世界上通常有三種類型的網(wǎng)站/APP擁有者：第一種是一直具備較高風險意識的人、第二種是非常自信認為沒有任何東西可以攻擊和破壞他們網(wǎng)站的人，第三種：根本不關(guān)心它的人。

第二種遠比另外兩種人更容易感受后悔和痛苦。實際上，黑客攻擊并不罕見，甚至每分鐘這個世界就有20多個網(wǎng)站遭到黑客攻擊，這意味著攻擊者遲早會嘗試進入假定的“安全”系統(tǒng)，而且由于疏忽大意，通常一旦開始入侵，黑客就很可能會成功。

對于那些毫不在意的人，通常給出的反駁是他們的企業(yè)或組織幾乎不值得黑客為此付出努力，但黑客攻擊的真正原因?qū)嶋H上不僅僅是金錢收益。如今，攻擊者也通過黑客攻擊進行篡改、數(shù)據(jù)泄露、電子郵件中繼垃圾郵件的服務器接管、臨時Web服務器利用、非法文件傳輸以及許多其他不知情的惡意活動。這些嘗試通常在由自動化工具支持的自動化腳本上運行，這些自動化工具會尋找腳本編寫不當或安全的網(wǎng)站和服務器。因此，每個網(wǎng)站所有者都應該有一個基本的清單，以確保網(wǎng)絡安全完好無損。

作為國內(nèi)領(lǐng)先的網(wǎng)絡安全及內(nèi)容加速服務商，火傘云為所有網(wǎng)站擁有者給出七個可以降低黑客攻擊概率的良好習慣

01堅持審查

管理員和信息安全人員很少能夠做出超出他們自己對網(wǎng)絡攻擊認知的既有觀點和看法，而這正是安全審計可以幫助評估網(wǎng)站的安全基礎到底多強大的原因。

理想情況下，您應該對幾乎所有內(nèi)容進行定期審核，包括外部資源、移動應用程序、Web應用程序、物理安全、路由器、防火墻、集線器、服務器設備、虛擬基礎設施、VPN、無線安全和工作站。然后，由于75% 的漏洞發(fā)生在應用程序?qū)舆@一現(xiàn)狀，最后最好通過Web應用程序掃描 (WAS)、動態(tài)應用程序安全測試 (DAST)、虛擬補丁和監(jiān)控再進行一次確認。

02審查信息可用性

攻擊者經(jīng)常利用有關(guān)網(wǎng)站的可用信息來攻擊系統(tǒng)，它可以是任何東西，從公共DNS記錄到可以通過社交或反向代理來獲取您的資源信息。

在這里，應用層保護很關(guān)鍵。有關(guān)應用程序類型、服務器類型、開發(fā)人員、操作系統(tǒng)、部署或帶寬的信息可用于啟動DDoS、命令注入或跨站點請求偽造。

理想情況下，一個安全的網(wǎng)站所有者應該審查和限制公開可用的信息，并分析如何以另一種方式利用這些信息。在推出目錄結(jié)構(gòu)或本地機器名稱信息之前，即使在錯誤頁面上，也應該對此進行關(guān)注。

03持續(xù)監(jiān)控

監(jiān)控攻擊、流量和用戶行為（尤其是使用專用工具或掃描儀）可提供有價值的信息。網(wǎng)站管理員可以了解很多有關(guān)導致問題的國家、IP和連接以及如何創(chuàng)建自定義規(guī)則來阻止或限制此類行為的信息。

在入侵防御系統(tǒng)的幫助下，可以對每個通信層尤其是網(wǎng)絡采用警戒策略。另一方面，對于應用層，強大的Web應用程序掃描（WAS）測試工具可以得心應手。這樣，您就不必為Web應用程序聘請單獨的安全團隊，并且仍然可以控制攻擊日志和針對它們做出的決策。

04定期更新

它實際上是最明顯但經(jīng)常被忽視的安全習慣。盡管沒有什么比在多個平臺和系統(tǒng)上更新軟件、補丁和修復更乏味的了，但它很明顯可以讓您的安全機制保持更好的運行。

無論是您的操作系統(tǒng)還是惡意軟件掃描工具，都沒有最完美的軟件。數(shù)據(jù)顯示，超過90%的更新都是基于安全的。事實上開發(fā)人員一直在努力工作以在黑客利用它們之前發(fā)現(xiàn)漏洞和編碼補丁。很明顯未能及時更新會增加違規(guī)風險并危及整個網(wǎng)絡，除此之外，更新對服務器框架和配置也很重要。

05確保產(chǎn)品合規(guī)性

支付卡行業(yè)數(shù)據(jù)安全標準制定了最受信任的一套要求，以確保信用卡信息處理，所有網(wǎng)站都應以合規(guī)為目標，但這只是制定安全協(xié)議的基礎。信息安全是一個持續(xù)的過程，隨著經(jīng)驗、數(shù)據(jù)和學習的增加而變得更好。網(wǎng)站所有者必須意識到合規(guī)性是提高安全性最基礎可以做的事情。除此之外，在內(nèi)部和外部層面組織內(nèi)應鼓勵采取創(chuàng)新措施保護通信和敏感數(shù)據(jù)。

06開發(fā)分層安全架構(gòu)

開放系統(tǒng)互連概念模型將通信層分為物理層、數(shù)據(jù)鏈路層、網(wǎng)絡層、傳輸層、會話層、表示層和應用層。鑒于每個抽象層都可以使用不同類型的漏洞進行破壞，因此開發(fā)分層安全產(chǎn)品組合變得至關(guān)重要。分層安全包括通過系統(tǒng)中的物理資源、災難管理計劃、數(shù)據(jù)包過濾器、惡意軟件和木馬檢測器以及SSL證書進行保護，其中很多都包含在網(wǎng)絡防火墻和IPS中。

然而，鑒于大多數(shù)攻擊都發(fā)生在第7層，網(wǎng)站所有者也應該認真對待Web應用程序安全。事實上，根據(jù)研究表明，組織通常需要30到180天來修補已知漏洞，這對于攻擊者來說擁有非常充足的時間來發(fā)動攻擊。火傘云建議最好使用Web應用程序掃描程序來檢測第7層的漏洞，并且應該進一步使用Web應用程序防火墻進行虛擬修補，以限制攻擊者利用這些漏洞，直到開發(fā)人員完成他們的工作。

07制定合理的安全預算

前文已經(jīng)說過，超過75%的網(wǎng)絡攻擊發(fā)生在第7層。但是另一方面的現(xiàn)實是，分配給應用程序安全的信息安全總預算還不到總金額的18%？這個巨大的差距往往被忽視，大多的借口是沒有足夠的時間不斷尋找應用層漏洞，然后分配時間和金錢來修補它們。

從近幾年的攻擊模式來看，應用層攻擊的數(shù)量和復雜性都在增加。火傘云建議將由Web應用程序防火墻支持的靜態(tài)和動態(tài)Web應用程序測試結(jié)合起來，以對漏洞進行即時虛擬修補。網(wǎng)站所有者、管理層和 CISO 應該注意分散他們的安全預算并更加關(guān)注應用程序安全。