《電子技術(shù)應(yīng)用》
您所在的位置:首頁(yè) > 通信與網(wǎng)絡(luò) > 業(yè)界動(dòng)態(tài) > 初創(chuàng)公司的網(wǎng)絡(luò)安全指南

初創(chuàng)公司的網(wǎng)絡(luò)安全指南

2021-08-03
來(lái)源:嘶吼專業(yè)版

  初創(chuàng)公司的創(chuàng)始人常常會(huì)誤以為黑客不會(huì)在他們創(chuàng)業(yè)的公司身上浪費(fèi)時(shí)間,因?yàn)樗麄冞€不夠大,,不夠有名,,沒(méi)有什么價(jià)值。

  你的規(guī)模小,、知名度小并不意味著你不會(huì)成為攻擊者的目標(biāo),。初創(chuàng)公司的規(guī)模并不能使其免于網(wǎng)絡(luò)攻擊。因?yàn)楹诳蛡儠?huì)不斷掃描互聯(lián)網(wǎng),,尋找他們可以利用的一切漏洞,。

  幸運(yùn)的是,用戶也越來(lái)越意識(shí)到網(wǎng)絡(luò)安全的重要性,,并經(jīng)常詢問(wèn)初創(chuàng)公司他們用來(lái)保護(hù)數(shù)據(jù)的流程,。

  所以,如果你是一名CTO,,正在考慮提高網(wǎng)頁(yè)或手機(jī)應(yīng)用的網(wǎng)絡(luò)安全狀況,,那么你已經(jīng)走上了正確的道路,但網(wǎng)絡(luò)安全有很多選擇,,你應(yīng)該從哪里開(kāi)始呢,?

  為了幫助你開(kāi)始,我們創(chuàng)建了這個(gè)指南,,其中涵蓋以下關(guān)鍵點(diǎn):

  理解“什么是安全測(cè)試,?”;

  理解執(zhí)行安全測(cè)試的原因,;

  界定網(wǎng)絡(luò)安全測(cè)試的范圍,;

  知道何時(shí)執(zhí)行滲透測(cè)試;

  什么是安全測(cè)試,?

  安全測(cè)試是一個(gè)廣義的術(shù)語(yǔ),,它指的是檢查系統(tǒng)、網(wǎng)絡(luò)或軟件是否存在黑客和其他威脅者可以利用的漏洞的過(guò)程。它可以以多種形式出現(xiàn),,所以在本文中,,我們將探討它的兩個(gè)主要組成部分:

  漏洞評(píng)估:使用工具掃描系統(tǒng)或應(yīng)用程序以找出安全問(wèn)題的自動(dòng)安全測(cè)試。這些工具被稱為“漏洞掃描器”,,它們執(zhí)行自動(dòng)測(cè)試來(lái)發(fā)現(xiàn)應(yīng)用程序或基礎(chǔ)設(shè)施中的漏洞,。漏洞的類型可能是應(yīng)用程序級(jí)的漏洞、云配置問(wèn)題,,或者僅僅是缺少安全補(bǔ)丁的軟件(網(wǎng)絡(luò)安全漏洞最常見(jiàn)的原因之一),。

  滲透測(cè)試:主要是由網(wǎng)絡(luò)安全專家進(jìn)行的手動(dòng)評(píng)估(盡管通常由漏洞掃描工具支持),并確定攻擊者利用漏洞的程度,。

  滲透測(cè)試是在某個(gè)時(shí)間點(diǎn)找到盡可能多的漏洞的好方法,,但是你應(yīng)該考慮在滲透測(cè)試人員回家后你盡快收到新漏洞的警報(bào)。

  漏洞掃描器還使組織能夠在進(jìn)行更深入,、通常更昂貴的手動(dòng)測(cè)試之前了解更多關(guān)于其安全狀態(tài)的信息,。這在許多情況下是顯而易見(jiàn)的,因?yàn)闈B透測(cè)試人員通常會(huì)通過(guò)運(yùn)行相同的自動(dòng)化工具來(lái)開(kāi)始他們的測(cè)試,。

  為什么要執(zhí)行安全性測(cè)試,?

  Veracode的軟件安全狀況報(bào)告顯示,83%的研究樣本(包括全球2300家公司使用的85000個(gè)軟件應(yīng)用程序)在最初的安全測(cè)試中至少發(fā)現(xiàn)了一個(gè)安全漏洞,。如果沒(méi)有測(cè)試,,這些漏洞就會(huì)被發(fā)布到產(chǎn)品中,使軟件容易受到網(wǎng)絡(luò)攻擊,。

  如果出于這個(gè)原因,,你決定開(kāi)始進(jìn)行安全性測(cè)試,只是為了在黑客之前找到自己的漏洞,,那很好,。你可以靈活地決定自己的需求,直接跳到下一節(jié),。否則,,執(zhí)行安全測(cè)試的其他常見(jiàn)原因是:

  1.?第三方或客戶請(qǐng)求。如果合作伙伴或客戶特別要求你執(zhí)行安全測(cè)試,,以確保他們的客戶數(shù)據(jù)免受網(wǎng)絡(luò)攻擊,,你可能有更嚴(yán)格的要求。然而,,仍然有解釋的空間,。客戶通常會(huì)要求進(jìn)行“滲透測(cè)試”,,但他們很少具體說(shuō)明這意味著什么。

  2.合規(guī)認(rèn)證和行業(yè)法規(guī)。許多行業(yè)法規(guī)或合規(guī)性認(rèn)證還要求組織定期進(jìn)行安全測(cè)試,。常見(jiàn)示例包括 ISO 27001,、PCI DSS 和 SOC2。這些標(biāo)準(zhǔn)詳細(xì)說(shuō)明了所需的測(cè)試,,但即使是最具體的也沒(méi)有具體說(shuō)明測(cè)試的方式或內(nèi)容,,因?yàn)檫@取決于具體的工作。出于這個(gè)原因,,人們通常認(rèn)為,,接受測(cè)試的公司最適合確定哪種級(jí)別的安全測(cè)試在他們的場(chǎng)景中有意義。因此,,你可能會(huì)發(fā)現(xiàn)以下指南在確定測(cè)試內(nèi)容和方式方面仍然很有用,。

  風(fēng)險(xiǎn)評(píng)估

  每個(gè)公司都是獨(dú)一無(wú)二的,因此,,你的風(fēng)險(xiǎn)對(duì)你來(lái)說(shuō)也是獨(dú)一無(wú)二的,。然而,很難知道什么是正確的測(cè)試級(jí)別,。你可以使用以下內(nèi)容作為我們?cè)谠撔袠I(yè)所看到的粗略指南:

  1. 如果你不存儲(chǔ)特別敏感的數(shù)據(jù)

  例如,,你可能會(huì)提供網(wǎng)站正常運(yùn)行時(shí)間監(jiān)控工具并且不存儲(chǔ)特別敏感的數(shù)據(jù)。在你成長(zhǎng)到足以成為特定目標(biāo)之前,,你可能只需要擔(dān)心那些尋找輕松選擇的人會(huì)不加區(qū)分地進(jìn)行黑客攻擊,。如果是這樣,你更有可能只需要自動(dòng)漏洞掃描,。

  專注于任何暴露在互聯(lián)網(wǎng)上(或可能暴露在外)的系統(tǒng),,如任何遠(yuǎn)程訪問(wèn)(VPN、遠(yuǎn)程管理員登錄),、防火墻,、網(wǎng)站或應(yīng)用程序、API,,以及可能偶然發(fā)現(xiàn)自己在線的系統(tǒng)(云平臺(tái)中的任何東西都很容易被意外地放到互聯(lián)網(wǎng)上),。

  2. 如果你存儲(chǔ)客戶數(shù)據(jù)

  也許你是一個(gè)營(yíng)銷數(shù)據(jù)分析平臺(tái),所以你可能面臨較少來(lái)自內(nèi)部人士和犯罪團(tuán)伙的威脅,,但你肯定需要擔(dān)心客戶訪問(wèn)彼此的數(shù)據(jù)或一般的數(shù)據(jù)泄露,,例如,你有一個(gè)應(yīng)用程序,,但任何人都可以在線注冊(cè)一個(gè)帳戶,,你將要考慮從普通用戶的角度進(jìn)行“經(jīng)過(guò)身份驗(yàn)證”的滲透測(cè)試,你還需要確保員工的筆記本電腦都安裝了最新的安全更新補(bǔ)丁,。

  3.如果你提供金融服務(wù)

  如果你是一家四處轉(zhuǎn)移資金的金融科技初創(chuàng)公司,,你將需要擔(dān)心惡意客戶甚至惡意員工,,以及針對(duì)你的網(wǎng)絡(luò)犯罪團(tuán)伙。

  如果是這樣,,你將需要考慮對(duì)所有這些場(chǎng)景進(jìn)行持續(xù)的漏洞評(píng)估和定期的全手動(dòng)滲透測(cè)試,。

  4.如果你沒(méi)有任何暴露在互聯(lián)網(wǎng)上的東西

  也許你根本沒(méi)有任何東西暴露在互聯(lián)網(wǎng)上,或者沒(méi)有開(kāi)發(fā)面向客戶的應(yīng)用程序,,因此你的主要攻擊面是員工筆記本電腦和云服務(wù),。在這種情況下,對(duì)你自己的筆記本電腦進(jìn)行自動(dòng)漏洞掃描是最有意義的

  每個(gè)企業(yè)都是獨(dú)一無(wú)二的,,沒(méi)有任何一種網(wǎng)絡(luò)安全策略可以適用于所有初創(chuàng)公司,。這就是為什么你需要從了解你自己的風(fēng)險(xiǎn)在哪里開(kāi)始。

  你需要保護(hù)什么,?

  理想情況下,,在計(jì)劃安全測(cè)試本身之前,你應(yīng)該考慮你擁有哪些資產(chǎn),,包括技術(shù)資產(chǎn)和信息資產(chǎn),,這個(gè)過(guò)程稱為“資產(chǎn)管理”。

  一個(gè)非常簡(jiǎn)單的例子可能是:“我們有 70 臺(tái)員工筆記本電腦,,主要使用云服務(wù),,并將我們的客戶數(shù)據(jù)存儲(chǔ)和備份在 Google Cloud Platform 中,以及一個(gè)允許管理員和客戶訪問(wèn)的應(yīng)用程序,。

  我們最重要的數(shù)據(jù)是代表客戶存儲(chǔ)的數(shù)據(jù),,以及我們?cè)谌肆Y源系統(tǒng)中的員工數(shù)據(jù)?!笨紤]到這一點(diǎn),,然后幫助你開(kāi)始形成確定測(cè)試范圍的基礎(chǔ)。例如:

  我們的人力資源系統(tǒng)是一個(gè)云服務(wù),,所以我們只是要求他們提供安全測(cè)試證明(因此無(wú)需自己測(cè)試),。

  我們?cè)?Google Cloud 中有哪些 IP 地址,注冊(cè)了哪些域(有一些工具可以幫助解決此問(wèn)題),。

  我們的工程師不下載生產(chǎn)數(shù)據(jù)庫(kù),,但可以訪問(wèn)我們的云系統(tǒng),因此他們的筆記本電腦,、云和電子郵件帳戶也是我們攻擊面的一部分,。

  執(zhí)行資產(chǎn)管理將幫助你跟蹤屬于你的組織的系統(tǒng),并確定需要測(cè)試哪些IP地址和域名,。

  初創(chuàng)公司應(yīng)該多久執(zhí)行一次安全測(cè)試,?

  這取決于測(cè)試的類型!顯然,,自動(dòng)化測(cè)試的好處是它們可以根據(jù)需要定期運(yùn)行,。而滲透測(cè)試的成本更高,,需要頻繁運(yùn)行。

  至少每月進(jìn)行一次例行漏洞掃描可以幫助加強(qiáng)你的IT基礎(chǔ)設(shè)施,,這是國(guó)家網(wǎng)絡(luò)安全中心(NCSC)的建議,。這種做法有助于公司密切關(guān)注無(wú)休止的新威脅清單,;每年有超過(guò)10000個(gè)新的漏洞被報(bào)告,。除了定期的漏洞掃描外,還建議在每次系統(tǒng)更改時(shí)運(yùn)行掃描,。

  漏洞掃描程序類型

  你可以從基于網(wǎng)絡(luò),、基于代理、Web 應(yīng)用程序和基礎(chǔ)架構(gòu)等多種類型的漏洞掃描程序中進(jìn)行選擇,,選擇取決于你要保護(hù)哪些資產(chǎn),。

  網(wǎng)絡(luò)掃描程序的一些經(jīng)典例子是Nessus和Qualys,這兩家公司都是市場(chǎng)領(lǐng)導(dǎo)者,,并提供了強(qiáng)大的安全性和漏洞覆蓋率,。如果你想要一個(gè)容易上手的工具,你可以考慮的一個(gè)現(xiàn)代替代方案是 Intruder ,。

  這種在線漏洞掃描器是專門為非安全專家開(kāi)發(fā)的,,同時(shí)提供高質(zhì)量的檢查,以及對(duì)新出現(xiàn)的威脅的自動(dòng)掃描,。

  Intruder 使用一種獨(dú)特的算法來(lái)確定使你的系統(tǒng)暴露在外的問(wèn)題的優(yōu)先級(jí),,從而特別容易找出具有最高風(fēng)險(xiǎn)的問(wèn)題。

  漏洞評(píng)估的好處是什么,?

  漏洞評(píng)估旨在自動(dòng)發(fā)現(xiàn)盡可能多的安全漏洞,,以便在攻擊者找到它們之前緩解這些漏洞。它還有助于使?jié)B透測(cè)試(相比之下,,滲透測(cè)試是一個(gè)手動(dòng)過(guò)程)更加有效,。事實(shí)上,正如NCSC所解釋的,,“通過(guò)定期進(jìn)行漏洞掃描來(lái)處理‘容易實(shí)現(xiàn)的目標(biāo)’,,滲透測(cè)試可以更有效地專注于更適合人類的復(fù)雜安全問(wèn)題?!?/p>

  何時(shí)運(yùn)行滲透測(cè)試,?

  滲透測(cè)試人員模仿現(xiàn)實(shí)生活中的網(wǎng)絡(luò)攻擊者,但與攻擊者不同,,他們遵循預(yù)定義的范圍并且不會(huì)濫用組織的資產(chǎn)和數(shù)據(jù),。與漏洞掃描相比,他們更有可能發(fā)現(xiàn)復(fù)雜或高影響力的業(yè)務(wù)層弱點(diǎn),,例如操縱產(chǎn)品定價(jià),、使用客戶帳戶訪問(wèn)另一位客戶的數(shù)據(jù),,或從一個(gè)初始漏洞轉(zhuǎn)向整個(gè)系統(tǒng)控制。缺點(diǎn)是,,相比之下,,它很貴,那么何時(shí)運(yùn)行滲透測(cè)試,?

  考慮上述風(fēng)險(xiǎn)評(píng)估的關(guān)鍵時(shí)間表,,例如,在你的產(chǎn)品開(kāi)發(fā)之后,,但在你開(kāi)始接受真正的客戶數(shù)據(jù)之前,。或者在你掌握了一些不敏感的客戶數(shù)據(jù)之后,,但在你開(kāi)始掌握工資或健康相關(guān)信息之前,。

  一旦你啟動(dòng)并運(yùn)行,滲透測(cè)試應(yīng)該在重大更改之后執(zhí)行,,例如改變你的身份驗(yàn)證系統(tǒng),,發(fā)布一個(gè)主要的新特性;或者在6-12個(gè)月的小改變之后,。因?yàn)閺睦碚撋现v,,每一個(gè)改變都可能意外地引入一個(gè)漏洞。

  同樣,,這取決于你的風(fēng)險(xiǎn)水平,。如果你每三個(gè)月轉(zhuǎn)移一次資金也是可取的,但如果你處于風(fēng)險(xiǎn)范圍的低端,,則每 12 個(gè)月一次是普遍接受的時(shí)間表,。

  滲透測(cè)試應(yīng)在實(shí)施重大系統(tǒng)更改之前或每隔 6-12 個(gè)月進(jìn)行一次。

  存在幾種類型的滲透測(cè)試,,滲透測(cè)試可以尋找技術(shù)中的安全漏洞,,例如在你的外部和內(nèi)部網(wǎng)絡(luò)以及 Web 應(yīng)用程序中。但是,,它也可以發(fā)現(xiàn)組織人力資源中的漏洞,,例如在社會(huì)工程的情況下。

  你選擇的滲透測(cè)試公司取決于你要測(cè)試的資產(chǎn)類型,,但也應(yīng)考慮其他因素,,例如認(rèn)證、價(jià)格和經(jīng)驗(yàn),。

  總結(jié)

  安全測(cè)試是一個(gè)關(guān)鍵的網(wǎng)絡(luò)安全過(guò)程,,旨在檢測(cè)系統(tǒng)、軟件,、網(wǎng)絡(luò)和應(yīng)用程序中的漏洞,。它最常見(jiàn)的形式是漏洞評(píng)估和滲透測(cè)試,,但其目標(biāo)總是在惡意攻擊者利用它們之前解決安全漏洞。

  請(qǐng)記住,,攻擊者還執(zhí)行例行安全測(cè)試,,以查找它們可以濫用的任何漏洞。一個(gè)安全漏洞就足以讓他們發(fā)動(dòng)大規(guī)模的網(wǎng)絡(luò)攻擊,。雖然這可能令人恐懼,,但你的公司可以通過(guò)定期執(zhí)行網(wǎng)絡(luò)安全測(cè)試來(lái)獲得更好的保護(hù)。

  實(shí)施此策略可能具有挑戰(zhàn)性,,因?yàn)闆](méi)有一刀切的安全測(cè)試解決方案,。如今,許多工具提供免費(fèi)試用,,這為小企業(yè)提供了一個(gè)很好的機(jī)會(huì),可以在投入更大的投資之前找到正確的解決方案,。




電子技術(shù)圖片.png

本站內(nèi)容除特別聲明的原創(chuàng)文章之外,,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,并不代表本網(wǎng)站贊同其觀點(diǎn),。轉(zhuǎn)載的所有的文章,、圖片、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有,。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無(wú)法一一聯(lián)系確認(rèn)版權(quán)者,。如涉及作品內(nèi)容、版權(quán)和其它問(wèn)題,,請(qǐng)及時(shí)通過(guò)電子郵件或電話通知我們,,以便迅速采取適當(dāng)措施,避免給雙方造成不必要的經(jīng)濟(jì)損失,。聯(lián)系電話:010-82306118,;郵箱:[email protected]