保护您的企业免受黑客攻击的5个技巧

CodeingBoy

发布于 2018-08-08 10:41:53

1.3K0

发布于 2018-08-08 10:41:53

文章被收录于专栏：译文

去年可以被称为安全漏洞之年。

对攻击和信息泄漏的报导成为世界各地的头条新闻，许多公司从中“学到”了他们的第一堂课：一次广为人知的信息泄漏将对他们的品牌声誉造成严重损害。在所受到的教训中，最大的教训可能是，安全性需要成为任何在线业务的首要考虑因素 - 无论规模大小。

事实上，小公司的损失最大，与世界 500 强的头一半企业相比，他们通常缺乏专门的安全人员和经验。虽然对小公司的攻击行为可能不会成为头条新闻 - 就算是已经传得人尽皆知了 - 但运营中的大量小型电子商务网站非常诱人，黑客自然不会放过它们。

最近的一项研究发现，不仅互联网上的机器人数量（抓取和扫描网站的自动化应用程序）超过了人类访问者，而且实际上小型网站被自动机器人访问的比例更是不成比例地高 - 日访问量少于 1000 的网站会受到最高 80％的流量“光顾”。凭借恶意机器人探测网站的漏洞，有效地自动化了网络黑客的攻击。

自动化的兴起扩大了攻击者的攻击范围，使小型企业变得与 Home Depot 或 Target 一样脆弱。如今，所有在线业务都面临风险。为了保护你的公司和顾客免遭安全攻击，您无需成为一家世界 500 强企业。下面是任何企业主可以采取的简单措施，以便阻止攻击并防止资料泄漏。

相关文章：您的公司数据在云中是否安全？（信息图表）

1. 了解差距

漏洞就是：可以被用来令攻击者渗透系统的弱点。幸运的是，其中许多漏洞知名度很高，且易于修补。更具体而言，所有电子商务企业的所有者都应该注意两个弱点：SQL 注入攻击和跨站点脚本攻击（XXS）。

基于电子商务应用程序的构建方式，许多站点容易受到 SQL 注入攻击。犯罪分子使用 SQL 查询探测 Web 应用程序，以尝试从电子商务数据库中提取信息。

当应用程序从用户获得不受信任的数据，并且没有对数据进行正确地验证或处理以确保该数据不是恶意数据时，就直接将其发送到 Web 浏览器，就可能会发生跨站点脚本攻击。XSS 可用于盗取用户帐户，修改网站内容或在不知情的情况下将访问者重定向到恶意网站。

由于对这些漏洞的攻击是针对 Web 应用程序的，因此 Web 应用程序防火墙（WAF）可以非常有效地阻止它们。

2. 拒绝服务

一些犯罪分子采取的则是蛮力法，让网站承受大量的流量致使宕机，这称为分布式拒绝服务（DDoS）攻击。对于电子商务网站，DDoS 攻击对收入有着直接的影响。一次 DDoS 的损失可能超过 40 万美元，更有些消息来源指出成本高达每小时 40000 美元。攻击可能持续仅仅数小时，也可能几天，而任何企业都无法承受 DDoS 攻击的风险。

这些攻击经常伴随着勒索声明，需要缴纳资金来停止 DDoS 攻击；而其它攻击可能只是一个烟幕弹，让黑客有时间探测网站的漏洞。

在任何一种情况下，电子商务网站都应该购买 DDoS 保护，以便在攻击影响其基础业务之前检测并减轻攻击带来的影响，而不是成为敲诈勒索者的牺牲品。DDoS 保护通常可以从托管服务提供商处获得，因此小型企业可以向其网站托管商咨询相关事项。

3. 双因素身份验证

被盗或被破解的用户凭据是导致信息泄漏的常见原因。eBay 报道称，一位网络攻击者获得了少量员工的登录凭据，这会允许攻击者未经授权访问 eBay 的企业网络。犯罪分子使用社会工程学，网络钓鱼，恶意软件和其他手段来猜测或截获用户名和密码。或者，攻击者针对他们在社交网络上发现的管理员，使用鱼叉式网络钓鱼攻击来获取敏感数据。

相关：为什么您的密码会是黑客眼中的诱饵（信息图）

防范此问题就和实现双因素身份验证一样简单。双因素的第二个因素通常是通过应用程序生成的代码或在用户拥有的手机上的通过短信接收的代码。双因素身份验证已经存在了一段时间，但正如更好的智能手机相机开辟了一个全新的照片编辑和共享应用程序市场一样，攻击行为的增多也增加了双因素身份验证可选方案的数量。

今天，有许多优秀的双因素身份验证解决方案既易于使用又非常有效地防止黑客入侵。许多都是免费的，包括 Google 身份验证器，它们的都被设计为一个便捷的智能手机应用程序。随着泄露风险的增加，处理客户数据的任何应用程序都应该受到双因素身份验证的保护，这比以往任何时候都更加重要。