本文主要是介绍攻防视角下,初创企业安全实战经验分享,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!
01 一些安全建设的误区
1、几个典型的安全误区
首先给大家介绍一下安全建设常见的误区,如图 1 所示。
第一个误区是:大家普遍认为初创公司受到攻击的概率比较小,而安全总归是要花钱的,因此安全建设是不是能省就省,先放一边,保证项目上线。但其实黑客的攻击是没有差别的,攻击目标可能是大企业,也可能是小企业,所以我觉得初创企业一刚开始还是要有起码的安全建设意识。
第二个误区是:很多人认为只要安装了防火墙,并且买了安全服务,就可以高枕无忧了。这其实也是不对的,不管是防火墙,还是 WAF,或者其他的安全产品,其功能都是相对有限的,可能只针对一个点进行防护,但是安全建设是一个纵深范围非常深非常广的领域,单独依赖一两个安全产品,解决所有的安全问题可能也不是很现实。
第三个误区是:有企业认为行业没有损失就代表很安全,这其实也是不对的,可能有些攻击已经发生了,但我们都不知道,比如数据泄露、拖库等,这些安全隐患可能我们都没有感知到。
2、网络安全问题决定未来发展的天花板
其实因为不重视网络安全问题,很多知名企业受到重创。大家可能比较熟悉的 zoom 在美国上市,市值曾经也很高,但是曾经因为一些安全问题,导致股价下跌得比较厉害。Clubhouse 也是美国的一家公司,它在起初的发展是非常迅速的,但是也因为一些网络安全问题,导致后来的衰落。微盟也是因为内部的安全建设没有做好而出现了问题。
这可能不光是内部管理的规范问题,也是缺乏安全意识的问题。从某种程度上来说,网络安全问题可能就决定了未来发展的天花板。
3、安全建设的重要性和必要性
网络安全事件造成的影响是比较大的,特别是最近几年,国家对网络安全越来越重视,也发布了一系列的安全法规,明确了企业从业者的法律上责任,强调了安全建设的重要性跟必要性。很多公司重业务轻安全,可能起初没有问题,感觉安全好像无关紧要,当出现问题的时候,又感觉安全建设也没起到什么作用,但是这样的后果往往是比较惨重的。
所以初创企业一开始就要重视安全建设,虽然说安全建设是需要花钱的,但是起码可以先做一些高优先级的安全建设,建立安全基线。另外,《数据安全法》《个人信息保护法》《网络安全法》等政策法规,也明确了网络经营者要承担的责任,初创企业也是不例外的。
4、 常见的安全威胁
我今天主要是从两方面介绍常见的安全威胁,第一个是外部安全威胁,第二个就是内部安全威胁。外部安全威胁比较常见,比如 DDoS、CC 等,这些攻击其实在整个产业链中已经非常成熟了,从金主到接单的平台,整个链路是非常完整的,而且攻击成本非常低。因为现在网络越来越发达,很多设备的漏洞非常多,特别是物联网设备等,针对它们的攻击打法是比较多的,攻击面也比较广,破坏力非常强。但是防护就没那么容易,它存在严重的攻防不对等问题。
图 2 所示为一个网络平台,只需 100 块钱就可以打一个攻击,这类攻击的成本很低,是我们面临的常见威胁。Web 安全也是一种常见的安全威胁,比如搜索注入、XSS、远程命令执行等。我从一份 2017 年到 2021 年的知名报告中摘取了一些数据,如图 3 所示,可以看到整个攻击类型的变化和攻击的趋势。
第三种常见威胁就是 API 安全,其实现在基本上没有什么业务是不用 API 的,无论是 API 的数量,还是总体调用 API 的数量,
这篇关于攻防视角下,初创企业安全实战经验分享的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!