去年将成为安全漏洞的一年。
有关攻击和违规行为的报道在世界各地成为头条新闻,因为许多公司直接了解到高调的违规行为可能对品牌造成的损害。在吸取的几次教训中,最大的可能是安全需要成为任何在线业务的首要考虑因素 -- 无论规模大小。
实际上,小公司损失最大,因为它们通常缺乏专门的安全人员和专业知识,而这些业务位于《财富》500强的前半部分。虽然小公司的违规行为可能不会成为头条新闻 -- 如果它们被发现的话 -- 但大量的小型电子商务网站无法运行,让黑客们无法忽视。
最近的一项研究发现,互联网上的机器人 (抓取和扫描网站的自动应用程序) 的数量不仅超过了人类访问者,而且较小的网站实际上收到的自动机器人访问者的比例也高得不成比例-最多占网站流量的80% 少于1,每天有000名访问者。恶意机器人探测网站的漏洞,有效地自动化了网络黑客。
自动化的兴起扩大了攻击范围,使小型企业与Home Depot或Target一样脆弱。如今,所有在线业务都面临风险。你不必成为财富500公司来保护你的企业和客户免受渎职。以下是任何企业主可以采取的简单措施,以阻止攻击和防止入侵。
1.注意差距
漏洞就是这样: 可利用的弱点,使攻击者能够渗透到系统中。幸运的是,其中许多漏洞都是众所周知的,并且很容易修补。具体来说,所有电子商务企业主都应该意识到两个漏洞: SQL和跨站点脚本 (XXS)。
根据其电子商务应用程序的构建方式,许多站点容易受到SQL注入攻击。犯罪分子通过SQL查询探测web应用程序,试图从电子商务数据库中提取信息。
当应用程序从用户获取不受信任的数据并将其发送到web浏览器而没有正确验证或 “处理” 该数据以确保其不是恶意数据时,可能会发生跨站点脚本攻击。XSS可用于接管用户帐户,更改网站内容或在他们不知情的情况下将访问者重定向到恶意网站。
由于针对这些漏洞的攻击是针对web应用程序的,因此web应用程序防火墙 (WAF) 非常有效地防止了这些漏洞。
2.拒绝服务
一些犯罪分子正在采取暴力手段,并向网站泛滥,使其离线-称为分布式拒绝服务 (DDoS) 攻击。对于电子商务网站来说,DDoS攻击会直接影响收入。单个DDoS的成本可能超过400,000美元,一些来源报告的成本高达每小时40,000美元。攻击范围从数小时到数天,任何企业都无法承受DDoS攻击的风险。
通常,这些攻击伴随着赎金票据,要求提供资金以阻止DDoS攻击; 其他时候,攻击只是烟幕,使黑客有时间探查该站点的漏洞。
在任何一种情况下,电子商务网站都不应成为勒索者的猎物,而应争取DDoS保护,以在攻击影响其底线之前检测并减轻攻击。托管提供商通常可以提供DDoS保护,因此小型企业可以向其网站托管人员询问选项。
3.双因素身份验证
被盗或泄露的用户凭据是违规的常见原因。eBay报告说,网络攻击者破坏了少数员工的登录凭据,从而允许未经授权访问eBay的公司网络。犯罪分子使用社会工程,网络钓鱼,恶意软件和其他手段来猜测或捕获用户名和密码。在其他情况下,攻击者以他们在社交网络上发现的管理员为目标,使用矛钓鱼攻击来获取敏感数据。
停止这个问题就像实现双因素身份验证一样简单。第二个因素通常是通过应用程序生成的代码或通过用户拥有的电话上的文本接收的代码。双因素身份验证已经存在了一段时间,但是就像更好的智能手机相机打开了一个全新的照片编辑和共享应用程序市场一样,违规行为的升级也增加了双因素身份验证的选择数量。
如今,有许多出色的双因素身份验证解决方案,它们既易于使用,又非常有效地将黑客拒之门外。许多都是免费的,包括Google Authenticator,并且被打包为智能手机上的便捷应用程序。随着泄露风险的增加,任何处理客户数据的应用程序都要受到双因素身份验证的保护,这一点比以往任何时候都更加重要。
4.扫描您的网站
Web扫描程序是检测上述SQL注入漏洞和XSS以及许多其他漏洞的重要工具。来自这些扫描仪的信息可用于评估电子商务网站的安全状况,为工程师提供有关如何在代码级别修复漏洞或调整WAF以防止特定漏洞的见解。
但是,为了有效,企业需要定期使用它们。订阅定期扫描的服务很重要 -- 不是每三年一次。
5.保持您的 “朋友” 亲密
根据ponemon研究所的研究,第三方提供商-托管者,支付处理器,呼叫中心,碎纸机-对违约的可能性和范围有重大影响。如果没有严格、行之有效的安全措施,你就不会把钱托付给银行。在没有安全措施的情况下,您也不应该信任软件供应商。
在寻找新的提供商时,请确保他们符合安全最佳实践,如支付卡行业的数据安全标准 (pci-dss) 和云安全认证ssae16。不要害怕询问云软件供应商他们如何管理安全性以及拥有哪些认证。如果他们没有,你应该三思而后行。
不要忽视这一点。不管产品有多好,如果软件给你的企业带来了风险,那就不值得了。
如今,对于大型和小型企业而言,数据泄露的风险比以往任何时候都大。但是安全性不必很复杂。通过使用正确的工具,与正确的供应商合作并实施保障措施,在线业务可以降低风险并远离头条新闻。