創業團隊如何在低成本的情況下保護自己的網站安全?一般來說,很多安全專傢都會告訴你沒有絕對的安全,如果黑客一定要長期盯著你的公司有針對性的滲透,很少有可以幸免的。
這麼說難免令人沮喪,盡管如此,我們仍然不能坐以待斃。就算所有公司都被黑客黑掉瞭,我們也希望自己能是最後被黑掉的那一個。同時,如果采取的措施恰當,是有可能將損失降至最低的。
對於創業團隊來說,業務發展速度快,運維策略、研發過程可能都不太規范,這給安全工作會帶來很多的問題。最常見的是:
1. 代碼更新頻繁且快速,增加安全檢查是一種額外的負擔
2. 測試環境、生產環境混亂,程序員、測試、運維可能都有服務器的權限
3. 缺乏必要的策略和流程,以至於產生SVN權限亂給、離職員工還能有權限、員工隨意在服務器上開端口暴露出去等諸多問題
以上問題都給安全工作帶來瞭很多困難,而且創業團隊一般來說是沒有全職的安全工程師崗位的。
根據我的經驗,一般公司對安全的重視程度,與這傢公司是否出過安全事件有著極大的關系。如果一傢公司以前從沒有遇到過安全問題,那麼也不會有什麼決心在安全方面有所投入;相對的是,如果一傢公司遭遇過黑客攻擊,並且造成瞭一定損失,那麼對安全問題的態度就會來個一百八十度的轉彎。
無論是教科書上,還是我的從業經驗,都認定瞭一個事實:安全工作需要自頂向下展開。無數次教訓告訴我們,自底向上展開安全工作,是註定要失敗的。
所以如何有效的開展安全工作?最重要的前提,就是公司的管理層能夠從戰略上重視安全問題。如果最高管理層本身具有很強的安全意識,甚至懂很多攻擊或防禦的技術知識,那麼安全工作往往會很有成效,而且能夠省很多錢。
對於創業團隊來說,如何開展安全工作我有如下建議:
1. 定期請第三方安全公司做安全評估
這樣你可以減少人力成本的投入,同時讓更專業的人做專業的事情。
2. 考慮使用開源或商業的WAF(Web應用防火墻),或者是IPS(入侵防禦系統)
使用WAF的好處是可以盡量少的改動代碼,同時為打補丁贏得時間。因為有時候改代碼是很麻煩的一件事情,而有些第三方程序的代碼改起來就更麻煩瞭。
3. 合理收緊各種權限
包括數據庫、服務器、應用後臺、SVN等權限,隻把權限開放給需要使用的人。
4. 妥善保管好所有的日志
包括各種應用的日志、Web日志、服務器日志等。需要實時的遠程收集起來,遠程收集的原因是有的黑客入侵後的第一件事情就是篡改日志。
5. 給員工做一些安全培訓
基本的安全意識還是要有的。經常有黑客會打客服電話或者發郵件過來搞搞詐騙。同時還要杜絕弱口令,很多管理後臺都是因為弱口令被黑掉的。程序員也需要具備一些基本的素質,杜絕常見的不安全代碼的寫法。
6. 考慮找一套比較合理與靠譜的安全解決方案
解決方案一般考慮三個方面:代碼安全如何實現、網絡安全策略如何制定、操作系統如何加固。
如果想把整套安全體系跑起來的話,你還需要制定一個安全運營的策略,比如定期掃描網站、審計日志和代碼,以及制定應急響應的流程。
大致就這些瞭,寫著寫著發現和一般公司做安全差不多瞭,安全想做好確實不容易,有條件的話還是招聘專業的人吧。
回到題主最開始的問題“低成本”上來。
以上幾點都有不花錢的方式,定期的安全評估可以用定期的掃描替代,不過效果要差上一些。還有取巧的方式是向安全社區公開征集漏洞,並有獎答謝,成本也不會很高,但效果卻出奇的好。
Orignal From: 創業團隊如何保護自己的網站安全運行
留言列表
