“保护您的公司免受黑客攻击的5条提示”

去年将是安全漏洞的一年。

有关攻击和违规的报道在世界各地成为头条新闻。 因为多家企业直接知道高知名度违规行为给企业品牌带来的损害。 在吸取的教训中，最大的教训可能是，无论规模如何，任何在线业务都要把安全性放在第一位。

事实上，中小企业因缺乏排名《财富500强》前一半的企业的专业安全人员和专业信息而遭受的损失最大。 中小企业的脆弱性可能不会成为标题(如果被发现)，但基本上，运营中的中小电子商务网站数量众多，会让黑客忽视。

最近的研究表明，不仅网络上的bot (爬网和扫描网站的自动化应用)数量超过了人类访问者，而且小网站实际收到的bot自动化访问者的比例也非常高，所有流量的80%每天1，000 恶意僵尸程序可以检测站点中的漏洞，并更有效地自动进行网络黑客攻击。

自动化的兴起扩大了攻击范围，使小企业和home depot和target一样脆弱。 目前，所有在线业务都面临风险。 不用成为财富500强企业，就能保护公司和顾客免受不法行为的侵害。 以下是任何企业广告主可以采取的阻止攻击和防止破坏的简单措施。

1 .注意差距

漏洞是指可用的漏洞将攻击者渗透到系统中。 幸运的是，所有人都知道其中许多漏洞，容易修复。 具体来说，所有电子商务企业的广告主必须观察sql和跨网站脚本( xxs )这两个漏洞。

根据其电子商务应用的构建方法，多个网站容易受到sql注入攻击。 罪犯试图使用sql查询来探索web应用程序并从电子商务数据库中提取新闻。

当应用程序获取不被客户信任的数据，并在未正确验证或解决数据的情况下将其发送到web浏览器，以确认其无恶意时，会发生跨站点脚本攻击。 xss可以用来接管客户的帐户，更改网站的副本，或者在客户不知情的情况下重定向到恶意网站。

由于比较这些漏洞的攻击是比较web应用程序的攻击，因此该web应用程序防火墙( waf )在预防这些漏洞方面非常有效。

2 .拒绝服务

一名罪犯采取了暴力手段，网站上充斥着大量流量，处于离线状态。 这被称为分布式拒绝服务( ddos )攻击。 在电子商务网站的情况下，ddos攻击直接影响收入。 一个ddos的价格可能超过40万美元，有些信息源的价格每小时可达40，000美元。 在几个小时到几天的攻击中，任何公司都无法承受ddos攻击的风险。

一般来说，这些攻击伴随着赎金通知，要求资金停止ddos攻击。 其他情况下，攻击不过是烟幕，黑客有时间调查该网站是否存在漏洞。

在这两种情况下，电子商务网站都不应使用ddos保护来检测和缓解攻击。 这是在勒索者影响底线之前，而不是恐吓者威胁之前。 管理服务提供商通常可以提供ddos保护。 这是因为这家小企业可以要求网站管理提供商做出选择。

3.2要素认证

客户证书被盗或泄露是违规的常见原因。 根据ebay的报告，网络攻击者破坏了少数员工的登录凭据，允许ebay非法访问企业互联网。 罪犯使用社会工程学、网络钓鱼、恶意软件和其他手段推测或捕获客户姓名和密码。 在其他情况下，攻击者使用叉子式网络钓鱼攻击，比较在社会交流网上发现的管理者，获取机密数据。

处理这个问题就像实现双因素认证一样简单。 第二个因素通常是应用程序生成的代码或由客户拥有的电话副本接收的代码。 2元素认证已经存在了一段时间，但违规行为的升级增加了2元素认证的选项数量，就像更好的高端智能手机摄像头打开了照片和共享应用的新市场一样。

目前，多种优秀的双因素认证处理方案易于采用，更有效地阻止了黑客。 多个是免费的，包括谷歌认证器，同时封装在高端智能手机上的方便应用。 随着违规风险的增加，比以往任何时间都更重要的是，解决客户数据的应用程序必须通过两个因素认证加以保护。

4 .扫描站点

网络扫描仪是检测上述sql注入漏洞和xss的重要工具，还有其他多个漏洞。 来自这些扫描仪的新闻可以用于判断电子商务网站的安全状况，并向工程师提供如何在代码级别修复漏洞和调整waf以防御特定漏洞的见解。

但是为了比较有效，公司需要定期聘用它们。 定期扫描的服务很重要。 不是三年一次。

5 .保持你的朋友亲密

根据ponemon研究所的研究，第三方提供商-管理者、支付解决者、呼叫中心、碎纸机-对违规的可能性和范围有很大的影响。 如果不严格，经过验证的安全措施不会把钱交给银行。 如果没有适当的安全措施，请不要信任软件供应商。

在寻找新的供应商时，请确保遵守支付卡领域的数据安全标准( pci-dss )和云安全认证ssae16等安全最佳实践。 不要害怕向云软件供应商询问如何管理安全性及其认证。 如果没有，应该仔细考虑后再进行。

请不要无视这个。 不管产品质量如何，如果软件给业务带来风险，那就不值得了。

现在，无论大企业，数据泄露的风险都比以往大。 但是，安全性不需要太复杂。 通过使用适当的工具，与适当的提供商合作并实施保护措施，在线业务可以降低风险，而不会受到关注。