初創(chuàng)公司的創(chuàng)始人常常會誤以為黑客不會在他們創(chuàng)業(yè)的公司身上浪費時間,因為他們還不夠大,不夠有名,沒有什么價值。
你的規(guī)模小、知名度小并不意味著你不會成為攻擊者的目標。初創(chuàng)公司的規(guī)模并不能使其免于網(wǎng)絡(luò)攻擊。因為黑客們會不斷掃描互聯(lián)網(wǎng),尋找他們可以利用的一切漏洞。
幸運的是,用戶也越來越意識到網(wǎng)絡(luò)安全的重要性,并經(jīng)常詢問初創(chuàng)公司他們用來保護數(shù)據(jù)的流程。
所以,如果你是一名CTO,正在考慮提高網(wǎng)頁或手機應(yīng)用的網(wǎng)絡(luò)安全狀況,那么你已經(jīng)走上了正確的道路,但網(wǎng)絡(luò)安全有很多選擇,你應(yīng)該從哪里開始呢?
為了幫助你開始,我們創(chuàng)建了這個指南,其中涵蓋以下關(guān)鍵點:
?理解“什么是安全測試?”;
?理解執(zhí)行安全測試的原因;
?界定網(wǎng)絡(luò)安全測試的范圍;
?知道何時執(zhí)行滲透測試;
什么是安全測試?
安全測試是一個廣義的術(shù)語,它指的是檢查系統(tǒng)、網(wǎng)絡(luò)或軟件是否存在黑客和其他威脅者可以利用的漏洞的過程。它可以以多種形式出現(xiàn),所以在本文中,我們將探討它的兩個主要組成部分:
漏洞評估:使用工具掃描系統(tǒng)或應(yīng)用程序以找出安全問題的自動安全測試。這些工具被稱為“漏洞掃描器”,它們執(zhí)行自動測試來發(fā)現(xiàn)應(yīng)用程序或基礎(chǔ)設(shè)施中的漏洞。漏洞的類型可能是應(yīng)用程序級的漏洞、云配置問題,或者僅僅是缺少安全補丁的軟件(網(wǎng)絡(luò)安全漏洞最常見的原因之一)。
滲透測試:主要是由網(wǎng)絡(luò)安全專家進行的手動評估(盡管通常由漏洞掃描工具支持),并確定攻擊者利用漏洞的程度。
滲透測試是在某個時間點找到盡可能多的漏洞的好方法,但是你應(yīng)該考慮在滲透測試人員回家后你盡快收到新漏洞的警報。
漏洞掃描器還使組織能夠在進行更深入、通常更昂貴的手動測試之前了解更多關(guān)于其安全狀態(tài)的信息。這在許多情況下是顯而易見的,因為滲透測試人員通常會通過運行相同的自動化工具來開始他們的測試。
為什么要執(zhí)行安全性測試?
Veracode的軟件安全狀況報告顯示,83%的研究樣本(包括全球2300家公司使用的85000個軟件應(yīng)用程序)在最初的安全測試中至少發(fā)現(xiàn)了一個安全漏洞。如果沒有測試,這些漏洞就會被發(fā)布到產(chǎn)品中,使軟件容易受到網(wǎng)絡(luò)攻擊。
如果出于這個原因,你決定開始進行安全性測試,只是為了在黑客之前找到自己的漏洞,那很好。你可以靈活地決定自己的需求,直接跳到下一節(jié)。否則,執(zhí)行安全測試的其他常見原因是:
1.第三方或客戶請求。如果合作伙伴或客戶特別要求你執(zhí)行安全測試,以確保他們的客戶數(shù)據(jù)免受網(wǎng)絡(luò)攻擊,你可能有更嚴格的要求。然而,仍然有解釋的空間。客戶通常會要求進行“滲透測試”,但他們很少具體說明這意味著什么。
2.合規(guī)認證和行業(yè)法規(guī)。許多行業(yè)法規(guī)或合規(guī)性認證還要求組織定期進行安全測試。常見示例包括ISO 27001、PCI DSS和SOC2。這些標準詳細說明了所需的測試,但即使是最具體的也沒有具體說明測試的方式或內(nèi)容,因為這取決于具體的工作。出于這個原因,人們通常認為,接受測試的公司最適合確定哪種級別的安全測試在他們的場景中有意義。因此,你可能會發(fā)現(xiàn)以下指南在確定測試內(nèi)容和方式方面仍然很有用。
風險評估
每個公司都是獨一無二的,因此,你的風險對你來說也是獨一無二的。然而,很難知道什么是正確的測試級別。你可以使用以下內(nèi)容作為我們在該行業(yè)所看到的粗略指南:
1.如果你不存儲特別敏感的數(shù)據(jù)
例如,你可能會提供網(wǎng)站正常運行時間監(jiān)控工具并且不存儲特別敏感的數(shù)據(jù)。在你成長到足以成為特定目標之前,你可能只需要擔心那些尋找輕松選擇的人會不加區(qū)分地進行黑客攻擊。如果是這樣,你更有可能只需要自動漏洞掃描。
專注于任何暴露在互聯(lián)網(wǎng)上(或可能暴露在外)的系統(tǒng),如任何遠程訪問(VPN、遠程管理員登錄)、防火墻、網(wǎng)站或應(yīng)用程序、API,以及可能偶然發(fā)現(xiàn)自己在線的系統(tǒng)(云平臺中的任何東西都很容易被意外地放到互聯(lián)網(wǎng)上)。
2.如果你存儲客戶數(shù)據(jù)
也許你是一個營銷數(shù)據(jù)分析平臺,所以你可能面臨較少來自內(nèi)部人士和犯罪團伙的威脅,但你肯定需要擔心客戶訪問彼此的數(shù)據(jù)或一般的數(shù)據(jù)泄露,例如,你有一個應(yīng)用程序,但任何人都可以在線注冊一個帳戶,你將要考慮從普通用戶的角度進行“經(jīng)過身份驗證”的滲透測試,你還需要確保員工的筆記本電腦都安裝了最新的安全更新補丁。
3.如果你提供金融服務(wù)
如果你是一家四處轉(zhuǎn)移資金的金融科技初創(chuàng)公司,你將需要擔心惡意客戶甚至惡意員工,以及針對你的網(wǎng)絡(luò)犯罪團伙。
如果是這樣,你將需要考慮對所有這些場景進行持續(xù)的漏洞評估和定期的全手動滲透測試。
4.如果你沒有任何暴露在互聯(lián)網(wǎng)上的東西
也許你根本沒有任何東西暴露在互聯(lián)網(wǎng)上,或者沒有開發(fā)面向客戶的應(yīng)用程序,因此你的主要攻擊面是員工筆記本電腦和云服務(wù)。在這種情況下,對你自己的筆記本電腦進行自動漏洞掃描是最有意義的。
每個企業(yè)都是獨一無二的,沒有任何一種網(wǎng)絡(luò)安全策略可以適用于所有初創(chuàng)公司。這就是為什么你需要從了解你自己的風險在哪里開始。
你需要保護什么?
理想情況下,在計劃安全測試本身之前,你應(yīng)該考慮你擁有哪些資產(chǎn),包括技術(shù)資產(chǎn)和信息資產(chǎn),這個過程稱為“資產(chǎn)管理”。
一個非常簡單的例子可能是:“我們有70臺員工筆記本電腦,主要使用云服務(wù),并將我們的客戶數(shù)據(jù)存儲和備份在Google Cloud Platform中,以及一個允許管理員和客戶訪問的應(yīng)用程序。
我們最重要的數(shù)據(jù)是代表客戶存儲的數(shù)據(jù),以及我們在人力資源系統(tǒng)中的員工數(shù)據(jù)。”考慮到這一點,然后幫助你開始形成確定測試范圍的基礎(chǔ)。例如:
我們的人力資源系統(tǒng)是一個云服務(wù),所以我們只是要求他們提供安全測試證明(因此無需自己測試)。
我們在Google Cloud中有哪些IP地址,注冊了哪些域(有一些工具可以幫助解決此問題)。
我們的工程師不下載生產(chǎn)數(shù)據(jù)庫,但可以訪問我們的云系統(tǒng),因此他們的筆記本電腦、云和電子郵件帳戶也是我們攻擊面的一部分。
執(zhí)行資產(chǎn)管理將幫助你跟蹤屬于你的組織的系統(tǒng),并確定需要測試哪些IP地址和域名。
初創(chuàng)公司應(yīng)該多久執(zhí)行一次安全測試?
這取決于測試的類型!顯然,自動化測試的好處是它們可以根據(jù)需要定期運行。而滲透測試的成本更高,需要頻繁運行。
至少每月進行一次例行漏洞掃描可以幫助加強你的IT基礎(chǔ)設(shè)施,這是國家網(wǎng)絡(luò)安全中心(NCSC)的建議。這種做法有助于公司密切關(guān)注無休止的新威脅清單;每年有超過10000個新的漏洞被報告。除了定期的漏洞掃描外,還建議在每次系統(tǒng)更改時運行掃描。
漏洞掃描程序類型
你可以從基于網(wǎng)絡(luò)、基于代理、Web應(yīng)用程序和基礎(chǔ)架構(gòu)等多種類型的漏洞掃描程序中進行選擇,選擇取決于你要保護哪些資產(chǎn)。
網(wǎng)絡(luò)掃描程序的一些經(jīng)典例子是Nessus和Qualys,這兩家公司都是市場領(lǐng)導者,并提供了強大的安全性和漏洞覆蓋率。如果你想要一個容易上手的工具,你可以考慮的一個現(xiàn)代替代方案是Intruder。
這種在線漏洞掃描器是專門為非安全專家開發(fā)的,同時提供高質(zhì)量的檢查,以及對新出現(xiàn)的威脅的自動掃描。
Intruder使用一種獨特的算法來確定使你的系統(tǒng)暴露在外的問題的優(yōu)先級,從而特別容易找出具有最高風險的問題。
漏洞評估的好處是什么?
漏洞評估旨在自動發(fā)現(xiàn)盡可能多的安全漏洞,以便在攻擊者找到它們之前緩解這些漏洞。它還有助于使?jié)B透測試(相比之下,滲透測試是一個手動過程)更加有效。事實上,正如NCSC所解釋的,“通過定期進行漏洞掃描來處理‘容易實現(xiàn)的目標’,滲透測試可以更有效地專注于更適合人類的復雜安全問題。”
何時運行滲透測試?
滲透測試人員模仿現(xiàn)實生活中的網(wǎng)絡(luò)攻擊者,但與攻擊者不同,他們遵循預定義的范圍并且不會濫用組織的資產(chǎn)和數(shù)據(jù)。與漏洞掃描相比,他們更有可能發(fā)現(xiàn)復雜或高影響力的業(yè)務(wù)層弱點,例如操縱產(chǎn)品定價、使用客戶帳戶訪問另一位客戶的數(shù)據(jù),或從一個初始漏洞轉(zhuǎn)向整個系統(tǒng)控制。缺點是,相比之下,它很貴,那么何時運行滲透測試?
考慮上述風險評估的關(guān)鍵時間表,例如,在你的產(chǎn)品開發(fā)之后,但在你開始接受真正的客戶數(shù)據(jù)之前?;蛘咴谀阏莆樟艘恍┎幻舾械目蛻魯?shù)據(jù)之后,但在你開始掌握工資或健康相關(guān)信息之前。
一旦你啟動并運行,滲透測試應(yīng)該在重大更改之后執(zhí)行,例如改變你的身份驗證系統(tǒng),發(fā)布一個主要的新特性;或者在6-12個月的小改變之后。因為從理論上講,每一個改變都可能意外地引入一個漏洞。
同樣,這取決于你的風險水平。如果你每三個月轉(zhuǎn)移一次資金也是可取的,但如果你處于風險范圍的低端,則每12個月一次是普遍接受的時間表。
滲透測試應(yīng)在實施重大系統(tǒng)更改之前或每隔6-12個月進行一次。
存在幾種類型的滲透測試,滲透測試可以尋找技術(shù)中的安全漏洞,例如在你的外部和內(nèi)部網(wǎng)絡(luò)以及Web應(yīng)用程序中。但是,它也可以發(fā)現(xiàn)組織人力資源中的漏洞,例如在社會工程的情況下。
你選擇的滲透測試公司取決于你要測試的資產(chǎn)類型,但也應(yīng)考慮其他因素,例如認證、價格和經(jīng)驗。
總結(jié)
安全測試是一個關(guān)鍵的網(wǎng)絡(luò)安全過程,旨在檢測系統(tǒng)、軟件、網(wǎng)絡(luò)和應(yīng)用程序中的漏洞。它最常見的形式是漏洞評估和滲透測試,但其目標總是在惡意攻擊者利用它們之前解決安全漏洞。
請記住,攻擊者還執(zhí)行例行安全測試,以查找它們可以濫用的任何漏洞。一個安全漏洞就足以讓他們發(fā)動大規(guī)模的網(wǎng)絡(luò)攻擊。雖然這可能令人恐懼,但你的公司可以通過定期執(zhí)行網(wǎng)絡(luò)安全測試來獲得更好的保護。
實施此策略可能具有挑戰(zhàn)性,因為沒有一刀切的安全測試解決方案。如今,許多工具提供免費試用,這為小企業(yè)提供了一個很好的機會,可以在投入更大的投資之前找到正確的解決方案。