在信息安全世界，小型企業(yè)及其安全需求常常被忽略，特別是在應(yīng)用安全領(lǐng)域。并且，小型企業(yè)缺乏專門的安全團隊，更不用說安全專家。因此，在應(yīng)對攻擊和安全事故時，小型企業(yè)面臨巨大的風(fēng)險。那么，小型企業(yè)應(yīng)該如何加強其安全性呢?

盡量減少攻擊面

隨著企業(yè)的不斷發(fā)展，擴展規(guī)模成為一個很大的挑戰(zhàn)。在技術(shù)方面，擴展意味著加強你的基礎(chǔ)設(shè)施和技術(shù)來提供更廣泛的可靠的服務(wù)產(chǎn)品，也就是說，擴展技術(shù)和服務(wù)需要增加更多“東西”到企業(yè)中。但是，隨著基礎(chǔ)設(shè)施的擴展，攻擊面會相應(yīng)地增大，從而給企業(yè)帶來更多安全風(fēng)險。

為了在擴展規(guī)模的同時減少攻擊面，企業(yè)應(yīng)該確保在公布企業(yè)資產(chǎn)、應(yīng)用程序和功能信息時，只是公布需要用于交付服務(wù)的信息。企業(yè)應(yīng)該經(jīng)常問自己，這個信息需要放到網(wǎng)上嗎?如果受到攻擊會怎樣?我們該如何防止它遭到攻擊?

明白打補丁的重要性

我們都聽過這樣的說法，“最好的防御就是進攻”，可能這并不完全是正確的，但對于小型企業(yè)而言，確實是如此。小型企業(yè)的防御能力要弱于大型企業(yè)，但大型企業(yè)面臨巨大的攻擊面，這意味著你可以利用你小規(guī)模的優(yōu)勢來迅速且頻繁地修復(fù)漏洞。對于較小型的基礎(chǔ)設(shè)施，漏洞修復(fù)工作可以更迅速地進行，但存在的一個問題就是，保持追蹤相關(guān)的安全問題。為了解決這個問題，筆者強烈建議創(chuàng)建一個安全@電子郵件地址;確定你的平臺依賴的組件，例如Apache、MySQL、PHP、Oracle等;并使用該郵件地址訂閱相關(guān)軟件的安全和更新feed。一旦發(fā)現(xiàn)安全公告和更新，就應(yīng)該評估對你系統(tǒng)的相關(guān)性，并立即修復(fù)。

利用免費工具

有兩個優(yōu)秀且免費的工具可用于web應(yīng)用程序掃描：Arachni和W3AF。這兩個工具主要針對應(yīng)用程序?qū)＜遥瑫r，它們也可以有效地幫助你的團隊掃描網(wǎng)站或者應(yīng)用程序，以發(fā)現(xiàn)SQL注入和跨站腳本攻擊。即使你企業(yè)沒有安全專家，筆者也強烈建議你下載并安裝W3AF或者Arachni，花一些時間熟悉這些工具，并養(yǎng)成掃描應(yīng)用程序的習(xí)慣，以確保不會忽略容易被發(fā)現(xiàn)的漏洞。

制定計劃

未來某一天，你的企業(yè)可能會遭遇安全事故。根據(jù)攻擊的動機的不同，安全泄漏事故的嚴重程度會有所不同，但必然會造成數(shù)據(jù)丟失、破壞等。考慮到這一點，企業(yè)應(yīng)該確保具有安全的異地備份。除此之外，企業(yè)還應(yīng)該確認數(shù)據(jù)的完整性，這樣，當(dāng)你從備份進行恢復(fù)時，數(shù)據(jù)就完全可用了。并且，企業(yè)還應(yīng)該確保對這些備份的訪問是“單向的”，即沒有人可以登錄到你的web服務(wù)器、從備份腳本讀取SSH密鑰/密碼，然后登錄到備份服務(wù)器，并破壞你的數(shù)據(jù)。

最后，如果你的企業(yè)負擔(dān)得起的話，請確保你的企業(yè)每年至少執(zhí)行一次專業(yè)的安全評估。你也可以自己進行評估和QA工作，更好地了解你企業(yè)和應(yīng)用程序的安全態(tài)勢。(鄒錚編譯)