摘要: 原標題: 從初創到成熟,企業需要注意哪些安全問題 安全,長期以來是企業最容易忽視的關鍵點之一。安全問題發生前,存在感低;然而發生以后,損失卻
原標題: 從初創到成熟,企業需要注意哪些安全問題
安全,長期以來是企業最容易忽視的關鍵點之一。安全問題發生前,存在感低;然而發生以后,損失卻已經難以挽回。在白皮書《后疫情時期,初創企業安全生存指南》中我們提到,企業為什么要做安全建設的三大要點:
● 防損:避免安全問題帶來損失,造成致命打擊
● 增長:保障業務安全穩定從而支撐增長
● 合規:讓業務符合國家法律法規,保障安全同時避免法律風險
今天我們繼續從另一角度深入探討,處在不同發展階段的企業,需要重點關注哪些安全問題?
初創期——關鍵點:保障業務順利上線
創業公司在早期,目標就是盡可能久地活下來。為了找到市場機會產品會快速迭代,不斷探索調整業務方向,這也意味著在創業公司業務快速發展的同時,運維策略和研發過程都可能不太規范。
為了保障業務順利上線,有這幾點安全工作是必須要做的。
1.為網站、APP、小程序等業務系統安裝數字證書(SSL證書)
SSL證書是數字證書的一種,它的作用是在客戶端瀏覽器和Web服務器之間建立一條SSL安全通道。
不安裝SSL證書,采用HTTP通信,就是不加密的通信。所有信息以明文的形式傳播,這會帶來三大風險。
● 竊聽風險:第三方可以獲知通信內容
● 篡改風險:第三方可以修改通信內容
● 冒充風險:第三方可以冒充他人參與通信
好在創業公司在SSL證書上的花費并不會太高,現在市面上許多有免費的證書可以選擇。當然,如果有更高安全的需求,也可以選擇付費購買。
2.上線前對業務系統進行安全檢測
根據國家互聯網應急中心發布的《2019年我國互聯網網絡安全態勢綜述》的數據顯示,2019年,國家信息安全漏洞共享平臺(CNVD)收錄安全漏洞數量創下歷史新高,共計16193 個。
2019年收錄的安全漏洞數量中,按影響對象分類統計,排名前三的是應用程序漏洞、 Web應用漏洞、操作系統漏洞 。
數據來源:國家互聯網應急中?從數據可以看出,不管是什么樣的業務系統,大部分都會被漏洞影響。要保障業務順利上線,安全測試必不可少。
初創公司可以使用免費開源的漏洞掃描工具如:OpenVAS、Nikto。但免費工具也意味著對開發者的安全素養要求較高。
如果沒有專業的安全運維人員,可以使用商業的漏洞掃描工具,掃描后會出具報告以及修復建議。
漏洞掃描只能基于漏洞數據庫對系統的安全脆弱性進行檢測,通常是作為滲透測試的前奏。如果是正式對外上線并且有大流量的業務系統,建議在上線前需要對系統進行滲透測試。
滲透測試是模擬黑客攻擊對業務系統進行安全性測試,可以比黑客更早發現導致企業數據泄露、資產受損、數據被篡改等風險的漏洞。
初創公司一般沒有自己的安全團隊,可以選擇第三方專業安全公司提供的滲透測試服務,或者接入第三方安全眾測。
3.接入免費或者低費用的云安全產品
云安全產品有天生的優勢,方便、易用、門檻低,而且一般產品都是按需付費,對初期的創業公司來說,是控制成本的絕佳方式。
創業公司如果已經接入了公有云廠商的云服務,可以選擇云廠商提供的附帶云安全產品,也可以選擇專業云安全公司的產品。
為應對復雜且多變網絡環境,創業公司網站通常需要接入云WAF以抵御黑客的攻擊。
根據知道創宇云防御平臺攔截的Web應用攻擊數據顯示,2019年攻擊趨勢呈現出高強度、持續性的特征。全年攔截網絡攻擊3321億次,相比2018年上升12.3%。其中惡意網絡爬蟲攻擊首次超過掃描器攻擊攔截惡意爬蟲超927億次,占全年攻擊總量的36%。
數據來源:知道創宇云防御平臺除此之外,網站還可以選擇接入CDN,安全加速業務系統的同時減少創業公司的帶寬投入。既提高用戶訪問速度,又減少了成本開支。
如果是高風險行業,如游戲、電商、金融等,DDoS防御也必不可少。這種流氓的攻擊方式,讓許多創業公司苦不堪言。由于攻擊與防御成本嚴重傾斜,許多創業公司會面臨沒有資金防御攻擊的尷尬境地。
因此,在前期可以通過架構布局、整合資源等方式提高網絡的負載能力、分攤局部過載流量,并通過接入第三方服務攔截惡意流量。這種防御思想更為“理智”,而且對抗效果良好。
成長期——關鍵點:讓業務穩定運行
成長期的創業公司已經過跨過了初期不斷迭代探索的鴻溝,開始有了較為穩定的業務模式。這個階段是創業公司高速發展的時期,業務的穩定運行也自然成為了快速增長的保障。針對這個階段的創業公司來說,對安全的投入需要更加用心。
1·聘請專業的安全人員
成長期的創業公司,對安全的需求更為迫切。這時,若發生安全事故,將會對快速發展的成長期創業公司帶來致命打擊。所以聘請專人負責公司安全,顯得十分必要。
專業的事交給專業的人做,可以減少公司不必要的人力成本投入。人才是公司安全發展的根本,創業公司在成長期可以開始引入安全工程師,人數不必過多,可以隸屬于公司的信息部門。
2.IPv6安全部署
隨著全球IPv4地址的耗盡,以IPv6為代表的下一代互聯網技術應運而生。國家層面出臺《推進互聯網協議第六版(IPv6)規模部署行動計劃》,全力推進互聯網演進升級和健康創新發展。接入IPv6已然成為業務剛需,現目前不支持IPv6等于放棄市場。
在發展的同時,IPv6的安全風險也開始顯現,IPv6網絡攻擊數量劇增,攻擊范圍也在逐漸擴大。僅2019年,知道創宇云防御平臺共攔截來自IPv6網絡攻擊9.2億余次,總訪問請求中有8.3%的請求為網絡攻擊。
在大量攻擊的背景下,成長期的創業公司需要重視IPv6的安全部署。
3.嚴格管理內部業務權限
據著名國際咨詢服務公司Willis Towers Watson的網絡保險理賠數據顯示,2/3的網絡安全問題是由于員工疏忽和瀆職而直接或間接造成的。相較之下,僅有18%的網絡安全問題是由外部威脅直接引發的。
數據來源:Willis Towers Watson因此,成長期的創業公司必須重視內部權限管理,包括數據庫、服務器、后臺等各種關系公司核心資產的權限。
必要時建議開始雙重驗證,這樣可以最大程度避免一個員工的誤操作或惡意行為。
今年2月微盟數據庫被刪事件,直接影響了300萬商家。微盟受事故影響,市值一日內蒸發超12億港元。一場人為的破壞導致了無法估量的損失,讓成千上萬的商家生意停擺。
這次事件再次給業界同行敲響警鐘:數據安全管理無小事。所以企業在進行數據管理需要做到兩點:
● 實行嚴格的備份機制
● 管理權限分開
成熟期——關鍵點:加強安全建設
普華永道在報告《從初創到成熟,獨角獸企業如何識別風險、迅速響應?》里提到:僅有39%的受訪企業表示他們有危機應對計劃并進行過測試,有44%的成熟獨角獸企業尚沒有危機應對計劃及預案。
數據來源:《普華永道獨角獸CEO調研2018》普華永道還提到:能否預測各種不確定性并適當的處理不確定性、建立有效的危機應對計劃及預案,成為創業成功與否的決勝因素。
越成熟的創業公司,越依賴數字化,更應該重視安全建設。
1·打造強有力的安全團隊
成熟創業公司有必要打造自己的安全團隊。處于此階段的創業公司通常也在經歷B-C輪融資,或籌備上市,安全問題不應該成為資本流失的隱患。
安全團隊可以幫助公司及時發現問題,他們可以全權負責公司內外部的安全建設。
2.定期進行業務安全檢測
安全檢測可以由自己的安全團隊進行,也可以由安全公司協助完成。定期的安全檢查,可以發現潛在隱患并及時修復,以確保業務系統安全性。
3.選購貼合業務的商業安全產品
安全團隊與商業安全產品的加持下,可以讓安全工作更易進行。專業人員與專業工具結合,可以最大程度的提升公司安全能力。
4.員工安全意識培訓
前面有提到:2/3的網絡安全問題是由于員工疏忽和瀆職而直接或間接造成的。所以在加強權限管理的同時,成熟的創業公司需要對員工做安全培訓,這時公司有能力,也有必要去做這項安全措施。除此之外,為了幫助企業低成本提高抗風險能力,近期知道創宇發起了復蘇季·安全助力活動,免費開放多款安全產品,讓不同階段的企業能低成本快速完成安全建設,避免安全問題造成致命打擊。
新教育 · 新觀察 · 新視點
