Quali sono le precauzioni di sicurezza minime da mettere in atto per una startup?

Question

Sto lavorando con una start-up, principalmente facendo l'amministrazione del sistema e ho riscontrato alcuni problemi di sicurezza di cui non mi sento molto a mio agio. Voglio giudicare se le mie aspettative sono precise, quindi sto cercando alcune intuizioni su ciò che gli altri hanno fatto in questa situazione e su quali rischi / problemi sono emersi. In particolare, quanto sono cruciali le misure come posizionare gli strumenti di amministrazione dietro una VPN, regolari aggiornamenti di sicurezza (SO e strumenti), ecc.

Tieni presente che, poiché si tratta di una start-up, l'obiettivo principale è quello di ottenere rapidamente il maggior numero possibile di funzionalità, quindi avrò bisogno di più giustificazioni possibili per ottenere le risorse per la sicurezza ( ovvero tempi di inattività per gli aggiornamenti, tempo di sviluppo per le correzioni di sicurezza delle applicazioni).

Informazioni sullo sfondo:

• L'applicazione è LAMP e un client-server java personalizzato.
• Nei prossimi 3 mesi, progetto circa 10k visitatori anonimi sul sito e fino a 1000 utenti autenticati.
• Pubblico più giovane (16-25) a cui è garantito un numero di cappelli neri superiore alla media.

Grazie in anticipo per le tue risposte e accolgo con favore qualsiasi consiglio correlato.

Answer 1

Se la sicurezza non è pensata e integrata nell'applicazione e nella sua infrastruttura dal primo giorno, sarà molto più difficile aggiornarla in un secondo momento. Ora è il momento di costruire i processi per il normale sistema operativo / patching degli strumenti, aggiornamenti, ecc.

• Che tipo di dati verranno creati / archiviati dagli utenti sul sito?
• Che effetto avrà una violazione sui tuoi utenti?
• Che effetto avrà una violazione sulla tua azienda?
• Sarai in grado di riguadagnare la fiducia degli utenti dopo una violazione?

Poiché la tua azienda dipende dal mantenimento degli utenti esistenti e dall'attrazione di nuovi utenti, dovresti presentare le tue preoccupazioni in linea con le modalità con cui gli utenti reagirebbero a una violazione. I superiori capiranno che gli utenti sono il tuo pane e burro.

Answer 2

Inoltre, non dimenticare che è necessario che il tuo server sia protetto dagli attuali dipendenti (ovvero, che saranno presto passati). Diverse startup sono state completamente cancellate a causa del sabotaggio dei dipendenti, ad es. http: //www.geek .com / articoli / notizie / scontenti-impiegato-kills-journalspace-con-dati-wipe-2009015 /

Answer 3

La reputazione è tutto qui, specialmente per una startup. Come startup, non hai una lunga storia di affidabilità / sicurezza / ... - quindi tutto dipende dagli utenti per darti il ??"vantaggio del dubbio" quando iniziano a utilizzare la tua app.

Se il tuo server viene violato e i tuoi utenti lo notano, la tua reputazione è sparita. Una volta sparito, non importa se la tua app e le tue funzionalità sono o meno la "prossima novità". Non importa se la violazione della sicurezza è stata minore o meno: le persone non si fideranno più della tua app / azienda.

Quindi, considererei la sicurezza la massima priorità.

Answer 4

Sono d'accordo con Stefan sulla reputazione. Non vuoi essere hackerato perché ti mancava la sicurezza. Ciò non solo danneggerà il tuo sito e la tua azienda, ma ti farà star male visto che te ne occuperai

La mia opinione personale è fare il più possibile perché non importa quanto fai ci saranno vulnerabilità.

Purtroppo la sicurezza come test e documentazione sono spesso ripensamenti. Dovresti davvero assicurarti di fare valutazioni del rischio all'inizio della vita del tuo sito / software e di continuare a fare valutazioni. Penso che sia importante patchare tutto il software per falle di sicurezza.

Answer 5

Questi saranno probabilmente ovvi:

• Limita i tentativi di password.
• Disinfetta gli input del database
• Misure per prevenire gli attacchi XSS

Vale anche la pena ricordare che, come hai detto, l'architettura di rete dovrebbe essere impostata in modo appropriato. Dovresti assolutamente avere un firewall decente che sia bloccato il più possibile. Alcune persone consigliano di collocare i sistemi tra due firewall di marche diverse in modo che, nel caso in cui uno di essi abbia una vulnerabilità critica, il secondo probabilmente non avrà la stessa vulnerabilità e sarai al sicuro. Tutto dipende da cosa puoi permetterti poiché è una startup.

Answer 6

Se stai cercando esplicitamente di attirare il tipo di utenti che sono propensi a provare a craccare i sistemi, allora puoi scommettere abbastanza bene che il tuo sistema verrà messo sotto attacco.

Dovresti suggerire al management che se non prenderanno sul serio la sicurezza, allora dovresti semplicemente andare avanti e pubblicare gli estratti conto bancari e i libri contabili della società (in chiaro) sul sito, con un link ben visibile da la home page. Almeno in questo modo, puoi dire loro, il risultato finale sarà più o meno lo stesso, ma hanno meno probabilità di danneggiare tutto il resto per ottenere quello che stanno cercando.

Penso che il problema della reputazione potrebbe avere un cast leggermente diverso anche con questo pubblico: potrebbero perdonarti per essere stato violato, ma probabilmente non ti perdonerà per essere un bersaglio facile.

Answer 7

Assicurati di sapere quale versione e livello di patch sono in esecuzione sui tuoi server, non solo il sistema operativo, ma tutti i componenti correlati e tutto ciò che sta effettivamente eseguendo la macchina. Quindi assicurati di non essere mai più di un giorno indietro. Non farlo porta a molto dolore, e non ne senti parlare più - la maggior parte dei miei precedenti datori di lavoro non ammetterebbero mai pubblicamente di essere hackerati poiché si riflette male su di loro, quindi puoi presumere che i sistemi vengano hackerati a destra ea destra con gravi conseguenze per le aziende, semplicemente non si sente parlare della maggior parte di questi eventi.

Answer 8

Qualche "sicurezza" di base misure qui che, sebbene siano più reattive che proattive, sono alcune cose da considerare.

1) Strategia di backup, ovviamente non solo per chi entra nel tuo sito, ma è bello ripristinare tutto, se possibile, anche nei giorni pre-hack, assicurati che sia affidabile e, soprattutto, sia stato testato in un live ripristinare trapano
2) Mitigazione, avere piani in atto almeno su un tovagliolo da qualche parte per come reagire se il server viene hackerato
3) Assicurazioni, trova compagnie assicurative che comprendono il mondo della cyber-impresa e i danni derivanti da queste cose, acquista polizze
4) Qualcuno ha già menzionato problemi di sabotaggio dei dipendenti, stai controllando i tuoi dipendenti in anticipo giusto? I controlli in background sono economici e consentono di scavare roba ...

Answer 9

Il mio miglior suggerimento è il monitoraggio.

Non esiste una sicurezza perfetta e si tratta di accettare i rischi e prevenirli quando necessario. Tuttavia, se non disponi di alcun monitoraggio, non avrai modo di sapere se qualcosa (un attacco) è riuscito e come è successo.

Quindi, mantieni aggiornato il tuo sistema e installa alcuni strumenti leggeri per monitorarlo correttamente. Se si dispone di applicazioni personalizzate, aggiungere l'accesso. Accedere a errori generati da errori (input errato), password non riuscite o errori generati dall'utente.

Per quanto riguarda gli strumenti leggeri da monitorare, ce ne sono alcuni gratuiti / open source:

• OSSEC (per cercare anomalie, modifiche e registri)
• modsecurity (monitoraggio basato sul web)
• Sucuri (monitoraggio whois / dns / blacklist)

Answer 10

Dai un'occhiata a Mod Security per le varie possibilità nell'installazione del software: Effettua una ricerca su Google per " mod_security come esempio "

Semplice esempio per iniziare: http : //www.ghacks.net/2009/07/15/install-mod_security-for-better-apache-security/