摘要: 原標(biāo)題: 從初創(chuàng)到成熟,企業(yè)需要注意哪些安全問題 安全,長期以來是企業(yè)最容易忽視的關(guān)鍵點之一。安全問題發(fā)生前,存在感低;然而發(fā)生以后,損失卻
原標(biāo)題: 從初創(chuàng)到成熟,企業(yè)需要注意哪些安全問題
安全,長期以來是企業(yè)最容易忽視的關(guān)鍵點之一。安全問題發(fā)生前,存在感低;然而發(fā)生以后,損失卻已經(jīng)難以挽回。在白皮書《后疫情時期,初創(chuàng)企業(yè)安全生存指南》中我們提到,企業(yè)為什么要做安全建設(shè)的三大要點:
● 防損:避免安全問題帶來損失,造成致命打擊
● 增長:保障業(yè)務(wù)安全穩(wěn)定從而支撐增長
● 合規(guī):讓業(yè)務(wù)符合國家法律法規(guī),保障安全同時避免法律風(fēng)險
今天我們繼續(xù)從另一角度深入探討,處在不同發(fā)展階段的企業(yè),需要重點關(guān)注哪些安全問題?
初創(chuàng)期——關(guān)鍵點:保障業(yè)務(wù)順利上線
創(chuàng)業(yè)公司在早期,目標(biāo)就是盡可能久地活下來。為了找到市場機(jī)會產(chǎn)品會快速迭代,不斷探索調(diào)整業(yè)務(wù)方向,這也意味著在創(chuàng)業(yè)公司業(yè)務(wù)快速發(fā)展的同時,運維策略和研發(fā)過程都可能不太規(guī)范。
為了保障業(yè)務(wù)順利上線,有這幾點安全工作是必須要做的。
1.為網(wǎng)站、APP、小程序等業(yè)務(wù)系統(tǒng)安裝數(shù)字證書(SSL證書)
SSL證書是數(shù)字證書的一種,它的作用是在客戶端瀏覽器和Web服務(wù)器之間建立一條SSL安全通道。
不安裝SSL證書,采用HTTP通信,就是不加密的通信。所有信息以明文的形式傳播,這會帶來三大風(fēng)險。
● 竊聽風(fēng)險:第三方可以獲知通信內(nèi)容
● 篡改風(fēng)險:第三方可以修改通信內(nèi)容
● 冒充風(fēng)險:第三方可以冒充他人參與通信
好在創(chuàng)業(yè)公司在SSL證書上的花費并不會太高,現(xiàn)在市面上許多有免費的證書可以選擇。當(dāng)然,如果有更高安全的需求,也可以選擇付費購買。
2.上線前對業(yè)務(wù)系統(tǒng)進(jìn)行安全檢測
根據(jù)國家互聯(lián)網(wǎng)應(yīng)急中心發(fā)布的《2019年我國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全態(tài)勢綜述》的數(shù)據(jù)顯示,2019年,國家信息安全漏洞共享平臺(CNVD)收錄安全漏洞數(shù)量創(chuàng)下歷史新高,共計16193 個。
2019年收錄的安全漏洞數(shù)量中,按影響對象分類統(tǒng)計,排名前三的是應(yīng)用程序漏洞、 Web應(yīng)用漏洞、操作系統(tǒng)漏洞 。
數(shù)據(jù)來源:國家互聯(lián)網(wǎng)應(yīng)急中?從數(shù)據(jù)可以看出,不管是什么樣的業(yè)務(wù)系統(tǒng),大部分都會被漏洞影響。要保障業(yè)務(wù)順利上線,安全測試必不可少。
初創(chuàng)公司可以使用免費開源的漏洞掃描工具如:OpenVAS、Nikto。但免費工具也意味著對開發(fā)者的安全素養(yǎng)要求較高。
如果沒有專業(yè)的安全運維人員,可以使用商業(yè)的漏洞掃描工具,掃描后會出具報告以及修復(fù)建議。
漏洞掃描只能基于漏洞數(shù)據(jù)庫對系統(tǒng)的安全脆弱性進(jìn)行檢測,通常是作為滲透測試的前奏。如果是正式對外上線并且有大流量的業(yè)務(wù)系統(tǒng),建議在上線前需要對系統(tǒng)進(jìn)行滲透測試。
滲透測試是模擬黑客攻擊對業(yè)務(wù)系統(tǒng)進(jìn)行安全性測試,可以比黑客更早發(fā)現(xiàn)導(dǎo)致企業(yè)數(shù)據(jù)泄露、資產(chǎn)受損、數(shù)據(jù)被篡改等風(fēng)險的漏洞。
初創(chuàng)公司一般沒有自己的安全團(tuán)隊,可以選擇第三方專業(yè)安全公司提供的滲透測試服務(wù),或者接入第三方安全眾測。
3.接入免費或者低費用的云安全產(chǎn)品
云安全產(chǎn)品有天生的優(yōu)勢,方便、易用、門檻低,而且一般產(chǎn)品都是按需付費,對初期的創(chuàng)業(yè)公司來說,是控制成本的絕佳方式。
創(chuàng)業(yè)公司如果已經(jīng)接入了公有云廠商的云服務(wù),可以選擇云廠商提供的附帶云安全產(chǎn)品,也可以選擇專業(yè)云安全公司的產(chǎn)品。
為應(yīng)對復(fù)雜且多變網(wǎng)絡(luò)環(huán)境,創(chuàng)業(yè)公司網(wǎng)站通常需要接入云WAF以抵御黑客的攻擊。
根據(jù)知道創(chuàng)宇云防御平臺攔截的Web應(yīng)用攻擊數(shù)據(jù)顯示,2019年攻擊趨勢呈現(xiàn)出高強(qiáng)度、持續(xù)性的特征。全年攔截網(wǎng)絡(luò)攻擊3321億次,相比2018年上升12.3%。其中惡意網(wǎng)絡(luò)爬蟲攻擊首次超過掃描器攻擊攔截惡意爬蟲超927億次,占全年攻擊總量的36%。
數(shù)據(jù)來源:知道創(chuàng)宇云防御平臺除此之外,網(wǎng)站還可以選擇接入CDN,安全加速業(yè)務(wù)系統(tǒng)的同時減少創(chuàng)業(yè)公司的帶寬投入。既提高用戶訪問速度,又減少了成本開支。
如果是高風(fēng)險行業(yè),如游戲、電商、金融等,DDoS防御也必不可少。這種流氓的攻擊方式,讓許多創(chuàng)業(yè)公司苦不堪言。由于攻擊與防御成本嚴(yán)重傾斜,許多創(chuàng)業(yè)公司會面臨沒有資金防御攻擊的尷尬境地。
因此,在前期可以通過架構(gòu)布局、整合資源等方式提高網(wǎng)絡(luò)的負(fù)載能力、分?jǐn)偩植窟^載流量,并通過接入第三方服務(wù)攔截惡意流量。這種防御思想更為“理智”,而且對抗效果良好。
成長期——關(guān)鍵點:讓業(yè)務(wù)穩(wěn)定運行
成長期的創(chuàng)業(yè)公司已經(jīng)過跨過了初期不斷迭代探索的鴻溝,開始有了較為穩(wěn)定的業(yè)務(wù)模式。這個階段是創(chuàng)業(yè)公司高速發(fā)展的時期,業(yè)務(wù)的穩(wěn)定運行也自然成為了快速增長的保障。針對這個階段的創(chuàng)業(yè)公司來說,對安全的投入需要更加用心。
1·聘請專業(yè)的安全人員
成長期的創(chuàng)業(yè)公司,對安全的需求更為迫切。這時,若發(fā)生安全事故,將會對快速發(fā)展的成長期創(chuàng)業(yè)公司帶來致命打擊。所以聘請專人負(fù)責(zé)公司安全,顯得十分必要。
專業(yè)的事交給專業(yè)的人做,可以減少公司不必要的人力成本投入。人才是公司安全發(fā)展的根本,創(chuàng)業(yè)公司在成長期可以開始引入安全工程師,人數(shù)不必過多,可以隸屬于公司的信息部門。
2.IPv6安全部署
隨著全球IPv4地址的耗盡,以IPv6為代表的下一代互聯(lián)網(wǎng)技術(shù)應(yīng)運而生。國家層面出臺《推進(jìn)互聯(lián)網(wǎng)協(xié)議第六版(IPv6)規(guī)模部署行動計劃》,全力推進(jìn)互聯(lián)網(wǎng)演進(jìn)升級和健康創(chuàng)新發(fā)展。接入IPv6已然成為業(yè)務(wù)剛需,現(xiàn)目前不支持IPv6等于放棄市場。
在發(fā)展的同時,IPv6的安全風(fēng)險也開始顯現(xiàn),IPv6網(wǎng)絡(luò)攻擊數(shù)量劇增,攻擊范圍也在逐漸擴(kuò)大。僅2019年,知道創(chuàng)宇云防御平臺共攔截來自IPv6網(wǎng)絡(luò)攻擊9.2億余次,總訪問請求中有8.3%的請求為網(wǎng)絡(luò)攻擊。
在大量攻擊的背景下,成長期的創(chuàng)業(yè)公司需要重視IPv6的安全部署。
3.嚴(yán)格管理內(nèi)部業(yè)務(wù)權(quán)限
據(jù)著名國際咨詢服務(wù)公司W(wǎng)illis Towers Watson的網(wǎng)絡(luò)保險理賠數(shù)據(jù)顯示,2/3的網(wǎng)絡(luò)安全問題是由于員工疏忽和瀆職而直接或間接造成的。相較之下,僅有18%的網(wǎng)絡(luò)安全問題是由外部威脅直接引發(fā)的。
數(shù)據(jù)來源:Willis Towers Watson因此,成長期的創(chuàng)業(yè)公司必須重視內(nèi)部權(quán)限管理,包括數(shù)據(jù)庫、服務(wù)器、后臺等各種關(guān)系公司核心資產(chǎn)的權(quán)限。
必要時建議開始雙重驗證,這樣可以最大程度避免一個員工的誤操作或惡意行為。
今年2月微盟數(shù)據(jù)庫被刪事件,直接影響了300萬商家。微盟受事故影響,市值一日內(nèi)蒸發(fā)超12億港元。一場人為的破壞導(dǎo)致了無法估量的損失,讓成千上萬的商家生意停擺。
這次事件再次給業(yè)界同行敲響警鐘:數(shù)據(jù)安全管理無小事。所以企業(yè)在進(jìn)行數(shù)據(jù)管理需要做到兩點:
● 實行嚴(yán)格的備份機(jī)制
● 管理權(quán)限分開
成熟期——關(guān)鍵點:加強(qiáng)安全建設(shè)
普華永道在報告《從初創(chuàng)到成熟,獨角獸企業(yè)如何識別風(fēng)險、迅速響應(yīng)?》里提到:僅有39%的受訪企業(yè)表示他們有危機(jī)應(yīng)對計劃并進(jìn)行過測試,有44%的成熟獨角獸企業(yè)尚沒有危機(jī)應(yīng)對計劃及預(yù)案。
數(shù)據(jù)來源:《普華永道獨角獸CEO調(diào)研2018》普華永道還提到:能否預(yù)測各種不確定性并適當(dāng)?shù)奶幚聿淮_定性、建立有效的危機(jī)應(yīng)對計劃及預(yù)案,成為創(chuàng)業(yè)成功與否的決勝因素。
越成熟的創(chuàng)業(yè)公司,越依賴數(shù)字化,更應(yīng)該重視安全建設(shè)。
1·打造強(qiáng)有力的安全團(tuán)隊
成熟創(chuàng)業(yè)公司有必要打造自己的安全團(tuán)隊。處于此階段的創(chuàng)業(yè)公司通常也在經(jīng)歷B-C輪融資,或籌備上市,安全問題不應(yīng)該成為資本流失的隱患。
安全團(tuán)隊可以幫助公司及時發(fā)現(xiàn)問題,他們可以全權(quán)負(fù)責(zé)公司內(nèi)外部的安全建設(shè)。
2.定期進(jìn)行業(yè)務(wù)安全檢測
安全檢測可以由自己的安全團(tuán)隊進(jìn)行,也可以由安全公司協(xié)助完成。定期的安全檢查,可以發(fā)現(xiàn)潛在隱患并及時修復(fù),以確保業(yè)務(wù)系統(tǒng)安全性。
3.選購貼合業(yè)務(wù)的商業(yè)安全產(chǎn)品
安全團(tuán)隊與商業(yè)安全產(chǎn)品的加持下,可以讓安全工作更易進(jìn)行。專業(yè)人員與專業(yè)工具結(jié)合,可以最大程度的提升公司安全能力。
4.員工安全意識培訓(xùn)
前面有提到:2/3的網(wǎng)絡(luò)安全問題是由于員工疏忽和瀆職而直接或間接造成的。所以在加強(qiáng)權(quán)限管理的同時,成熟的創(chuàng)業(yè)公司需要對員工做安全培訓(xùn),這時公司有能力,也有必要去做這項安全措施。除此之外,為了幫助企業(yè)低成本提高抗風(fēng)險能力,近期知道創(chuàng)宇發(fā)起了復(fù)蘇季·安全助力活動,免費開放多款安全產(chǎn)品,讓不同階段的企業(yè)能低成本快速完成安全建設(shè),避免安全問題造成致命打擊。
原標(biāo)題:兒童運動需謹(jǐn)慎,避免盲目進(jìn)行 運動在孩子成長發(fā)育的過程中是很關(guān)
原創(chuàng)觀點2024-04-11 18:54:37
原標(biāo)題:從英語啟蒙的底層認(rèn)知來看,家長可以做什么? 在孩子英語學(xué)習(xí)中,
原創(chuàng)觀點2024-04-11 18:53:50
原標(biāo)題:孩子高考失利最后卻考上美國加州州立大學(xué)!你敢信? 2023年全國高考
原創(chuàng)觀點2024-04-11 18:50:27
原標(biāo)題:做賦能型父母很重要?這樣做給孩子快速充電! 內(nèi)卷加劇的教育背景
原創(chuàng)觀點2024-04-11 18:45:02
原標(biāo)題:當(dāng)孩子說不想結(jié)婚,家長需要糾正嗎? 關(guān)注孩子身心,關(guān)注自我成長
原創(chuàng)觀點2024-04-11 18:44:04
原標(biāo)題:一個家庭的上等風(fēng)水,是養(yǎng)出來的 家庭是一個人的第一所學(xué)校,父母
原創(chuàng)觀點2024-04-11 18:43:33
原標(biāo)題:孩子成績不理想, 除了焦慮,家長如何提前做好孩子的升學(xué)規(guī)劃? 很
原創(chuàng)觀點2024-04-10 19:27:01
原標(biāo)題:高考只剩兩個月!百師聯(lián)盟提醒各位考生和家長,沖刺階段如何備考?
原創(chuàng)觀點2024-04-10 19:22:07
原標(biāo)題:3個低學(xué)歷逆襲建議,送給想改變孩子命運的家長 能力有大小,水平有
原創(chuàng)觀點2024-04-10 19:19:49