在信息安全世界，小型企業(yè)及其安全需求常常被忽略，特別是在應(yīng)用安全領(lǐng)域。并且，小型企業(yè)缺乏專門的安全團(tuán)隊(duì)，更不用說(shuō)安全專家。因此，在應(yīng)對(duì)攻擊和安全事故時(shí)，小型企業(yè)面臨巨大的風(fēng)險(xiǎn)。那么，小型企業(yè)應(yīng)該如何加強(qiáng)其安全性呢?

盡量減少攻擊面

隨著企業(yè)的不斷發(fā)展，擴(kuò)展規(guī)模成為一個(gè)很大的挑戰(zhàn)。在技術(shù)方面，擴(kuò)展意味著加強(qiáng)你的基礎(chǔ)設(shè)施和技術(shù)來(lái)提供更廣泛的可靠的服務(wù)產(chǎn)品，也就是說(shuō)，擴(kuò)展技術(shù)和服務(wù)需要增加更多“東西”到企業(yè)中。但是，隨著基礎(chǔ)設(shè)施的擴(kuò)展，攻擊面會(huì)相應(yīng)地增大，從而給企業(yè)帶來(lái)更多安全風(fēng)險(xiǎn)。

為了在擴(kuò)展規(guī)模的同時(shí)減少攻擊面，企業(yè)應(yīng)該確保在公布企業(yè)資產(chǎn)、應(yīng)用程序和功能信息時(shí)，只是公布需要用于交付服務(wù)的信息。企業(yè)應(yīng)該經(jīng)常問(wèn)自己，這個(gè)信息需要放到網(wǎng)上嗎?如果受到攻擊會(huì)怎樣?我們?cè)撊绾畏乐顾獾焦?

明白打補(bǔ)丁的重要性

我們都聽(tīng)過(guò)這樣的說(shuō)法，“最好的防御就是進(jìn)攻”，可能這并不完全是正確的，但對(duì)于小型企業(yè)而言，確實(shí)是如此。小型企業(yè)的防御能力要弱于大型企業(yè)，但大型企業(yè)面臨巨大的攻擊面，這意味著你可以利用你小規(guī)模的優(yōu)勢(shì)來(lái)迅速且頻繁地修復(fù)漏洞。對(duì)于較小型的基礎(chǔ)設(shè)施，漏洞修復(fù)工作可以更迅速地進(jìn)行，但存在的一個(gè)問(wèn)題就是，保持追蹤相關(guān)的安全問(wèn)題。為了解決這個(gè)問(wèn)題，筆者強(qiáng)烈建議創(chuàng)建一個(gè)安全@電子郵件地址;確定你的平臺(tái)依賴的組件，例如Apache、MySQL、PHP、Oracle等;并使用該郵件地址訂閱相關(guān)軟件的安全和更新feed。一旦發(fā)現(xiàn)安全公告和更新，就應(yīng)該評(píng)估對(duì)你系統(tǒng)的相關(guān)性，并立即修復(fù)。

利用免費(fèi)工具

有兩個(gè)優(yōu)秀且免費(fèi)的工具可用于web應(yīng)用程序掃描：Arachni和W3AF。這兩個(gè)工具主要針對(duì)應(yīng)用程序?qū)＜?，同時(shí)，它們也可以有效地幫助你的團(tuán)隊(duì)掃描網(wǎng)站或者應(yīng)用程序，以發(fā)現(xiàn)SQL注入和跨站腳本攻擊。即使你企業(yè)沒(méi)有安全專家，筆者也強(qiáng)烈建議你下載并安裝W3AF或者Arachni，花一些時(shí)間熟悉這些工具，并養(yǎng)成掃描應(yīng)用程序的習(xí)慣，以確保不會(huì)忽略容易被發(fā)現(xiàn)的漏洞。

制定計(jì)劃

未來(lái)某一天，你的企業(yè)可能會(huì)遭遇安全事故。根據(jù)攻擊的動(dòng)機(jī)的不同，安全泄漏事故的嚴(yán)重程度會(huì)有所不同，但必然會(huì)造成數(shù)據(jù)丟失、破壞等?？紤]到這一點(diǎn)，企業(yè)應(yīng)該確保具有安全的異地備份。除此之外，企業(yè)還應(yīng)該確認(rèn)數(shù)據(jù)的完整性，這樣，當(dāng)你從備份進(jìn)行恢復(fù)時(shí)，數(shù)據(jù)就完全可用了。并且，企業(yè)還應(yīng)該確保對(duì)這些備份的訪問(wèn)是“單向的”，即沒(méi)有人可以登錄到你的web服務(wù)器、從備份腳本讀取SSH密鑰/密碼，然后登錄到備份服務(wù)器，并破壞你的數(shù)據(jù)。

最后，如果你的企業(yè)負(fù)擔(dān)得起的話，請(qǐng)確保你的企業(yè)每年至少執(zhí)行一次專業(yè)的安全評(píng)估。你也可以自己進(jìn)行評(píng)估和QA工作，更好地了解你企業(yè)和應(yīng)用程序的安全態(tài)勢(shì)。