技术导向的创业公司必须关注IT安全的三大原因

随着越来越多的企业加入这样一个热潮，即推出下一个旗舰级应用，网络和移动应用现在已经随处可见了。据AppBrain称，迄今为止Android市场上有近280万个应用程序。按照兴趣或功能检索时，可能会出现十几个网络和移动应用程序。现存应用程序的数量和开发新应用的速度导致相当大比例的应用程序存在缺陷，几乎四分之一的用户在首次使用后就放弃使用它们。

更糟糕的是，这些糟糕的应用程序可能会暴露用户的隐私。Codified Security的一项研究发现，40％的已发布应用程序会遗留易受黑客攻击的漏洞。这些漏洞可能会暴露用户数据或允许恶意攻击者访问测试和开发中使用的计算机和服务器。

相关：在保护您的隐私时谷歌，苹果和其他公司是如何做的？

IT行业的竞争性质需要企业快速发布软件。然而，不严谨的编码和粗心的测试可能会使企业及其用户面临网络攻击的风险，并可能带来灾难性的后果。随着新技术趋势的变化，这个问题变得更为严峻，如金融技术和物联网（IOT）设备的广泛使用为应用程序和网络服务带来新的浪潮。

安全性必须成为所有技术导向的创业公司活动的核心。

1.威胁十分猖獗。

2016年里不乏许多高调的网络攻击，受害的包括大型科技公司，互联网基础设施提供商，银行和政府机构。但是，这些有名的大公司，还有许多其他小型组织也遭受了攻击。今天持续存在的主要威胁包括勒索软件，分布式拒绝服务攻击（DDoS）和数据泄露。

勒索软件一直被卡巴斯基等安全公司认定为对组织的最大威胁。勒索软件一种是能够加密计算机或网络文件的恶意软件。然后攻击者要求受害者支付赎金，以换取他们被加密的文件。

DDoS攻击试图通过使用流量压倒受害者的服务器来拒绝访问网站或服务。有史以来最大的DDoS攻击发生在去年DNS提供商Dyn被攻击时。这次攻击还影响了Dyn网络下的热门网站和应用，如Netflix，Spotify和纽约时报。

在这些攻击中，数据泄露对底层用户构成了真正的威胁。被盗的机密信息通常被存放在地下网络中的犯罪实体周围。包含个人，财务或专有信息的数据在黑市上销售时可以获得利润。存储客户信息的站点和应用程序是此类攻击的主要目标。

相关：我们在此网络安全测验中取得了不错的成绩。你呢？

2.受到攻击的代价很高。

任何形式的宕机或中断造成的损失对任何企业来说都是巨大的。网络安全解决方案Incapsula估计，电子商务网站因DDoS攻击而宕机造成的损失平均为每小时40,000美元。其他攻击者也会通过DDoS攻击以获取赎金，因为他们知道公司可能愿意付钱以避免发生宕机。

IBM和Ponemon Institute的一项研究表明，每个被盗的记录都会使公司损失158美元。公司的估值也会严重受到数据泄露的影响。自从过去的大规模数据泄露事件被披露以来，雅虎的股价价已经在下跌了。在公布数据泄露事件后，Verizon市值被迫降低了3.5亿美元。

至于勒索软件，虽然攻击者平均只要求722美元的赎金，但对于没有备份系统的组织而言，关键文件被锁定可能带来灾难性的后果。即使支付了赎金，也无法保证访问权限恢复正常。

除了直接的财务影响之外，企业还会面临遭受网络攻击的客户信任和声誉损失的风险。对于一家创业公司来说，这种后果可能会使其在整个风险投资开始之前陷入困境。

相关：2017年最严重的黑客攻击 - 迄今为止

3.科技创业公司应该有更高的标准。

由于各种原因，企业会被暴露在外。非科技创业公司尤其脆弱。通常，如果没有专门的人员来监督IT资源的使用是否合理，计算机和网络通常会处于不安全状态。缺乏对基本IT安全实践的培训也使员工容易受到网络钓鱼等社会工程攻击，这反过来又为更严重的攻击铺平了道路。

科技公司应该更清楚的了解。如果他们打算将自己推销为具有优质产品的专家，他们应该将安全问题作为其工作的重要组成部分。科技创业公司的很大一部分工作涉及产品开发，因此确保他们的软件安全至关重要。

去年发起大量DDoS攻击的恶意软件Mirai利用不安全的物联网设备并通过它们进行攻击。其中许多设备（包括IP摄像机和网络设备）设计存在缺陷，缺乏可能阻止Mirai感染的安全功能。忽略产品设计中安全性并在产品开发时走捷径都会导致严重后果。

Codified Security还透露，应用程序漏洞通常是由于不严谨的编码造成的。开发人员可能会已经发布的代码中遗留一些信息，例如服务器凭据。由于某些应用程序在上线时使用相同的服务器实例，因此攻击这些服务器最终可能会损害所有服务器数据，到那时，这些服务器数据可能已包含了客户信息。

相关：4种简单的方法来保护您的公司免受网络攻击

将安全放在首位

那么科技创业公司如何降低这些风险呢？

对于开发人员来说，安全性应该是软件设计中的基本考虑因素。应该对代码进行警惕地审查，以便找到可能被利用的漏洞。对所有软件进行集中式的QA至关重要。测试也不应该跳过，以加快上线或发布日期。

组织应执行安全审核以识别其操作中的漏洞。对员工进行实践培训可确保他们以安全的方式使用IT资源，并保证公司或客户数据不会受到损害。科技企业还应实施安全措施，以保护其他业务活动，尤其是那些涉及客户数据（如销售和营销）的活动。

客户信息应严格保密。初创公司应该向他们的客户负责，以保护委托公司开展业务的人员的隐私和安全。