2022-12-15 分類: 網站建設
網站建設公司必須保障網絡安全,下面的故事真實講述了網絡攻擊者如何差點毀掉一位小企業主的公司。看看我們能從中吸取哪些經驗教訓。
2013年,英國一位名為里·穆爾的小企業主,她創立的公司遭受了長達七個月的網絡攻擊,借助一位高級安全顧問的幫助,才得以恢復業務。
里·穆爾的故事
當這位女企業家建立自己的公司時,遇到一位熱心解答她在互聯網方面的各種無腦問題的網頁開發人員,這位開發者是穆爾的一位朋友推薦的。
他給穆爾的第一個建議是永遠不要關掉電腦或路由器,他的解釋是經常關閉電腦可能會導致殺毒軟件沒辦法在第一時間更新,導致存在漏洞。另外,這位開發人員還堅持讓穆爾通過他的個人網站用銀行卡發薪。出于信任和無知,穆爾接受了這些建議。
隱患之一:如果路由器始終連接到互聯網并保持不斷線,IP地址是不會更新的。從而很容易被攻擊者定位或冒充。
隱患之二:通過個人網站用銀行卡發薪?這已經不能稱之為隱患了。
穆爾把運營企業需要的一切準備妥當,接入互聯網,然后開始運行業務,但卻絲毫沒有意識到她的新生業務、品牌以及她本人在面臨網絡攻擊時是多么的脆弱。這是因為,雖然媒體經常會報道各種網絡攻擊事件,但具體過程和細節卻很難走進公眾的意識。而且,那些為初創企業提供建議的機構并不會對新興企業家們警告網絡入侵的風險,也不會要求在商業計劃書中加入關于IT安全策略或信息風險評估的內容。
在之后兩年的期間里,那位網頁開發人員買下了穆爾公司的域名,并將穆爾的個人網站、公司網站以及Email賬戶運行在他的服務器上。同時還建立了穆爾的社交網絡帳號,并為她設置了用戶名和不同的登錄密碼。這位開發人員非常的友好且樂于助人,并與穆爾從工作關系變成了個人朋友關系。
某日,穆爾收到了開發者的一封郵件,說她公司的網站已經過時,容易遭受黑客攻擊,還會傳染其它網站。僅僅過了兩年就被告知需要建立一個新網站,穆爾感到不快,但出于信任她并不想再找一個網頁設計師,并且也害怕自己的網站感染別人,于是穆爾同意了開發者提供的“優惠”價格,為新網站付出了1250英鎊。
但是,新網站上線還沒有一天,穆爾又收到了這個開發者增加五天工作量的消息,并因此要追加25%的費用,而且也沒有說明這五天工作的具體內容。穆爾表示拒絕,但對方此時露出了真正面目。
他威脅穆爾付錢,否則對后果不負責任。穆爾開始求助相關機構進行調解,但機構的介入又遭到了此人進一步的威脅。這時,穆爾發現她的社交媒體賬戶、個人和公司網站、Email郵箱均已無法訪問。這個網頁設計人員更改了她所有的密碼,網站都被替換成了單頁的警告信息,告訴訪問者穆爾欠錢不還,和她做生意有很大的風險。
他使用了搜索引擎優化技術讓穆爾的名字持續出現在所有互聯網搜索引擎的置頂位置,并在谷歌顯示穆爾的照片之間插入了他的個人Logo,點擊這個Logo的訪問者將會鏈接到他的個人網站,網站上重復了他對穆爾及其公司的誹謗。不僅如此,這個所謂的網頁設計師還使用穆爾的品牌注冊了域名和公司,并關聯到了穆爾的家庭地址。然后還用這個域名創建了又一個騷擾頁面,重復宣稱穆爾及其公司欠債不還。他在所有誹謗的網頁上均貼上穆爾新注冊公司的名字,并在長達半年的時間里每天更新這些頁面。
期間,穆爾還在自己的計算機上發現了木馬,電腦上的文件被加密,很多Email記錄消失,但沒有證據表明這個木馬就是那個網頁設計師植入的。穆爾求助警方,警方認為這是民事案件,不屬于刑事領域。穆爾接觸律師,卻被告知獲取一條強制令的報價是1.5萬英鎊,而穆爾需要三條這樣的法令,加上其他費用,用法律解決的成本可能會達到六位數。
除非發生在你身上,不然你不會知道那是什么感覺。
穆爾故事的啟示
小企業在運營時可能面臨各種方面的問題,穆爾的經歷可以大體上歸類為內部攻擊。但不管怎樣,一個Web開發人員能夠如此容易地對企業和企業主造成如此大的破壞是令人感到非常驚訝的。
穆爾購買了一項服務,但沒有要求與這項服務匹配的保障措施。一位身兼互聯網服務提供者和網站開發職責的人居然被信任到如此驚人的程度,而原因除了他可以提供網絡服務之外無并無其它。沒有相關的法規可以保護小企業免受網絡服務提供者的侵害,英國的法規對Web開發人員并沒有提供專門的準則,除了BCS認證(BCS,the Chartered Institute for IT)之外,英國也沒有相應的專業機構,只有1987年頒布的英國消費者保護法案似乎還起些作用。
對小企業而言,檢查自己的網頁服務提供者的個人背景是非常有用。穆爾女士被這位網頁開發者蒙蔽,因為他在互聯網及網頁應用相關的很多方面都比她要懂行。這種情況對于很多小企業而言可能都成立。人們可能對1998年的數據保護法案(Data Protection Act)和1990年的濫用計算機法案(Computer Misuse Act)有所認識,但很少有公司會對這些提起注意。
在缺乏監管的情況下,犯罪者可以隨意濫用自己的知識,他還可能自己計算過風險,并認為能夠毀滅證據。如果沒有證據,就沒法立案。
這些年來,通過《濫用計算機法案》進行定罪的案例非常之少。這個法案是在手機還沒數字化的年代頒布的,并僅在2006年修改過一次,以將手機明確地定義為計算設備。盡管最近對所謂網絡流氓國家的炒作非常多,但根據一項近期英國企業遭受互聯網攻擊來源的調查,超過七成的攻擊都源自英國本土。
對中小企業的網絡安全建議
警方處理網絡犯罪事件的方式遵循四P原則:預防、保護、準備、追蹤(Prevent Protect Prepare Pursue),這四條原則也揭示了讓企業了解潛在的網絡風險的重要性。
但警方并沒有足夠的資源對每一家中小企業中發生的安全事件收集證據并定罪,因此企業只有兩種選擇,其一,親自收集證據;其二,雇人來代表他們這么做。
在遭受入侵后,對企業而言最重要的事情就是盡快恢復運轉,但企業同時也需要具備足夠的技術和法律知識,了解在重新部署服務之前需要保存哪些證據。
在上線一項新的服務之前進行調查是企業的責任。如今初創企業在開發在線服務的過程中獲得的建議里并不包括注意信息安全和檢查資質,因此在選擇網頁設計師和網絡服務提供商時應盡量小心。如果初創企業沒有被事先警告,也就不會注意這些問題,特別是在他們讓企業順利運轉方面還需要投入大量精力的時候。
關于數據泄露和網絡犯罪的議題應該成為法律和計算機專家的興趣點,安全不應當只是作為向小企業提供的一項服務,其本身也是創業的一個很棒的切入點。
如果數據泄露的確發生了的話,精通IT知識的律師或受過法律訓練的網絡專家可以確保用于訴訟的證據通過合適的方式進行獲取和存儲。IT安全專家們向小企業提供建議的業務已經有所增長,但這一過程需要加速,與此同時一定會有更多不愉快的事情發生,還會有一些網絡犯罪無法得到懲罰。
建立網上業務時需要注意的要點
穆爾的案例提醒人們,在將自己的用戶名/密碼交給其他任何人時都需要多加考慮。那位網站開發者擁有李女士的用戶名和密碼,可以向互聯網上的Web服務器上傳數據。允許那位Web開發人員同時掌握用戶名和密碼是出于信任,而在建立信任的過程中并沒有經過建立良好商業關系本應經過的步驟。這種信任一旦受到破壞,很難被察覺和制裁。
Web開發人員經常制作商業網站,并在線上進行管理——然而到目前為止這一切都并不受外部監管。這目前是一個靠行業自律運轉的行業,也沒有什么標準能夠判斷一位開發人員是否安全,甚至也都沒辦法判斷一位程序員是否優秀。技術上實現得很糟糕的網站對公司的聲譽會產生糟糕的影響,還可能為跨站腳本攻擊、SQL注入以及其它常見的漏洞大開后門。
在小企業中,網頁設計師通常會對選擇路由器和配置路由器提出建議,這樣會為開發者帶來更大的控制權限。業需要注意這些事情,它們應當交給有資質的專業人士處理。具備某種認證或類似的資質應當是招收網頁開發人員的最低標準,這個行業的認證有可能是IT領域未來的發展方向。
根據英國政府在2011年進行的一個調查,英國每年由于網絡相關犯罪導致的企業和個人損失估計為270億英鎊。2014年的情況還不得而知,但考慮到電子商務和黑客活動都變得愈加頻繁,這個數字很可能會讓人大吃一驚。
英國政府曾表示,要“將英國變成世界上對企業最安全的場所之一”,現狀來看,依然是遙遙無期。
本文標題:網站建設公司必須保障網絡安全
文章出自:http://m.newbst.com/news35/222935.html
成都網站建設公司_創新互聯,為您提供搜索引擎優化、網站內鏈、云服務器、Google、外貿網站建設、網頁設計公司
聲明:本網站發布的內容(圖片、視頻和文字)以用戶投稿、用戶轉載內容為主,如果涉及侵權請盡快告知,我們將會在第一時間刪除。文章觀點不代表本網站立場,如需處理請聯系客服。電話:028-86922220;郵箱:631063699@qq.com。內容未經允許不得轉載,或轉載時需注明來源: 創新互聯
猜你還喜歡下面的內容