖然沒有什么比在多個(gè)平臺(tái)和系統(tǒng)上更新軟件、補(bǔ)丁和修復(fù)更乏味的了,但它可以讓您的安全機(jī)制保持警惕。
無論是您的操作系統(tǒng)還是惡意軟件掃描工具,沒有一款軟件是完美的。統(tǒng)計(jì)數(shù)據(jù)顯示,超過 90% 的更新都是基于安全性的。事實(shí)上,開發(fā)人員努力在黑客利用它們之前發(fā)現(xiàn)漏洞和編碼補(bǔ)丁。很明顯,未能更新會(huì)增加違規(guī)風(fēng)險(xiǎn)并危及您的整個(gè)網(wǎng)絡(luò)。除此之外,更新對(duì)服務(wù)器框架和配置也很重要。
習(xí)慣 5:超越合規(guī)性
支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)制定了一套最受信任的要求,以確保信用卡信息的處理,所有網(wǎng)站都應(yīng)針對(duì)其合規(guī)性,但這只是制定安全協(xié)議的地方,而不是結(jié)束。
信息安全是一個(gè)持續(xù)的過程,隨著經(jīng)驗(yàn)、數(shù)據(jù)和學(xué)習(xí)而變得更好。網(wǎng)站所有者必須意識(shí)到,合規(guī)性是提高安全性至少可以做的事情。除此之外,在內(nèi)部和外部層面還有很多工作要做。應(yīng)在組織內(nèi)鼓勵(lì)保護(hù)通信和敏感數(shù)據(jù)的創(chuàng)新舉措。
習(xí)慣 6:開發(fā)分層安全架構(gòu)
開放系統(tǒng)互連概念模型將通信層分為心理層、數(shù)據(jù)鏈路層、網(wǎng)絡(luò)層、傳輸層、會(huì)話層、表示層和應(yīng)用層。鑒于每個(gè)抽象層都可能使用不同類型的漏洞受到損害,因此開發(fā)分層安全產(chǎn)品組合變得至關(guān)重要。
分層安全包括通過心理資源、災(zāi)難管理計(jì)劃、數(shù)據(jù)包過濾器、系統(tǒng)中的惡意軟件和特洛伊木馬檢測(cè)器以及SSL 證書進(jìn)行保護(hù)。其中很多都包含在網(wǎng)絡(luò)防火墻和 IPS 之下。
然而,鑒于大多數(shù)攻擊發(fā)生在第 7 層,網(wǎng)站所有者也應(yīng)該認(rèn)真對(duì)待 Web 應(yīng)用程序安全。事實(shí)上,Indusface 研究表明,組織需要 30 到 180 天來修補(bǔ)已知漏洞,這對(duì)于攻擊者來說是足夠的時(shí)間來修復(fù)漏洞。開發(fā)。
我們建議最好使用Web 應(yīng)用程序掃描程序檢測(cè)第 7 層的漏洞,并進(jìn)一步使用 Web 應(yīng)用程序防火墻進(jìn)行虛擬修補(bǔ),以限制攻擊者利用這些漏洞,直到開發(fā)人員完成工作。
習(xí)慣 7:明智地預(yù)算
我們已經(jīng)討論過超過 75% 的網(wǎng)站攻擊發(fā)生在第 7 層。但是您是否也知道,仍然只有不到 18% 的信息安全總預(yù)算分配給應(yīng)用程序安全?這個(gè)巨大的差距經(jīng)常被忽視,比如沒有足夠的時(shí)間持續(xù)尋找應(yīng)用層漏洞,然后分配時(shí)間和金錢來修補(bǔ)它們。
從近年來的攻擊模式來看,應(yīng)用層攻擊的數(shù)量和復(fù)雜性都會(huì)增加。信息安全研究巨頭 Gartner 建議將靜態(tài)和動(dòng)態(tài) Web 應(yīng)用程序測(cè)試相結(jié)合,由Web 應(yīng)用程序防火墻支持,以便對(duì)漏洞進(jìn)行即時(shí)虛擬修補(bǔ)。網(wǎng)站所有者、管理人員和CISO應(yīng)設(shè)法分散他們的安全預(yù)算,并更加關(guān)注應(yīng)用程序安全。
