世界上有三种类型的网站所有者:具有开发风险意识的人,认为没有任何东西可以破坏他们的网站的人,以及不真正关心网站的人。第二种业主比其他人更容易后悔和受苦。事实是,我们生活在一个每分钟有 20 多个网站被黑客入侵的世界,这意味着攻击者迟早也会尝试进入假定的“安全”系统,并且他们很有可能会成功。
对于那些不在乎的人来说,通常的反驳是他们的业务或组织几乎不值得付出努力,但黑客入侵的真正原因实际上不仅仅是金钱收益。如今,攻击者因污损、数据泄露、服务器接管以中继垃圾邮件、临时 Web 服务器使用、非法文件传输以及许多其他不知情的恶意活动而进行黑客攻击。
这些尝试通常在由自动化工具支持的自动化脚本上运行,这些自动化工具会寻找脚本不佳或安全的网站和服务器。因此,每个网站所有者都应该有一个基本的清单,以确保网络安全完好无损,或者至少是更新的。
保护网站所有者的 7 个习惯
习惯 1:始终如一地进行审计
管理员和信息安全官员很少会超越他们自己对攻击和利用的感知。这正是安全审计可以帮助评估安全基础到底有多强大的地方。
理想情况下,您应该定期审核几乎所有内容,包括外部资源、移动应用程序、Web 应用程序、物理安全、路由器、防火墙、集线器、服务器设备、虚拟基础设施、VPN、无线安全和工作站。然而,同样由于 75% 的漏洞发生在应用层这一事实,最好通过Web 应用扫描(WAS)、动态应用安全测试 (DAST)、虚拟补丁和监控。
习惯 2:审查信息可用性
攻击者经常利用有关网站的可用信息来攻击系统。它可以是从公共 DNS 记录到员工信息的任何内容,可以通过社交或反向工程来利用您的资源。
在这里,应用层保护也很关键。有关应用程序类型、服务器类型、开发人员、操作系统、部署或带宽的信息可用于启动 DDoS、命令注入或跨站点请求伪造。
理想情况下,安全的网站所有者应该审查和限制公开可用的信息,并分析如何以一种或另一种方式利用它。在推出目录结构或本地机器名称信息之前,即使是在错误页面上,也应该绝对关注。
习惯 3:持续监控
监控攻击、流量和用户行为,尤其是使用专用工具或扫描仪可以提供有价值的信息。网站管理员可以了解很多有关哪些国家、IP 和连接导致问题以及如何创建自定义规则来阻止或限制此类行为的信息。
在入侵防御系统的帮助下,可以对每个通信层尤其是网络采用警戒策略。另一方面,对于应用层来说,强大的 Web 应用扫描 (WAS) 测试工具可以派上用场。这样,您不必为 Web 应用程序聘请单独的安全团队,并且仍然可以控制攻击日志和对其采取的决策。
习惯 4:定期更新
这实际上是最明显但被忽视的安全习惯。虽然没有什么比在多个平台和系统上更新软件、补丁和修复更乏味的了,但它可以让您的安全机制保持警惕。
无论是您的操作系统还是恶意软件扫描工具,没有一款软件是完美的。统计数据显示,超过 90% 的更新都是基于安全性的。事实上,开发人员努力在黑客利用它们之前发现漏洞和编码补丁。很明显,未能更新会增加违规风险并危及您的整个网络。除此之外,更新对服务器框架和配置也很重要。
习惯 5:超越合规性
支付卡行业数据安全标准制定了一套最受信任的要求,以确保信用卡信息的处理,所有网站都应针对其合规性,但这只是制定安全协议的地方,而不是结束。
信息安全是一个持续的过程,随着经验、数据和学习而变得更好。网站所有者必须意识到,合规性是提高安全性至少可以做的事情。除此之外,在内部和外部层面还有很多工作要做。应在组织内鼓励保护通信和敏感数据的创新举措。
习惯 6:开发分层安全架构
开放系统互连概念模型将通信层分为心理层、数据链路层、网络层、传输层、会话层、表示层和应用层。鉴于每个抽象层都可能使用不同类型的漏洞受到损害,因此开发分层安全产品组合变得至关重要。
分层安全包括通过心理资源、灾难管理计划、数据包过滤器、系统中的恶意软件和特洛伊木马检测器以及SSL 证书进行保护。其中很多都包含在网络防火墙和 IPS 之下。
然而,鉴于大多数攻击发生在第 7 层,网站所有者也应该认真对待 Web 应用程序安全。事实上,Indusface 研究表明,组织需要 30 到 180 天来修补已知漏洞,这对于攻击者来说是足够的时间来修复漏洞。开发。
我们建议最好使用Web 应用程序扫描程序检测第 7 层的漏洞,并进一步使用 Web 应用程序防火墙进行虚拟修补,以限制攻击者利用这些漏洞,直到开发人员完成工作。
习惯 7:明智地预算
我们已经讨论过超过 75% 的网站攻击发生在第 7 层。但是您是否也知道,仍然只有不到 18% 的信息安全总预算分配给应用程序安全?这个巨大的差距经常被忽视,比如没有足够的时间持续寻找应用层漏洞,然后分配时间和金钱来修补它们。
从近年来的攻击模式来看,应用层攻击的数量和复杂性都会增加。信息安全研究巨头 Gartner 建议将静态和动态 Web 应用程序测试相结合,由Web 应用程序防火墙支持,以便对漏洞进行即时虚拟修补。网站所有者、管理人员和CISO应设法分散他们的安全预算,并更加关注应用程序安全。