3

私は新興企業で働いており、主にシステム管理を行っていますが、あまり快適ではないセキュリティの問題に遭遇しました。私の予想が正しいかどうかを判断したいので、この状況で他の人が何をしたか、どのようなリスク/問題が発生したかについての洞察を探しています. 特に、vpn の背後に管理ツールを配置する、定期的なセキュリティ更新 (OS とツール) などの対策がどれほど重要か.

これは新興企業であるため、主な目標はできるだけ多くの機能を迅速に世に出すことであることを覚えておいてください。そのため、セキュリティのためのリソース (つまり、アップグレード、アプリケーションのセキュリティ修正のための開発時間)。

背景情報:

  • アプリケーションは LAMP であり、カスタム Java クライアント サーバーです。
  • 今後 3 か月間で、約 10,000 人の匿名訪問者と最大 1000 人の認証済みユーザーがサイトに来ると予測しています。
  • 若い視聴者 (16 ~ 25 歳) には、平均以上のブラック ハットが含まれていることが保証されています。

ご回答ありがとうございます。関連するアドバイスをお待ちしております。

4

10 に答える 10

6

また、現在の(つまり、間もなく過去の)従業員からサーバーを保護する必要があることを忘れないでください。従業員の妨害行為により、いくつかのスタートアップが完全に一掃されました。例: http: //www.geek.com/articles/news/disgruntled-employee-kills-journalspace-with-data-wipe-2009015/

于 2009-01-09T19:44:04.347 に答える
5

初日からセキュリティが考慮されておらず、アプリケーションとそのインフラストラクチャに組み込まれていない場合、後でそれを後付けすることははるかに困難になります。今こそ、定期的なOS /ツールのパッチ適用、アップグレードなどのプロセスを構築するときです。

  • ユーザーはサイトでどのような種類のデータを作成/保存しますか?
  • 違反はユーザーにどのような影響を及ぼしますか?
  • 違反はあなたの会社にどのような影響を及ぼしますか?
  • 違反した後、ユーザーの信頼を取り戻すことができますか?

あなたの会社は既存のユーザーを維持し、新しいユーザーを引き付けることに依存しているので、ユーザーが違反にどのように反応するかという方針に沿って懸念を提示する必要があります。上層部は、ユーザーがあなたのパンとバターであ​​ることを理解します。

于 2009-01-09T19:39:46.807 に答える
5

特にスタートアップにとっては、評判がすべてです。スタートアップとして、信頼性/セキュリティ/...の長い歴史はありません。そのため、ユーザーがアプリを使い始めたときに「疑いの利益」を与えるかどうかはすべてユーザー次第です。

サーバーがハッキングされ、ユーザーがそれに気付いた場合、評判は失われます。それがなくなったら、アプリや機能が「次の新しいもの」になるかどうかは問題ではありません。セキュリティ侵害が軽微であったかどうかは問題ではありません。人々はあなたのアプリや会社を信頼しなくなります。

ですから、私はセキュリティを最優先事項と考えています。

于 2009-01-09T19:32:35.213 に答える
4

私は評判についてステファンに同意します。セキュリティが不足していたため、ハッキングされたくありません。それはあなたのサイトや会社を傷つけるだけでなく、あなたがそれを担当しているのであなたにとって悪いように見えるでしょう。

私の個人的な意見は、いくらやっても脆弱性があるので、できる限りのことをすることです。

残念ながら、テストやドキュメント化などのセキュリティは、多くの場合、後から付け加えられます。サイト/ソフトウェアのライフサイクルの早い段階でリスク評価を行い、評価を継続する必要があります。セキュリティホールのためにすべてのソフトウェアにパッチを当てることが重要だと思います。

于 2009-01-09T19:40:45.930 に答える
3

これらはおそらく明らかです:

  • パスワードの試行を制限します。
  • データベース入力をサニタイズする
  • XSS攻撃に対する対策

また、おっしゃったように、ネットワークアーキテクチャを適切に設定する必要があることにも言及する価値があります。可能な限りロックダウンされた適切なファイアウォールが必要です。メーカーの異なるデュアル ファイアウォールの間にシステムを配置することを推奨する人もいます。これにより、そのうちの 1 つに重大な脆弱性があった場合でも、2 つ目のファイアウォールには同じ脆弱性がなく、安全になります。それはすべて、スタートアップであるため、余裕があるかどうかにかかっています。

于 2009-01-09T19:32:12.530 に答える
3

システムをクラックしようとする傾向のあるユーザーを明示的に引き付けようとしている場合は、システム攻撃を受けることはほぼ間違いありません。

管理者がセキュリティを真剣に考えないのであれば、会社の銀行取引明細書と会計帳簿をサイトに (平文で) 掲載し、ホームページからのリンクを目立つようにすることを経営陣に提案する必要があります。 . 少なくともそうすれば、最終結果はほぼ同じになるが、探しているものを手に入れるために他のすべてにダメージを与える可能性は低いと彼らに伝えることができます.

評判の問題は、この聴衆とは少し異なるキャストを持っていると思います.彼らはあなたがハッキングされたことを許すかもしれませんが、あなたが簡単な標的であることを許すことはないでしょう.

于 2009-01-09T22:46:18.113 に答える
2

OSだけでなく、関連するすべてのコンポーネントと実際にマシンを実行しているすべてのものについて、サーバーが実行しているバージョンとパッチレベルを確認してください。次に、1 日以上遅れないようにしてください。そうしないと多くの苦痛が生じますが、そのほとんどは聞いたことがありません - 私の過去の雇用主のほとんどは、ハッキングされたことを公に認めることはありませんでした。企業に深刻な結果をもたらす可能性がありますが、これらのイベントのほとんどについて耳にすることはありません。

于 2009-01-09T19:29:22.257 に答える
2

私の最善の提案は監視です。

完全なセキュリティはありません。リスクを受け入れ、必要に応じて防止することがすべてです。ただし、監視が行われていない場合、何か (攻撃) が成功したかどうか、およびそれがどのように発生したかを知る方法がありません。

そのため、システムを最新の状態に保ち、いくつかの軽量ツールをインストールして適切に監視してください。カスタム アプリケーションがある場合は、そこにログインを追加します。エラーによって生成されたエラー (不正な入力)、失敗したパスワード、またはユーザーによって生成されたエラーにログオンします。

監視する軽量ツールについては、かなりの数の無料/オープン ソースがあります。

  • OSSEC (異常、変更、ログを探すため)
  • modsecurity (Web ベースの監視)
  • Sucuri (whois/dns/ブラックリスト監視)
于 2009-07-13T19:04:05.550 に答える
2

ここでのいくつかの基本的な「セキュリティ」対策は、積極的ではなく受動的ですが、考慮すべき事項です。

1) バックアップ戦略はもちろん、あなたのサイトをハッキングする人だけのものではありませんが、可能であればハッキング前の日にすべてを復元するのは良いことです。それが信頼できるものであることを確認し、最も重要なことは、ライブに近い復元訓練でテストされたこと
です )緩和策、サーバーがハッキングされた場合の対応方法について、少なくともナプキンのどこかに計画を立てておいて
ください。
従業員の妨害行為の問題については既に述べましたが、事前に従業員をスクリーニングしていますよね? 身元調査は安価で、掘り出しものを行います...

于 2009-01-09T22:29:10.397 に答える