初創公司的創始人常常會誤以為黑客不會在他們創業的公司身上浪費時間,因為他們還不夠大,不夠有名,沒有什么價值。
你的規模小、知名度小并不意味著你不會成為攻擊者的目標。初創公司的規模并不能使其免于網絡攻擊。因為黑客們會不斷掃描互聯網,尋找他們可以利用的一切漏洞。
幸運的是,用戶也越來越意識到網絡安全的重要性,并經常詢問初創公司他們用來保護數據的流程。
所以,如果你是一名CTO,正在考慮提高網頁或手機應用的網絡安全狀況,那么你已經走上了正確的道路,但網絡安全有很多選擇,你應該從哪里開始呢?
為了幫助你開始,我們創建了這個指南,其中涵蓋以下關鍵點:
理解“什么是安全測試?”;
理解執行安全測試的原因;
界定網絡安全測試的范圍;
知道何時執行滲透測試;
什么是安全測試?
安全測試是一個廣義的術語,它指的是檢查系統、網絡或軟件是否存在黑客和其他威脅者可以利用的漏洞的過程。它可以以多種形式出現,所以在本文中,我們將探討它的兩個主要組成部分:
漏洞評估:使用工具掃描系統或應用程序以找出安全問題的自動安全測試。這些工具被稱為“漏洞掃描器”,它們執行自動測試來發現應用程序或基礎設施中的漏洞。漏洞的類型可能是應用程序級的漏洞、云配置問題,或者僅僅是缺少安全補丁的軟件(網絡安全漏洞最常見的原因之一)。
滲透測試:主要是由網絡安全專家進行的手動評估(盡管通常由漏洞掃描工具支持),并確定攻擊者利用漏洞的程度。
滲透測試是在某個時間點找到盡可能多的漏洞的好方法,但是你應該考慮在滲透測試人員回家后你盡快收到新漏洞的警報。
漏洞掃描器還使組織能夠在進行更深入、通常更昂貴的手動測試之前了解更多關于其安全狀態的信息。這在許多情況下是顯而易見的,因為滲透測試人員通常會通過運行相同的自動化工具來開始他們的測試。
為什么要執行安全性測試?
Veracode的軟件安全狀況報告顯示,83%的研究樣本(包括全球2300家公司使用的85000個軟件應用程序)在最初的安全測試中至少發現了一個安全漏洞。如果沒有測試,這些漏洞就會被發布到產品中,使軟件容易受到網絡攻擊。
如果出于這個原因,你決定開始進行安全性測試,只是為了在黑客之前找到自己的漏洞,那很好。你可以靈活地決定自己的需求,直接跳到下一節。否則,執行安全測試的其他常見原因是:
1.?第三方或客戶請求。如果合作伙伴或客戶特別要求你執行安全測試,以確保他們的客戶數據免受網絡攻擊,你可能有更嚴格的要求。然而,仍然有解釋的空間。客戶通常會要求進行“滲透測試”,但他們很少具體說明這意味著什么。
2.合規認證和行業法規。許多行業法規或合規性認證還要求組織定期進行安全測試。常見示例包括 ISO 27001、PCI DSS 和 SOC2。這些標準詳細說明了所需的測試,但即使是最具體的也沒有具體說明測試的方式或內容,因為這取決于具體的工作。出于這個原因,人們通常認為,接受測試的公司最適合確定哪種級別的安全測試在他們的場景中有意義。因此,你可能會發現以下指南在確定測試內容和方式方面仍然很有用。
風險評估
每個公司都是獨一無二的,因此,你的風險對你來說也是獨一無二的。然而,很難知道什么是正確的測試級別。你可以使用以下內容作為我們在該行業所看到的粗略指南:
1. 如果你不存儲特別敏感的數據
例如,你可能會提供網站正常運行時間監控工具并且不存儲特別敏感的數據。在你成長到足以成為特定目標之前,你可能只需要擔心那些尋找輕松選擇的人會不加區分地進行黑客攻擊。如果是這樣,你更有可能只需要自動漏洞掃描。
專注于任何暴露在互聯網上(或可能暴露在外)的系統,如任何遠程訪問(VPN、遠程管理員登錄)、防火墻、網站或應用程序、API,以及可能偶然發現自己在線的系統(云平臺中的任何東西都很容易被意外地放到互聯網上)。
2. 如果你存儲客戶數據
也許你是一個營銷數據分析平臺,所以你可能面臨較少來自內部人士和犯罪團伙的威脅,但你肯定需要擔心客戶訪問彼此的數據或一般的數據泄露,例如,你有一個應用程序,但任何人都可以在線注冊一個帳戶,你將要考慮從普通用戶的角度進行“經過身份驗證”的滲透測試,你還需要確保員工的筆記本電腦都安裝了最新的安全更新補丁。
3.如果你提供金融服務
如果你是一家四處轉移資金的金融科技初創公司,你將需要擔心惡意客戶甚至惡意員工,以及針對你的網絡犯罪團伙。
如果是這樣,你將需要考慮對所有這些場景進行持續的漏洞評估和定期的全手動滲透測試。
4.如果你沒有任何暴露在互聯網上的東西
也許你根本沒有任何東西暴露在互聯網上,或者沒有開發面向客戶的應用程序,因此你的主要攻擊面是員工筆記本電腦和云服務。在這種情況下,對你自己的筆記本電腦進行自動漏洞掃描是最有意義的
每個企業都是獨一無二的,沒有任何一種網絡安全策略可以適用于所有初創公司。這就是為什么你需要從了解你自己的風險在哪里開始。
你需要保護什么?
理想情況下,在計劃安全測試本身之前,你應該考慮你擁有哪些資產,包括技術資產和信息資產,這個過程稱為“資產管理”。
一個非常簡單的例子可能是:“我們有 70 臺員工筆記本電腦,主要使用云服務,并將我們的客戶數據存儲和備份在 Google Cloud Platform 中,以及一個允許管理員和客戶訪問的應用程序。
我們最重要的數據是代表客戶存儲的數據,以及我們在人力資源系統中的員工數據。”考慮到這一點,然后幫助你開始形成確定測試范圍的基礎。例如:
我們的人力資源系統是一個云服務,所以我們只是要求他們提供安全測試證明(因此無需自己測試)。
我們在 Google Cloud 中有哪些 IP 地址,注冊了哪些域(有一些工具可以幫助解決此問題)。
我們的工程師不下載生產數據庫,但可以訪問我們的云系統,因此他們的筆記本電腦、云和電子郵件帳戶也是我們攻擊面的一部分。
執行資產管理將幫助你跟蹤屬于你的組織的系統,并確定需要測試哪些IP地址和域名。
初創公司應該多久執行一次安全測試?
這取決于測試的類型!顯然,自動化測試的好處是它們可以根據需要定期運行。而滲透測試的成本更高,需要頻繁運行。
至少每月進行一次例行漏洞掃描可以幫助加強你的IT基礎設施,這是國家網絡安全中心(NCSC)的建議。這種做法有助于公司密切關注無休止的新威脅清單;每年有超過10000個新的漏洞被報告。除了定期的漏洞掃描外,還建議在每次系統更改時運行掃描。
漏洞掃描程序類型
你可以從基于網絡、基于代理、Web 應用程序和基礎架構等多種類型的漏洞掃描程序中進行選擇,選擇取決于你要保護哪些資產。
網絡掃描程序的一些經典例子是Nessus和Qualys,這兩家公司都是市場領導者,并提供了強大的安全性和漏洞覆蓋率。如果你想要一個容易上手的工具,你可以考慮的一個現代替代方案是 Intruder 。
這種在線漏洞掃描器是專門為非安全專家開發的,同時提供高質量的檢查,以及對新出現的威脅的自動掃描。
Intruder 使用一種獨特的算法來確定使你的系統暴露在外的問題的優先級,從而特別容易找出具有最高風險的問題。
漏洞評估的好處是什么?
漏洞評估旨在自動發現盡可能多的安全漏洞,以便在攻擊者找到它們之前緩解這些漏洞。它還有助于使滲透測試(相比之下,滲透測試是一個手動過程)更加有效。事實上,正如NCSC所解釋的,“通過定期進行漏洞掃描來處理‘容易實現的目標’,滲透測試可以更有效地專注于更適合人類的復雜安全問題。”
何時運行滲透測試?
滲透測試人員模仿現實生活中的網絡攻擊者,但與攻擊者不同,他們遵循預定義的范圍并且不會濫用組織的資產和數據。與漏洞掃描相比,他們更有可能發現復雜或高影響力的業務層弱點,例如操縱產品定價、使用客戶帳戶訪問另一位客戶的數據,或從一個初始漏洞轉向整個系統控制。缺點是,相比之下,它很貴,那么何時運行滲透測試?
考慮上述風險評估的關鍵時間表,例如,在你的產品開發之后,但在你開始接受真正的客戶數據之前。或者在你掌握了一些不敏感的客戶數據之后,但在你開始掌握工資或健康相關信息之前。
一旦你啟動并運行,滲透測試應該在重大更改之后執行,例如改變你的身份驗證系統,發布一個主要的新特性;或者在6-12個月的小改變之后。因為從理論上講,每一個改變都可能意外地引入一個漏洞。
同樣,這取決于你的風險水平。如果你每三個月轉移一次資金也是可取的,但如果你處于風險范圍的低端,則每 12 個月一次是普遍接受的時間表。
滲透測試應在實施重大系統更改之前或每隔 6-12 個月進行一次。
存在幾種類型的滲透測試,滲透測試可以尋找技術中的安全漏洞,例如在你的外部和內部網絡以及 Web 應用程序中。但是,它也可以發現組織人力資源中的漏洞,例如在社會工程的情況下。
你選擇的滲透測試公司取決于你要測試的資產類型,但也應考慮其他因素,例如認證、價格和經驗。
總結
安全測試是一個關鍵的網絡安全過程,旨在檢測系統、軟件、網絡和應用程序中的漏洞。它最常見的形式是漏洞評估和滲透測試,但其目標總是在惡意攻擊者利用它們之前解決安全漏洞。
請記住,攻擊者還執行例行安全測試,以查找它們可以濫用的任何漏洞。一個安全漏洞就足以讓他們發動大規模的網絡攻擊。雖然這可能令人恐懼,但你的公司可以通過定期執行網絡安全測試來獲得更好的保護。
實施此策略可能具有挑戰性,因為沒有一刀切的安全測試解決方案。如今,許多工具提供免費試用,這為小企業提供了一個很好的機會,可以在投入更大的投資之前找到正確的解決方案。
