开发和托管的前4个网站安全提示

作者:卯合卯来源:互联网

太多的中小型企业(SMB)有一种普遍的,持久的错觉:“我们太小了 - 黑客对我们不感兴趣。”但它从来都不是真的。

现在,从统计上来说,这是不正确的。最新的 Verizon数据泄露调查报告(DBIR) 发现,43%的违规行为涉及SMB受害者。这是公共部门(16%),医疗保健(15%)和金融(10%)受害者比例的两到四倍。

网站安全是您客户的第一道防线

所以,如果你是一个小企业,面对它 - 你是一个目标。如果您迎合中小企业,您和您的客户就是目标。如果您为他们设计,开发和托管网站,那么您就是他们的前线之一。显然,您的企业的健康 - 甚至生存 - 取决于您保护自己和客户的程度。

违规的潜在损害清单既熟悉又痛苦:企业损失数千至数百万美元。品牌损坏。诉讼。合规制裁。将您的网站列入搜索引擎列入黑名单的不安全状态。如果中小型企业信任您的公司以确保其安全,那么失去信任就是一种存在的威胁。

但你并非无助。不,你无法防范你的软件 - 在网络世界中,什么都没有,没有人完全没有风险。但是你可以让攻击者变得更加困难。如果你这样做,那么坏人就会寻找更容易的目标。

保护客户数据的四大网站安全提示

Synopsys的网络和红色团队实践总监Thomas Richards为设计,开发和托管网站的公司推荐了一系列基本措施,以提高这些网站的安全性,并让黑客寻找更容易的目标。

部署Web应用程序防火墙(WAF)

仍然需要使用企业防火墙保护Web应用程序,对LDAP(轻量级目录访问协议)目录进行身份验证以及在DMZ网络中使用强化Web服务器的传统方法。但在现代基础设施中,基于云的资源面临越来越复杂的攻击已不再适用。这是WAF有用的地方。

WAF通过过滤和监控应用程序与Internet之间的HTTP流量来帮助保护Web应用程序。从本质上讲,它起到盾牌的作用。它可用于阻止零日攻击,恶意软件感染以及跨站点请求伪造(CSRF),跨站点脚本(XSS),SQL注入(SQLi)和文件包含等攻击。但请记住,它并非旨在阻止所有类型的攻击 - 它应该是一套工具的一部分。

它也被称为 反向代理。当代理服务器通过使用中介来保护客户端计算机的身份时,WAF通过让客户端在到达之前通过WAF来保护服务器。

管理WAF操作的规则称为策略,用于过滤掉恶意流量。WAF旨在允许快速简便的策略修改,使用户能够更有效地响应攻击媒介。

使用反向代理服务

前向代理服务器和反向代理服务之间有什么区别? Cloudflare在这里解释它。

从本质上讲,转发代理位于客户端计算机的“前端”。当这些机器在线请求站点和服务时,“代理服务器拦截这些请求,然后代表这些客户端与Web服务器通信,就像中间人一样。”

为什么有数字中间人?有几个原因:避免机构浏览限制,阻止访问某些内容,如社交媒体网站,并使用户匿名。

相反,反向代理“位于原始服务器前面并确保没有客户端直接与该源服务器通信。”Cloudflare等反向代理服务可协助DDoS保护,负载平衡和分布式内容交付。

使用反向代理的好处之一是它可以提高网站的安全性。正如Cloudflare所解释的那样,“在使用反向代理的情况下,网站或服务永远不需要透露其原始服务器的IP地址。这使攻击者更难以利用针对他们的针对性攻击。相反,攻击者只能以反向代理为目标。“

实施多重身份验证(MFA)

多因素身份验证(MFA)为每个组织提供了一层应该是强制性的安全保护。它不会让你防弹(什么都没有),但它使用户,因此网站,更不容易受到攻击。在客户用于管理其网站的管理界面上实施MFA可以帮助防止帐户接管。

MFA的名字暗示:它需要多种身份验证机制。最常见的类型是双因素身份验证,或2FA,但MFA可以堆叠多个机制,每个机制用作另一层保护。这些机制包括你知道的东西,比如密码或密码; 你有的东西,比如智能手机或硬件令牌; 你是一个什么样的人,比如指纹或声纹。MFA的最新前沿是“你做的事情”,或者说你的行为方式或与设备互动的方式的怪癖,使你与其他用户区分开来。

常见类型的多因素身份验证是基于SMS的身份验证,它将“您知道的东西” - 用户名和密码 - 与“您拥有的东西” - 电话相结合。创建帐户时,请注册您的电话号码。在以后的登录中,在您输入用户名和密码后,该站点会向您发送一个包含唯一一次性密码(OTP)的文本。

在Synopsys,2FA涉及一个每30秒生成一个数字代码的应用程序。没有它,即使黑客窃取某人的密码和用户名,他们也不能冒充用户或获取对其帐户的访问权限。

保持提供商软件更新和修补

如果您使用由提供商托管和部署的软件(如WordPress等CMS),请及时更新以防止已知漏洞。

这也称为“补丁,补丁,补丁!”或“更新,更新,更新!”它是提高网站安全性的最便宜和最可靠的方法之一,因为补丁(通常)是免费的,并修复已知的漏洞。

但是 - 这是一个巨大的“但是” - 许多补丁,特别是在开源软件中,并没有自动安装。软件的用户可以跟踪他们使用的内容以及何时以及是否进行修补。

正如已经多次说过,但需要多说几遍,你无法修补你不知道自己拥有的东西。

未能修补的后果可能是灾难性的。也许最臭名昭着的例子是, 当黑客窃取超过1.45亿人的个人信息时, 2017年违反信用报告巨头Equifax。该公司未能在其争议门户网站中使用的流行开源组件中安装补丁。虽然他们在3月份知道这个补丁,但他们在5月份遭到破坏,他们甚至在7月底之前都没有发现入侵。

不要像Equifax。做基础知识需要时间,但没有多少钱 - 远远低于违规后清理费用。

(侵删)