根据我们团队的经验,相对于而言,小公司的安全防护是个更值得关注也是更具挑战的难题。
难点:
预算有限,无论是安全产品还是安全人员都是缺乏,甚至是完全没有。
安全意识薄弱,这种问题是自上而下的。
资产混乱,特别是非互联网企业,开发和运维都是外包的,根本没人管理,安全问题更是存在非常大的滞后性,都是出现了问题才病急乱投医。
系统长时间没有维护,很多采用开源的CMS,都是非常先前的版本
需要兼顾上面的现实情况,根据我们的经验来说,可行的安全措施如下:
资产梳理
梳理公司的所有资产,包括IP、域名、端口、服务等,哪些服务需要对公网开放、不同的资产之间是否有通信的必要性、被迭代的资产是否全部下线等等
2. 数据备份:
定期备份所有业务数据,以防数据丢失或损坏。同时,这也使得在遭受攻击时可以恢复数据。
3. 最小权限原则:
在不影响工作的前提下,为每个应用或系统提供所需的最小权限,避免潜在的安全风险。
4. 安全意识培养:
随着这几年的反诈宣传的普及,大家对陌生的链接、二维码都有了一定的警惕性,但在还是远远不够的,在项目中我们还是经常遇到弱口令这种非常基本的问题。
定期进行网络安全培训,确保员工了解如何避免常见的网络钓鱼、恶意软件等威胁。制定相关制度,要求员工使用强密码,并定期更换。
5. 安全防护
由于是小公司,当然是从低成本的角度出发,尽量选择免费、开源的安全防护产品。
PC终端:使用像火绒等反病毒软件,尽量更新特征库,同时也不建议使用过于臃肿的杀毒软件,非常影响日常的工作效率
Web服务:可以使用开源的WAF,这里个人比较推荐 长亭雷池
云服务:除了免费的端口访问策略外,可以参考云服务商相应的安全产品
防火墙、IDS、IPS等通常需要一定预算才能找到比较适配的产品
6. 主动发现安全问题
业务上线前的代码安全审计、定期安全排查及渗透测试,可以发现潜在的漏洞及安全威胁,可以在损失发生之前解决问题。如需要相关的安全服务,可通过主页的联系方式和我们联系。团队经验丰富,极具性价比。
7. 日志及流量记录
做好日志及流量记录,对于事后问题溯源非常重要。我们遇到非常多客户,在攻击后即无法准确描述问题,又无法提供任何相关的日志及流量,严重影响溯源和修复的效率。
欢迎各位师傅补充~
#网络安全##渗透测试##安全服务#
难点:
预算有限,无论是安全产品还是安全人员都是缺乏,甚至是完全没有。
安全意识薄弱,这种问题是自上而下的。
资产混乱,特别是非互联网企业,开发和运维都是外包的,根本没人管理,安全问题更是存在非常大的滞后性,都是出现了问题才病急乱投医。
系统长时间没有维护,很多采用开源的CMS,都是非常先前的版本
需要兼顾上面的现实情况,根据我们的经验来说,可行的安全措施如下:
资产梳理
梳理公司的所有资产,包括IP、域名、端口、服务等,哪些服务需要对公网开放、不同的资产之间是否有通信的必要性、被迭代的资产是否全部下线等等
2. 数据备份:
定期备份所有业务数据,以防数据丢失或损坏。同时,这也使得在遭受攻击时可以恢复数据。
3. 最小权限原则:
在不影响工作的前提下,为每个应用或系统提供所需的最小权限,避免潜在的安全风险。
4. 安全意识培养:
随着这几年的反诈宣传的普及,大家对陌生的链接、二维码都有了一定的警惕性,但在还是远远不够的,在项目中我们还是经常遇到弱口令这种非常基本的问题。
定期进行网络安全培训,确保员工了解如何避免常见的网络钓鱼、恶意软件等威胁。制定相关制度,要求员工使用强密码,并定期更换。
5. 安全防护
由于是小公司,当然是从低成本的角度出发,尽量选择免费、开源的安全防护产品。
PC终端:使用像火绒等反病毒软件,尽量更新特征库,同时也不建议使用过于臃肿的杀毒软件,非常影响日常的工作效率
Web服务:可以使用开源的WAF,这里个人比较推荐 长亭雷池
云服务:除了免费的端口访问策略外,可以参考云服务商相应的安全产品
防火墙、IDS、IPS等通常需要一定预算才能找到比较适配的产品
6. 主动发现安全问题
业务上线前的代码安全审计、定期安全排查及渗透测试,可以发现潜在的漏洞及安全威胁,可以在损失发生之前解决问题。如需要相关的安全服务,可通过主页的联系方式和我们联系。团队经验丰富,极具性价比。
7. 日志及流量记录
做好日志及流量记录,对于事后问题溯源非常重要。我们遇到非常多客户,在攻击后即无法准确描述问题,又无法提供任何相关的日志及流量,严重影响溯源和修复的效率。
欢迎各位师傅补充~
#网络安全##渗透测试##安全服务#
