建立一個安全的堡壘

想象一下，犯罪分子可以選擇從市中心小商店的金庫或銀行總部的金庫中偷錢。大多數(shù)罪犯都會選擇輕松的目標(biāo)。IT安全性完全相同。網(wǎng)站和Web應(yīng)用程序很容易成為目標(biāo)，通常包含值得竊取的東西。即使它們沒有任何有價值的東西，它們就像銀行客戶服務(wù)大廳 - 金庫的入口點(diǎn)。

許多包含有價值信息的系統(tǒng)都是內(nèi)部系統(tǒng)。它們位于多個防火墻后面，只能從公司內(nèi)部訪問。犯罪分子無法輕易找到他們。另一方面，Web應(yīng)用程序通常是公開的。許多公司沒有意識到他們需要額外的保護(hù)和護(hù)理。這使得它們成為一個非常有利可圖和容易實(shí)現(xiàn)的目標(biāo)，因此它們通常是犯罪分子試圖進(jìn)入的第一件事。

當(dāng)他們的網(wǎng)絡(luò)應(yīng)用程序成為犯罪分子的目標(biāo)時，企業(yè)面臨的主要風(fēng)險是什么?

與網(wǎng)絡(luò)存在妥協(xié)相關(guān)的風(fēng)險與任何其他網(wǎng)絡(luò)攻擊的風(fēng)險完全相同。例如，如果Web應(yīng)用程序處理財務(wù)信息，則犯罪分子可以使用它來竊取公司或其客戶。如果沒有，犯罪分子可以首先破壞Web應(yīng)用程序，然后進(jìn)入其他系統(tǒng)。

即使沒有任何東西被盜，有針對性的企業(yè)也有可能失去聲譽(yù)。如果攻擊成功并且公開，則該業(yè)務(wù)可能對其客戶不安全。例如，如果網(wǎng)站被污損，就會發(fā)生這種情況。

如果犯罪分子瞄準(zhǔn)公司的客戶，那就更糟了。來自受感染的Web應(yīng)用程序的個人數(shù)據(jù)可用于身份盜用。這種間接損失可能對業(yè)務(wù)產(chǎn)生破壞性影響。

一些企業(yè)選擇防火墻，SSL和強(qiáng)化網(wǎng)絡(luò)來防止黑客瞄準(zhǔn)他們的網(wǎng)絡(luò)應(yīng)用程序。這些工具的效果如何?

簡單地說，嘗試僅使用防火墻保護(hù)您的網(wǎng)站，SSL和強(qiáng)化網(wǎng)絡(luò)就像確保您的房門有五個鎖，但是打開窗戶。所有這些措施都非常有效，但針對完全不同類型的攻擊。您的企業(yè)當(dāng)然應(yīng)該使用它們，但不僅僅是它們。

防火墻是一種工具，使攻擊者無法連接到您的某些內(nèi)部服務(wù)。網(wǎng)站和Web應(yīng)用程序可公開獲取。您不能限制對它們的訪問，因此防火墻完全沒用。

強(qiáng)化網(wǎng)絡(luò)包括執(zhí)行非常特定功能的系統(tǒng)。它們更容易抵御某些攻擊。這可能使攻擊者更難以訪問其他系統(tǒng)，但不會影響Web應(yīng)用程序的安全性。

SSL / TLS使您的連接加密。它可以保護(hù)您免受竊聽和偽造，但它并不能保護(hù)您免受大多數(shù)Web漏洞的侵害。