小企業也需要大安全

2013-10-15 15:09:29 EP電力信息化網　點擊量：評論 (0)

在信息安全世界，小型企業及其安全需求常常被忽略，特別是在應用安全領域。

在信息安全世界，小型企業及其安全需求常常被忽略，特別是在應用安全領域。并且，小型企業缺乏專門的安全團隊，更不用說安全專家。因此，在應對攻擊和安全事故時，小型企業面臨巨大的風險。那么，小型企業應該如何加強其安全性呢？

    盡量減少攻擊面

    隨著企業的不斷發展，擴展規模成為一個很大的挑戰。在技術方面，擴展意味著加強你的基礎設施和技術來提供更廣泛的可靠的服務產品，也就是說，擴展技術和服務需要增加更多“東西”到企業中。但是，隨著基礎設施的擴展，攻擊面會相應地增大，從而給企業帶來更多安全風險。

    為了在擴展規模的同時減少攻擊面，企業應該確保在公布企業資產、應用程序和功能信息時，只是公布需要用于交付服務的信息。企業應該經常問自己，這個信息需要放到網上嗎？如果受到攻擊會怎樣？我們該如何防止它遭到攻擊？

    明白打補丁的重要性

    我們都聽過這樣的說法，“最好的防御就是進攻”，可能這并不完全是正確的，但對于小型企業而言，確實是如此。小型企業的防御能力要弱于大型企業，但大型企業面臨巨大的攻擊面，這意味著你可以利用你小規模的優勢來迅速且頻繁地修復漏洞。對于較小型的基礎設施，漏洞修復工作可以更迅速地進行，但存在的一個問題就是，保持追蹤相關的安全問題。為了解決這個問題，筆者強烈建議創建一個安全@電子郵件地址；確定你的平臺依賴的組件，例如Apache、MySQL、PHP、Oracle等；并使用該郵件地址訂閱相關軟件的安全和更新feed。一旦發現安全公告和更新，就應該評估對你系統的相關性，并立即修復。

    利用免費工具

    有兩個優秀且免費的工具可用于web應用程序掃描：Arachni和W3AF。這兩個工具主要針對應用程序專家，同時，它們也可以有效地幫助你的團隊掃描網站或者應用程序，以發現SQL注入和跨站腳本攻擊。即使你企業沒有安全專家，筆者也強烈建議你下載并安裝W3AF或者Arachni，花一些時間熟悉這些工具，并養成掃描應用程序的習慣，以確保不會忽略容易被發現的漏洞。

    制定計劃

    未來某一天，你的企業可能會遭遇安全事故。根據攻擊的動機的不同，安全泄漏事故的嚴重程度會有所不同，但必然會造成數據丟失、破壞等。考慮到這一點，企業應該確保具有安全的異地備份。除此之外，企業還應該確認數據的完整性，這樣，當你從備份進行恢復時，數據就完全可用了。并且，企業還應該確保對這些備份的訪問是“單向的”，即沒有人可以登錄到你的web服務器、從備份腳本讀取SSH密鑰/密碼，然后登錄到備份服務器，并破壞你的數據。

    最后，如果你的企業負擔得起的話，請確保你的企業每年至少執行一次專業的安全評估。你也可以自己進行評估和QA工作，更好地了解你企業和應用程序的安全態勢。