攻防视角下，初创企业安全实战经验分享

01 一些安全建设的误区

1、几个典型的安全误区

首先给大家介绍一下安全建设常见的误区，如图 1 所示。

第一个误区是：大家普遍认为初创公司受到攻击的概率比较小，而安全总归是要花钱的，因此安全建设是不是能省就省，先放一边，保证项目上线。但其实黑客的攻击是没有差别的，攻击目标可能是大企业，也可能是小企业，所以我觉得初创企业一刚开始还是要有起码的安全建设意识。

第二个误区是：很多人认为只要安装了防火墙，并且买了安全服务，就可以高枕无忧了。这其实也是不对的，不管是防火墙，还是 WAF，或者其他的安全产品，其功能都是相对有限的，可能只针对一个点进行防护，但是安全建设是一个纵深范围非常深非常广的领域，单独依赖一两个安全产品，解决所有的安全问题可能也不是很现实。

第三个误区是：有企业认为行业没有损失就代表很安全，这其实也是不对的，可能有些攻击已经发生了，但我们都不知道，比如数据泄露、拖库等，这些安全隐患可能我们都没有感知到。

2、网络安全问题决定未来发展的天花板

其实因为不重视网络安全问题，很多知名企业受到重创。大家可能比较熟悉的 zoom 在美国上市，市值曾经也很高，但是曾经因为一些安全问题，导致股价下跌得比较厉害。Clubhouse 也是美国的一家公司，它在起初的发展是非常迅速的，但是也因为一些网络安全问题，导致后来的衰落。微盟也是因为内部的安全建设没有做好而出现了问题。

这可能不光是内部管理的规范问题，也是缺乏安全意识的问题。从某种程度上来说，网络安全问题可能就决定了未来发展的天花板。

3、安全建设的重要性和必要性

网络安全事件造成的影响是比较大的，特别是最近几年，国家对网络安全越来越重视，也发布了一系列的安全法规，明确了企业从业者的法律上责任，强调了安全建设的重要性跟必要性。很多公司重业务轻安全，可能起初没有问题，感觉安全好像无关紧要，当出现问题的时候，又感觉安全建设也没起到什么作用，但是这样的后果往往是比较惨重的。

所以初创企业一开始就要重视安全建设，虽然说安全建设是需要花钱的，但是起码可以先做一些高优先级的安全建设，建立安全基线。另外，《数据安全法》《个人信息保护法》《网络安全法》等政策法规，也明确了网络经营者要承担的责任，初创企业也是不例外的。

4、 常见的安全威胁

我今天主要是从两方面介绍常见的安全威胁，第一个是外部安全威胁，第二个就是内部安全威胁。外部安全威胁比较常见，比如 DDoS、CC 等，这些攻击其实在整个产业链中已经非常成熟了，从金主到接单的平台，整个链路是非常完整的，而且攻击成本非常低。因为现在网络越来越发达，很多设备的漏洞非常多，特别是物联网设备等，针对它们的攻击打法是比较多的，攻击面也比较广，破坏力非常强。但是防护就没那么容易，它存在严重的攻防不对等问题。

图 2 所示为一个网络平台，只需 100 块钱就可以打一个攻击，这类攻击的成本很低，是我们面临的常见威胁。Web 安全也是一种常见的安全威胁，比如搜索注入、XSS、远程命令执行等。我从一份 2017 年到 2021 年的知名报告中摘取了一些数据，如图 3 所示，可以看到整个攻击类型的变化和攻击的趋势。

第三种常见威胁就是 API 安全，其实现在基本上没有什么业务是不用 API 的，无论是 API 的数量，还是总体调用 API 的数量，