初创公司需要采取哪些最低限度的安全预防措施？

Question

我正在与一家初创公司合作，主要从事系统管理工作，我遇到了一些我不太满意的安全问题。我想判断我的期望是否准确，因此我正在寻找其他人在这种情况下所做的事情以及出现的风险/问题的一些见解。特别是，将管理工具置于 VPN 后面、定期安全更新（操作系统和工具）等措施有多重要。

请记住，由于这是一家初创公司，主要目标是快速推出尽可能多的功能，因此我需要尽可能多的理由来获取安全资源（即升级的停机时间、应用程序安全修复的开发时间）。

背景信息：

• 应用程序是 LAMP 以及自定义 java 客户端服务器。
• 在接下来的 3 个月内，我预计该网站将有大约 10,000 名匿名访问者以及多达 1000 名经过身份验证的用户。
• 年轻观众（16-25 岁）的黑帽子数量肯定高于平均水平。

预先感谢您的回复，我欢迎任何相关建议。

Answer 1

如果从第一天起就没有考虑安全性并将其内置到应用程序及其基础设施中，那么以后对其进行改造将变得更加困难。现在是时候构建常规操作系统/工具修补、升级等流程了。

• 用户将在网站上创建/存储什么类型的数据？
• 违规会对您的用户产生什么影响？
• 违规行为会对您的公司产生什么影响？
• 违规后您能否重新获得用户的信任？

由于您的公司依赖于保留现有用户并吸引新用户，因此您应该根据用户对违规行为的反应来表达您的担忧。高层会明白用户是你的面包和黄油。

Answer 2

另外，不要忘记您需要保护您的服务器免受当前（即即将离职）员工的影响。由于员工的破坏，一些初创公司被彻底消灭，例如 http://www.geek.com/articles/news/disgruntled-employee-kills-journalspace-with-data-wipe-2009015/

Answer 3

声誉就是一切，尤其是对于初创公司而言。作为一家初创公司，您在可靠性/安全性/...方面没有悠久的历史。- 因此，一切都取决于用户在开始使用您的应用程序时是否给予您“无罪推定”。

如果您的服务器遭到黑客攻击并且您的用户注意到这一点，您的声誉就会消失。一旦它消失，您的应用程序和功能是否是“下一个新事物”就不再重要了。无论安全漏洞是否轻微，人们都不会再信任您的应用程序/公司。

因此，我认为安全是重中之重。

Answer 4

我同意斯特凡关于声誉的观点。您不想因为缺乏安全性而遭到黑客攻击。这不仅会损害你的网站和公司，而且会让你看起来很糟糕，因为你负责这件事。

我个人的意见是尽你所能，因为无论你做多少，都会有漏洞。

不幸的是，像测试和文档这样的安全性往往是事后才想到的。您确实应该确保在站点/软件生命周期的早期进行风险评估，并继续进行评估。我认为修补所有软件的安全漏洞非常重要。

Answer 5

这些可能是显而易见的：

• 限制密码尝试。
• 清理您的数据库输入
• 防止XSS攻击的措施

还值得一提的是，正如您所说，网络架构应该设置得当。您绝对应该有一个像样的防火墙并尽可能地锁定。有些人建议将您的系统放置在不同品牌的双防火墙之间，这样，如果其中一个防火墙存在严重漏洞，第二个防火墙很可能不会存在相同的漏洞，您就会安全。这一切都取决于你能负担得起，因为它是一家初创公司。

Answer 6

如果您明确地试图吸引那些倾向于尝试破解系统的用户，那么您很可能会打赌您的系统 将要 受到攻击。

您应该向管理层建议，如果他们不认真对待安全问题，那么您应该直接在网站上发布公司的银行对账单和会计账簿（以明文形式），并在主页上提供显眼的链接。至少这样，你可以告诉他们，最终结果大致相同，但他们不太可能为了得到他们想要的东西而破坏其他一切。

我认为声誉问题对于这些观众来说也可能略有不同——他们可能会原谅你被黑客攻击，但他们可能会 惯于 原谅你成为一个容易被攻击的目标。

Answer 7

确保您知道服务器正在运行的版本和补丁级别，不仅仅是操作系统，还包括所有相关组件以及实际执行机器的所有内容。然后确保您的进度不会落后超过一天。不这样做会带来很大的痛苦，而且你不会听说其中的大部分 - 我过去的大多数雇主永远不会公开承认被黑客攻击，因为这对他们来说很糟糕，所以你可以假设系统正在左右被黑客入侵这些事件对公司造成严重后果，但你只是没有听说过其中大多数事件。

Answer 8

这里有一些基本的“安全”措施，虽然更多是被动的而不是主动的，但仍然是一些需要考虑的事情。

1) 备份策略，当然不仅仅是针对那些侵入您网站的人，但如果可能的话，最好将所有内容恢复到黑客攻击前的状态，确保它可靠，最重要的是在近乎实时的恢复演习中进行了测试
2) 缓解措施，至少在餐巾纸上的某个地方制定计划，说明服务器被黑客攻击时如何反应
3）保险，找到了解网络业务世界以及这些事情造成的损害的保险公司，购买保单
4）有人已经提到了员工破坏问题，你是在事先筛选你的员工吧？背景调查很便宜，而且可以挖掘东西......

Answer 9

我最好的建议是监控。

没有完美的安全性，关键在于接受风险并在必要时预防风险。但是，如果您没有适当的监控，您将无法知道某件事（攻击）是否成功以及它是如何发生的。

因此，请保持系统更新并安装一些轻量级工具来正确监控它。 如果您有自定义应用程序，请在其中添加日志记录。 登录错误生成的错误（输入错误）、密码失败或任何用户生成的错误。

至于轻量级的监控工具，有不少免费/开源的：

• OSSEC （寻找异常、变化和日志）
• 模组安全 （基于网络的监控）
• 苏库里 （whois/dns/黑名单监控）

Answer 10

查看 Mod Security 以了解软件设置中的各种可能性：在 Google 上搜索“mod_security howto example”

开始的简单示例： http://www.ghacks.net/2009/07/15/install-mod_security-for-better-apache-security/