攻防视角下,初创企业安全实战经验分享

2024-03-18 22:20

本文主要是介绍攻防视角下,初创企业安全实战经验分享,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

01 一些安全建设的误区

1、几个典型的安全误区

 

首先给大家介绍一下安全建设常见的误区,如图 1 所示。

第一个误区是:大家普遍认为初创公司受到攻击的概率比较小,而安全总归是要花钱的,因此安全建设是不是能省就省,先放一边,保证项目上线。但其实黑客的攻击是没有差别的,攻击目标可能是大企业,也可能是小企业,所以我觉得初创企业一刚开始还是要有起码的安全建设意识。

第二个误区是:很多人认为只要安装了防火墙,并且买了安全服务,就可以高枕无忧了。这其实也是不对的,不管是防火墙,还是 WAF,或者其他的安全产品,其功能都是相对有限的,可能只针对一个点进行防护,但是安全建设是一个纵深范围非常深非常广的领域,单独依赖一两个安全产品,解决所有的安全问题可能也不是很现实。

第三个误区是:有企业认为行业没有损失就代表很安全,这其实也是不对的,可能有些攻击已经发生了,但我们都不知道,比如数据泄露、拖库等,这些安全隐患可能我们都没有感知到。

2、网络安全问题决定未来发展的天花板

其实因为不重视网络安全问题,很多知名企业受到重创。大家可能比较熟悉的 zoom 在美国上市,市值曾经也很高,但是曾经因为一些安全问题,导致股价下跌得比较厉害。Clubhouse 也是美国的一家公司,它在起初的发展是非常迅速的,但是也因为一些网络安全问题,导致后来的衰落。微盟也是因为内部的安全建设没有做好而出现了问题。

这可能不光是内部管理的规范问题,也是缺乏安全意识的问题。从某种程度上来说,网络安全问题可能就决定了未来发展的天花板。

3、安全建设的重要性和必要性

网络安全事件造成的影响是比较大的,特别是最近几年,国家对网络安全越来越重视,也发布了一系列的安全法规,明确了企业从业者的法律上责任,强调了安全建设的重要性跟必要性。很多公司重业务轻安全,可能起初没有问题,感觉安全好像无关紧要,当出现问题的时候,又感觉安全建设也没起到什么作用,但是这样的后果往往是比较惨重的。

所以初创企业一开始就要重视安全建设,虽然说安全建设是需要花钱的,但是起码可以先做一些高优先级的安全建设,建立安全基线。另外,《数据安全法》《个人信息保护法》《网络安全法》等政策法规,也明确了网络经营者要承担的责任,初创企业也是不例外的。

4、 常见的安全威胁

我今天主要是从两方面介绍常见的安全威胁,第一个是外部安全威胁,第二个就是内部安全威胁。外部安全威胁比较常见,比如 DDoS、CC 等,这些攻击其实在整个产业链中已经非常成熟了,从金主到接单的平台,整个链路是非常完整的,而且攻击成本非常低。因为现在网络越来越发达,很多设备的漏洞非常多,特别是物联网设备等,针对它们的攻击打法是比较多的,攻击面也比较广,破坏力非常强。但是防护就没那么容易,它存在严重的攻防不对等问题。

图 2 所示为一个网络平台,只需 100 块钱就可以打一个攻击,这类攻击的成本很低,是我们面临的常见威胁。Web 安全也是一种常见的安全威胁,比如搜索注入、XSS、远程命令执行等。我从一份 2017 年到 2021 年的知名报告中摘取了一些数据,如图 3 所示,可以看到整个攻击类型的变化和攻击的趋势。

第三种常见威胁就是 API 安全,其实现在基本上没有什么业务是不用 API 的,无论是 API 的数量,还是总体调用 API 的数量,

这篇关于攻防视角下,初创企业安全实战经验分享的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/823845

相关文章

Ilya-AI分享的他在OpenAI学习到的15个提示工程技巧

Ilya(不是本人,claude AI)在社交媒体上分享了他在OpenAI学习到的15个Prompt撰写技巧。 以下是详细的内容: 提示精确化:在编写提示时,力求表达清晰准确。清楚地阐述任务需求和概念定义至关重要。例:不用"分析文本",而用"判断这段话的情感倾向:积极、消极还是中性"。 快速迭代:善于快速连续调整提示。熟练的提示工程师能够灵活地进行多轮优化。例:从"总结文章"到"用

Hadoop企业开发案例调优场景

需求 (1)需求:从1G数据中,统计每个单词出现次数。服务器3台,每台配置4G内存,4核CPU,4线程。 (2)需求分析: 1G / 128m = 8个MapTask;1个ReduceTask;1个mrAppMaster 平均每个节点运行10个 / 3台 ≈ 3个任务(4    3    3) HDFS参数调优 (1)修改:hadoop-env.sh export HDFS_NAMENOD

【专题】2024飞行汽车技术全景报告合集PDF分享(附原数据表)

原文链接: https://tecdat.cn/?p=37628 6月16日,小鹏汇天旅航者X2在北京大兴国际机场临空经济区完成首飞,这也是小鹏汇天的产品在京津冀地区进行的首次飞行。小鹏汇天方面还表示,公司准备量产,并计划今年四季度开启预售小鹏汇天分体式飞行汽车,探索分体式飞行汽车城际通勤。阅读原文,获取专题报告合集全文,解锁文末271份飞行汽车相关行业研究报告。 据悉,业内人士对飞行汽车行业

客户案例:安全海外中继助力知名家电企业化解海外通邮困境

1、客户背景 广东格兰仕集团有限公司(以下简称“格兰仕”),成立于1978年,是中国家电行业的领军企业之一。作为全球最大的微波炉生产基地,格兰仕拥有多项国际领先的家电制造技术,连续多年位列中国家电出口前列。格兰仕不仅注重业务的全球拓展,更重视业务流程的高效与顺畅,以确保在国际舞台上的竞争力。 2、需求痛点 随着格兰仕全球化战略的深入实施,其海外业务快速增长,电子邮件成为了关键的沟通工具。

安全管理体系化的智慧油站开源了。

AI视频监控平台简介 AI视频监控平台是一款功能强大且简单易用的实时算法视频监控系统。它的愿景是最底层打通各大芯片厂商相互间的壁垒,省去繁琐重复的适配流程,实现芯片、算法、应用的全流程组合,从而大大减少企业级应用约95%的开发成本。用户只需在界面上进行简单的操作,就可以实现全视频的接入及布控。摄像头管理模块用于多种终端设备、智能设备的接入及管理。平台支持包括摄像头等终端感知设备接入,为整个平台提

2024网安周今日开幕,亚信安全亮相30城

2024年国家网络安全宣传周今天在广州拉开帷幕。今年网安周继续以“网络安全为人民,网络安全靠人民”为主题。2024年国家网络安全宣传周涵盖了1场开幕式、1场高峰论坛、5个重要活动、15场分论坛/座谈会/闭门会、6个主题日活动和网络安全“六进”活动。亚信安全出席2024年国家网络安全宣传周开幕式和主论坛,并将通过线下宣讲、创意科普、成果展示等多种形式,让广大民众看得懂、记得住安全知识,同时还

【Kubernetes】K8s 的安全框架和用户认证

K8s 的安全框架和用户认证 1.Kubernetes 的安全框架1.1 认证:Authentication1.2 鉴权:Authorization1.3 准入控制:Admission Control 2.Kubernetes 的用户认证2.1 Kubernetes 的用户认证方式2.2 配置 Kubernetes 集群使用密码认证 Kubernetes 作为一个分布式的虚拟

java常用面试题-基础知识分享

什么是Java? Java是一种高级编程语言,旨在提供跨平台的解决方案。它是一种面向对象的语言,具有简单、结构化、可移植、可靠、安全等特点。 Java的主要特点是什么? Java的主要特点包括: 简单性:Java的语法相对简单,易于学习和使用。面向对象:Java是一种完全面向对象的语言,支持封装、继承和多态。跨平台性:Java的程序可以在不同的操作系统上运行,称为"Write once,

Unity3D自带Mouse Look鼠标视角代码解析。

Unity3D自带Mouse Look鼠标视角代码解析。 代码块 代码块语法遵循标准markdown代码,例如: using UnityEngine;using System.Collections;/// MouseLook rotates the transform based on the mouse delta./// Minimum and Maximum values can

分享5款免费录屏的工具,搞定网课不怕错过!

虽然现在学生们不怎么上网课, 但是对于上班族或者是没有办法到学校参加课程的人来说,网课还是很重要的,今天,我就来跟大家分享一下我用过的几款录屏软件=,看看它们在录制网课时的表现如何。 福昕录屏大师 网址:https://www.foxitsoftware.cn/REC/ 这款软件给我的第一印象就是界面简洁,操作起来很直观。它支持全屏录制,也支持区域录制,这对于我这种需要同时录制PPT和老师讲