2022-12-15 分類: 網(wǎng)站建設(shè)
網(wǎng)站建設(shè)公司必須保障網(wǎng)絡(luò)安全,下面的故事真實(shí)講述了網(wǎng)絡(luò)攻擊者如何差點(diǎn)毀掉一位小企業(yè)主的公司??纯次覀兡軓闹形∧男┙?jīng)驗(yàn)教訓(xùn)。
2013年,英國一位名為里·穆爾的小企業(yè)主,她創(chuàng)立的公司遭受了長達(dá)七個月的網(wǎng)絡(luò)攻擊,借助一位高級安全顧問的幫助,才得以恢復(fù)業(yè)務(wù)。
里·穆爾的故事
當(dāng)這位女企業(yè)家建立自己的公司時,遇到一位熱心解答她在互聯(lián)網(wǎng)方面的各種無腦問題的網(wǎng)頁開發(fā)人員,這位開發(fā)者是穆爾的一位朋友推薦的。
他給穆爾的第一個建議是永遠(yuǎn)不要關(guān)掉電腦或路由器,他的解釋是經(jīng)常關(guān)閉電腦可能會導(dǎo)致殺毒軟件沒辦法在第一時間更新,導(dǎo)致存在漏洞。另外,這位開發(fā)人員還堅(jiān)持讓穆爾通過他的個人網(wǎng)站用銀行卡發(fā)薪。出于信任和無知,穆爾接受了這些建議。
隱患之一:如果路由器始終連接到互聯(lián)網(wǎng)并保持不斷線,IP地址是不會更新的。從而很容易被攻擊者定位或冒充。
隱患之二:通過個人網(wǎng)站用銀行卡發(fā)薪?這已經(jīng)不能稱之為隱患了。
穆爾把運(yùn)營企業(yè)需要的一切準(zhǔn)備妥當(dāng),接入互聯(lián)網(wǎng),然后開始運(yùn)行業(yè)務(wù),但卻絲毫沒有意識到她的新生業(yè)務(wù)、品牌以及她本人在面臨網(wǎng)絡(luò)攻擊時是多么的脆弱。這是因?yàn)?,雖然媒體經(jīng)常會報(bào)道各種網(wǎng)絡(luò)攻擊事件,但具體過程和細(xì)節(jié)卻很難走進(jìn)公眾的意識。而且,那些為初創(chuàng)企業(yè)提供建議的機(jī)構(gòu)并不會對新興企業(yè)家們警告網(wǎng)絡(luò)入侵的風(fēng)險,也不會要求在商業(yè)計(jì)劃書中加入關(guān)于IT安全策略或信息風(fēng)險評估的內(nèi)容。
在之后兩年的期間里,那位網(wǎng)頁開發(fā)人員買下了穆爾公司的域名,并將穆爾的個人網(wǎng)站、公司網(wǎng)站以及Email賬戶運(yùn)行在他的服務(wù)器上。同時還建立了穆爾的社交網(wǎng)絡(luò)帳號,并為她設(shè)置了用戶名和不同的登錄密碼。這位開發(fā)人員非常的友好且樂于助人,并與穆爾從工作關(guān)系變成了個人朋友關(guān)系。
某日,穆爾收到了開發(fā)者的一封郵件,說她公司的網(wǎng)站已經(jīng)過時,容易遭受黑客攻擊,還會傳染其它網(wǎng)站。僅僅過了兩年就被告知需要建立一個新網(wǎng)站,穆爾感到不快,但出于信任她并不想再找一個網(wǎng)頁設(shè)計(jì)師,并且也害怕自己的網(wǎng)站感染別人,于是穆爾同意了開發(fā)者提供的“優(yōu)惠”價格,為新網(wǎng)站付出了1250英鎊。
但是,新網(wǎng)站上線還沒有一天,穆爾又收到了這個開發(fā)者增加五天工作量的消息,并因此要追加25%的費(fèi)用,而且也沒有說明這五天工作的具體內(nèi)容。穆爾表示拒絕,但對方此時露出了真正面目。
他威脅穆爾付錢,否則對后果不負(fù)責(zé)任。穆爾開始求助相關(guān)機(jī)構(gòu)進(jìn)行調(diào)解,但機(jī)構(gòu)的介入又遭到了此人進(jìn)一步的威脅。這時,穆爾發(fā)現(xiàn)她的社交媒體賬戶、個人和公司網(wǎng)站、Email郵箱均已無法訪問。這個網(wǎng)頁設(shè)計(jì)人員更改了她所有的密碼,網(wǎng)站都被替換成了單頁的警告信息,告訴訪問者穆爾欠錢不還,和她做生意有很大的風(fēng)險。
他使用了搜索引擎優(yōu)化技術(shù)讓穆爾的名字持續(xù)出現(xiàn)在所有互聯(lián)網(wǎng)搜索引擎的置頂位置,并在谷歌顯示穆爾的照片之間插入了他的個人Logo,點(diǎn)擊這個Logo的訪問者將會鏈接到他的個人網(wǎng)站,網(wǎng)站上重復(fù)了他對穆爾及其公司的誹謗。不僅如此,這個所謂的網(wǎng)頁設(shè)計(jì)師還使用穆爾的品牌注冊了域名和公司,并關(guān)聯(lián)到了穆爾的家庭地址。然后還用這個域名創(chuàng)建了又一個騷擾頁面,重復(fù)宣稱穆爾及其公司欠債不還。他在所有誹謗的網(wǎng)頁上均貼上穆爾新注冊公司的名字,并在長達(dá)半年的時間里每天更新這些頁面。
期間,穆爾還在自己的計(jì)算機(jī)上發(fā)現(xiàn)了木馬,電腦上的文件被加密,很多Email記錄消失,但沒有證據(jù)表明這個木馬就是那個網(wǎng)頁設(shè)計(jì)師植入的。穆爾求助警方,警方認(rèn)為這是民事案件,不屬于刑事領(lǐng)域。穆爾接觸律師,卻被告知獲取一條強(qiáng)制令的報(bào)價是1.5萬英鎊,而穆爾需要三條這樣的法令,加上其他費(fèi)用,用法律解決的成本可能會達(dá)到六位數(shù)。
除非發(fā)生在你身上,不然你不會知道那是什么感覺。
穆爾故事的啟示
小企業(yè)在運(yùn)營時可能面臨各種方面的問題,穆爾的經(jīng)歷可以大體上歸類為內(nèi)部攻擊。但不管怎樣,一個Web開發(fā)人員能夠如此容易地對企業(yè)和企業(yè)主造成如此大的破壞是令人感到非常驚訝的。
穆爾購買了一項(xiàng)服務(wù),但沒有要求與這項(xiàng)服務(wù)匹配的保障措施。一位身兼互聯(lián)網(wǎng)服務(wù)提供者和網(wǎng)站開發(fā)職責(zé)的人居然被信任到如此驚人的程度,而原因除了他可以提供網(wǎng)絡(luò)服務(wù)之外無并無其它。沒有相關(guān)的法規(guī)可以保護(hù)小企業(yè)免受網(wǎng)絡(luò)服務(wù)提供者的侵害,英國的法規(guī)對Web開發(fā)人員并沒有提供專門的準(zhǔn)則,除了BCS認(rèn)證(BCS,the Chartered Institute for IT)之外,英國也沒有相應(yīng)的專業(yè)機(jī)構(gòu),只有1987年頒布的英國消費(fèi)者保護(hù)法案似乎還起些作用。
對小企業(yè)而言,檢查自己的網(wǎng)頁服務(wù)提供者的個人背景是非常有用。穆爾女士被這位網(wǎng)頁開發(fā)者蒙蔽,因?yàn)樗诨ヂ?lián)網(wǎng)及網(wǎng)頁應(yīng)用相關(guān)的很多方面都比她要懂行。這種情況對于很多小企業(yè)而言可能都成立。人們可能對1998年的數(shù)據(jù)保護(hù)法案(Data Protection Act)和1990年的濫用計(jì)算機(jī)法案(Computer Misuse Act)有所認(rèn)識,但很少有公司會對這些提起注意。
在缺乏監(jiān)管的情況下,犯罪者可以隨意濫用自己的知識,他還可能自己計(jì)算過風(fēng)險,并認(rèn)為能夠毀滅證據(jù)。如果沒有證據(jù),就沒法立案。
這些年來,通過《濫用計(jì)算機(jī)法案》進(jìn)行定罪的案例非常之少。這個法案是在手機(jī)還沒數(shù)字化的年代頒布的,并僅在2006年修改過一次,以將手機(jī)明確地定義為計(jì)算設(shè)備。盡管最近對所謂網(wǎng)絡(luò)流氓國家的炒作非常多,但根據(jù)一項(xiàng)近期英國企業(yè)遭受互聯(lián)網(wǎng)攻擊來源的調(diào)查,超過七成的攻擊都源自英國本土。
對中小企業(yè)的網(wǎng)絡(luò)安全建議
警方處理網(wǎng)絡(luò)犯罪事件的方式遵循四P原則:預(yù)防、保護(hù)、準(zhǔn)備、追蹤(Prevent Protect Prepare Pursue),這四條原則也揭示了讓企業(yè)了解潛在的網(wǎng)絡(luò)風(fēng)險的重要性。
但警方并沒有足夠的資源對每一家中小企業(yè)中發(fā)生的安全事件收集證據(jù)并定罪,因此企業(yè)只有兩種選擇,其一,親自收集證據(jù);其二,雇人來代表他們這么做。
在遭受入侵后,對企業(yè)而言最重要的事情就是盡快恢復(fù)運(yùn)轉(zhuǎn),但企業(yè)同時也需要具備足夠的技術(shù)和法律知識,了解在重新部署服務(wù)之前需要保存哪些證據(jù)。
在上線一項(xiàng)新的服務(wù)之前進(jìn)行調(diào)查是企業(yè)的責(zé)任。如今初創(chuàng)企業(yè)在開發(fā)在線服務(wù)的過程中獲得的建議里并不包括注意信息安全和檢查資質(zhì),因此在選擇網(wǎng)頁設(shè)計(jì)師和網(wǎng)絡(luò)服務(wù)提供商時應(yīng)盡量小心。如果初創(chuàng)企業(yè)沒有被事先警告,也就不會注意這些問題,特別是在他們讓企業(yè)順利運(yùn)轉(zhuǎn)方面還需要投入大量精力的時候。
關(guān)于數(shù)據(jù)泄露和網(wǎng)絡(luò)犯罪的議題應(yīng)該成為法律和計(jì)算機(jī)專家的興趣點(diǎn),安全不應(yīng)當(dāng)只是作為向小企業(yè)提供的一項(xiàng)服務(wù),其本身也是創(chuàng)業(yè)的一個很棒的切入點(diǎn)。
如果數(shù)據(jù)泄露的確發(fā)生了的話,精通IT知識的律師或受過法律訓(xùn)練的網(wǎng)絡(luò)專家可以確保用于訴訟的證據(jù)通過合適的方式進(jìn)行獲取和存儲。IT安全專家們向小企業(yè)提供建議的業(yè)務(wù)已經(jīng)有所增長,但這一過程需要加速,與此同時一定會有更多不愉快的事情發(fā)生,還會有一些網(wǎng)絡(luò)犯罪無法得到懲罰。
建立網(wǎng)上業(yè)務(wù)時需要注意的要點(diǎn)
穆爾的案例提醒人們,在將自己的用戶名/密碼交給其他任何人時都需要多加考慮。那位網(wǎng)站開發(fā)者擁有李女士的用戶名和密碼,可以向互聯(lián)網(wǎng)上的Web服務(wù)器上傳數(shù)據(jù)。允許那位Web開發(fā)人員同時掌握用戶名和密碼是出于信任,而在建立信任的過程中并沒有經(jīng)過建立良好商業(yè)關(guān)系本應(yīng)經(jīng)過的步驟。這種信任一旦受到破壞,很難被察覺和制裁。
Web開發(fā)人員經(jīng)常制作商業(yè)網(wǎng)站,并在線上進(jìn)行管理——然而到目前為止這一切都并不受外部監(jiān)管。這目前是一個靠行業(yè)自律運(yùn)轉(zhuǎn)的行業(yè),也沒有什么標(biāo)準(zhǔn)能夠判斷一位開發(fā)人員是否安全,甚至也都沒辦法判斷一位程序員是否優(yōu)秀。技術(shù)上實(shí)現(xiàn)得很糟糕的網(wǎng)站對公司的聲譽(yù)會產(chǎn)生糟糕的影響,還可能為跨站腳本攻擊、SQL注入以及其它常見的漏洞大開后門。
在小企業(yè)中,網(wǎng)頁設(shè)計(jì)師通常會對選擇路由器和配置路由器提出建議,這樣會為開發(fā)者帶來更大的控制權(quán)限。業(yè)需要注意這些事情,它們應(yīng)當(dāng)交給有資質(zhì)的專業(yè)人士處理。具備某種認(rèn)證或類似的資質(zhì)應(yīng)當(dāng)是招收網(wǎng)頁開發(fā)人員的最低標(biāo)準(zhǔn),這個行業(yè)的認(rèn)證有可能是IT領(lǐng)域未來的發(fā)展方向。
根據(jù)英國政府在2011年進(jìn)行的一個調(diào)查,英國每年由于網(wǎng)絡(luò)相關(guān)犯罪導(dǎo)致的企業(yè)和個人損失估計(jì)為270億英鎊。2014年的情況還不得而知,但考慮到電子商務(wù)和黑客活動都變得愈加頻繁,這個數(shù)字很可能會讓人大吃一驚。
英國政府曾表示,要“將英國變成世界上對企業(yè)最安全的場所之一”,現(xiàn)狀來看,依然是遙遙無期。
網(wǎng)站題目:網(wǎng)站建設(shè)公司必須保障網(wǎng)絡(luò)安全
網(wǎng)站地址:http://www.rwnh.cn/news/222935.html
成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián),為您提供網(wǎng)站策劃、標(biāo)簽優(yōu)化、全網(wǎng)營銷推廣、網(wǎng)站排名、ChatGPT、網(wǎng)站收錄
聲明:本網(wǎng)站發(fā)布的內(nèi)容(圖片、視頻和文字)以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主,如果涉及侵權(quán)請盡快告知,我們將會在第一時間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場,如需處理請聯(lián)系客服。電話:028-86922220;郵箱:631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載,或轉(zhuǎn)載時需注明來源: 創(chuàng)新互聯(lián)
猜你還喜歡下面的內(nèi)容