为创业公司制定的最低安全预防措施是什么?

时间:2009-01-09 19:25:14

标签: java security lamp infrastructure

我正在与一家初创公司合作,主要是进行系统管理,而且我遇到了一些我不太满意的安全问题。我想判断我的期望是否准确,所以我正在寻找其他人在这种情况下做了什么,以及出现了哪些风险/问题。特别是,在vpn背后放置管理工具,定期安全更新(操作系统和工具)等措施有多么重要。

请记住,由于这是一个初创公司,主要目标是尽快获得尽可能多的功能,所以我需要尽可能多的理由来获取安全资源(即升级的停机时间,应用安全修复的开发时间)。

背景资料:

  • 应用程序是LAMP以及自定义Java客户端服务器。
  • 在接下来的3个月内,我预计会有大约10,000名匿名访问者和最多1000名经过身份验证的用户。
  • 年轻观众(16-25岁)保证包含高于平均数量的黑帽子。

提前感谢您的回复,我们欢迎任何相关的建议。

10 个答案:

答案 0 :(得分:6)

此外,不要忘记您需要让您的服务器免受当前(即即将过去)员工的影响。由于员工的破坏,几家初创公司完全被清除,例如http://www.geek.com/articles/news/disgruntled-employee-kills-journalspace-with-data-wipe-2009015/

答案 1 :(得分:5)

声誉就是这里的一切,特别是对于初创公司而言。作为一家创业公司,您没有可靠性/安全性的悠久历史/ ... - 因此,当他们开始使用您的应用程序时,所有这些都取决于用户给您“怀疑的好处”。

如果您的服务器被黑客入侵而且您的用户注意到了这一点,那么您的声誉就会消失。一旦它消失了,你的应用程序和你的功能是否是“下一个新事物”并不重要。无论安全漏洞是否轻微都无关紧要 - 人们不再相信您的应用/公司。

所以,我认为安全是首要任务。

答案 2 :(得分:5)

如果从第一天开始就没有考虑到安全性并将其内置到应用程序及其基础架构中,那么稍后对其进行改进就会困难得多。现在是构建常规OS /工具修补,升级等流程的时候了。

  • 用户在网站上创建/存储哪些数据?
  • 违规会对您的用户产生什么影响?
  • 违规会对贵公司产生什么影响?
  • 在发生违规行为后,您是否能够重新获得用户的信任?

由于您的公司依赖于保留现有用户并吸引新用户,因此您应该根据用户对违规行为的反应来表达您的疑虑。高层将了解用户是你的面包和黄油。

答案 3 :(得分:4)

我同意斯特凡的声誉。你不想被黑客入侵,因为你缺乏安全性。这不仅会对您的网站和公司造成伤害,而且由于您负责这一点,因此会对您造成不良影响。

我个人的意见是尽可能多地做,因为不管你做多少都会有漏洞。

不幸的是,测试和文档之类的安全性经常发生。您应该确保在网站/软件的生命早期进行风险评估,并继续进行评估。我认为为安全漏洞修补所有软件非常重要。

答案 4 :(得分:3)

这些可能很明显:

  • 限制密码尝试次数。
  • 清理数据库输入
  • 防止XSS攻击的措施

值得一提的是,正如您所说,应该适当地设置网络架构。你肯定应该有一个像往常一样锁定的防火墙。有些人建议将您的系统置于不同品牌的双防火墙之间,以便在其中一个具有严重漏洞的情况下,第二个很可能没有相同的漏洞并且您将是安全的。这一切都取决于你能负担得起的,因为它是一个创业公司。

答案 5 :(得分:3)

如果您明确试图吸引那些倾向于尝试破解系统的用户,那么您可以很好地打赌您的系统受到攻击。

您应该向管理层建议,如果他们不打算认真对待安全问题,那么您应该继续在网站上发布公司的银行对帐单和会计帐簿(明文),并附上一个突出的链接主页。至少就是这样,你可以告诉他们,最终结果大致相同,但他们不太可能损害其他一切,以获得他们正在寻找的东西。

我认为声誉问题也可能与这些观众略有不同 - 他们可能原谅你被黑客入侵,但他们可能不会原谅你是一个简单的目标。

答案 6 :(得分:2)

确保您知道服务器运行的版本和修补程序级别,而不仅仅是操作系统,还包括所有相关组件以及实际执行计算机的所有内容。 然后确保你永远不会落后一天。 不这样做会导致很多痛苦,而你却没有听说过大部分内容 - 我过去的大多数雇主都不会公开承认被黑客入侵,因为它反映了他们,所以你可以假设系统被左右攻击对公司造成严重后果,你只是听不到大部分这些事件。

答案 7 :(得分:2)

这里有一些基本的“安全”措施,虽然它们比主动更具反应性,但有些事情需要考虑。

1)备份策略,当然不仅仅适用于那些侵入您网站的人,但如果可能的话,将所有内容恢复到预先测试的日子是很好的,确保它可靠,最重要的是在近距离测试恢复演习
2)缓解措施,至少在餐巾纸上制定计划,以便在服务器遭到黑客攻击时如何应对 3)保险,找到了解网络业务世界的保险公司以及由这些事情造成的损害,购买政策
4)有人已经提到员工破坏问题,你事先是在筛选员工吗?背景调查很便宜并且挖掘东西......

答案 8 :(得分:2)

我最好的建议是监控。

没有完美的安全保障,所有这些都是为了接受风险并在必要时防止风险。但是,如果您没有监控,您将无法知道某些事件(攻击)是否成功以及它是如何发生的。

因此,请保持系统更新并安装一些轻量级工具来正确监控它。 如果您有自定义应用程序,请在其中添加日志记录。登录错误生成的错误(输入错误),密码失败或任何用户生成的错误。

对于要监控的轻量级工具,有很多免费/开源:

  • OSSEC(寻找异常,变化和日志)
  • modsecurity(基于网络的监控)
  • Sucuri(whois / dns /黑名单监控)

答案 9 :(得分:0)

了解Mod Security以了解软件设置的各种可能性: 谷歌搜索“mod_security howto example”

开始的简单示例:http://www.ghacks.net/2009/07/15/install-mod_security-for-better-apache-security/