Каковы минимальные меры безопасности для стартапа?

Question

Я работаю со стартапом, в основном занимаюсь системным администрированием, и я столкнулся с некоторыми проблемами безопасности, с которыми мне не очень удобно. Я хочу судить о том, верны ли мои ожидания, поэтому я ищу некоторое понимание того, что другие сделали в этой ситуации, и какие риски / проблемы возникли. В частности, насколько важны такие меры, как размещение инструментов администратора за vpn, регулярные обновления безопасности (ОС и инструменты) и т. Д.

Имейте в виду, что, поскольку это стартап, основная цель состоит в том, чтобы как можно быстрее получить как можно больше функций, поэтому мне потребуется как можно больше обоснований, чтобы получить ресурсы для безопасности т.е. время простоя для обновлений, время разработки для исправлений безопасности приложения).

Справочная информация:

• Приложение - LAMP, а также пользовательский клиент-сервер Java.
• В течение следующих 3 месяцев я прогнозирую около 10 тыс. Анонимных посетителей сайта и до 1000 аутентифицированных пользователей.
• Младшая аудитория (16-25 лет), которая, как гарантируют, будет включать в себя выше среднего числа черных шляп.

Заранее спасибо за ваши ответы, и я буду рад любым связанным советам.

Answer 1

Кроме того, не забывайте, что вам нужно защитить свой сервер от нынешних (то есть, в ближайшее время) сотрудников. Несколько стартапов были полностью уничтожены из-за саботажа сотрудников, например, http://www.geek.com/articles/news/disgruntled-employee-kills-journalspace-with-data-wipe-2009015/

Answer 2

Если безопасность не продумана и не встроена в приложение и его инфраструктуру с самого первого дня, ее будет гораздо сложнее модернизировать позже. Сейчас настало время для сборки процессов для регулярного обновления ОС / инструментов, обновлений и т. Д.

• Какие данные пользователи будут создавать / хранить на сайте?
• Какое влияние окажет нарушение на ваших пользователей?
• Какое влияние окажет нарушение на вашу компанию?
• Сможете ли вы восстановить доверие пользователей после взлома?

Поскольку ваша компания зависит от сохранения существующих пользователей и привлечения новых, вы должны изложить свои опасения в соответствии с тем, как пользователи будут реагировать на нарушение. Начальники поймут, что пользователи - ваш хлеб с маслом.

Answer 3

Репутация здесь все, особенно для стартапа. Как стартап, у вас нет долгой истории надежности / безопасности / ... - поэтому все зависит от пользователей, чтобы дать вам «преимущество сомнения», когда они начнут использовать ваше приложение.

Если ваш сервер взломан и ваши пользователи это заметят, ваша репутация исчезнет. После того, как оно исчезло, не имеет значения, является ли ваше приложение и ваши функции «следующей новой вещью» или нет. Не имеет значения, было ли нарушение безопасности незначительным или нет - люди больше не будут доверять вашему приложению / компании.

Итак, я бы посчитал безопасность главным приоритетом.

Answer 4

Я согласен со Стефаном по поводу репутации. Вы не хотите, чтобы вас взломали, потому что вам не хватало безопасности. Это не только повредит вашему сайту и компании, но и будет плохо смотреться на вас, поскольку вы за это отвечаете.

Мое личное мнение - делать как можно больше, потому что независимо от того, сколько вы делаете, будут уязвимости.

К сожалению, безопасность, такая как тестирование и документирование, часто бывают запоздалыми. Вы действительно должны делать оценки рисков на ранних этапах жизни вашего сайта / программного обеспечения и продолжать делать оценки. Я думаю, что важно исправить все программное обеспечение для дыр в безопасности.

Answer 5

Если вы явно пытаетесь привлечь пользователей, которые склонны пытаться взломать системы, то вы вполне можете поспорить, что ваша система подвергнется атаке.

Вы должны предложить руководству, что если они не собираются серьезно относиться к безопасности, то вам следует просто опубликовать на сайте банковские выписки и бухгалтерские книги (в виде открытого текста) с заметной ссылкой от домашняя страница По крайней мере, таким образом, вы можете сказать им, конечный результат будет примерно таким же, но они с меньшей вероятностью повредят все остальное, чтобы получить то, что ищут.

Я думаю, что вопрос с репутацией может иметь несколько иное отношение к этой аудитории - они могут простить вас за то, что их взломали, но они, вероятно, не простят вас за простоту цель.

Answer 6

Это, вероятно, будет очевидно:

• Ограничение попыток ввода пароля.
• Очистить входные данные вашей базы данных
• Меры по предотвращению атак XSS

Стоит также отметить, что, как вы сказали, архитектура сети должна быть настроена надлежащим образом. У вас обязательно должен быть приличный брандмауэр, который максимально заблокирован. Некоторые люди рекомендуют размещать ваши системы между двумя межсетевыми экранами разных производителей, чтобы в случае, если один из них имел критическую уязвимость, второй, скорее всего, не имел такой же уязвимости, и вы были в безопасности. Все зависит от того, что вы можете себе позволить, так как это стартап.

Answer 7

Мое лучшее предложение - мониторинг.

Идеальной безопасности не существует, и все дело в том, чтобы принимать риски и предотвращать их при необходимости. Однако, если у вас нет мониторинга, вы не сможете узнать, удалось ли что-то (атака) и как это произошло.

Итак, обновляйте свою систему и устанавливайте несколько легких инструментов для правильного мониторинга. Если у вас есть пользовательские приложения, добавьте туда вход. Войдите в систему сгенерированных ошибок (неверный ввод), ошибочных паролей или любых пользовательских ошибок.

Что касается легких инструментов для мониторинга, существует довольно много бесплатных / открытых источников:

• OSSEC (для поиска аномалий, изменений и журналов)
• modsecurity (веб-мониторинг)
• Sucuri (мониторинг whois / dns / черных списков)

Answer 8

Несколько основных мер "безопасности" здесь, которые хотя и более реактивны, чем проактивны, но некоторые вещи необходимо учитывать.

1) Стратегия резервного копирования, конечно, не только для тех, кто взламывает ваш сайт, но, по возможности, неплохо восстановить все до дней, предшествовавших взлому, убедиться, что это надежно и, что самое важное, было протестировано в ближайшем будущем. восстановить дрель
2) Смягчение, есть планы по крайней мере где-то на салфетке о том, как реагировать, если сервер взломан
3) Страхование, найди страховые компании, которые разбираются в мире кибер-бизнеса и ущербе от этих вещей, купи полисы
4) Кто-то уже упомянул проблемы саботажа сотрудников, вы заранее проверяете своих сотрудников, верно? Проверки данных дешевы, и все откапывают ...

Answer 9

Убедитесь, что вы знаете, на какой версии и уровне исправлений работают ваши серверы, не только ОС, но и все связанные компоненты и все, что на самом деле выполняет машина. Тогда убедитесь, что вы никогда не отстали больше, чем на день. Невыполнение этого требования приводит к большой боли, и вы не слышите о большинстве из них - большинство моих прошлых работодателей никогда не признались бы публично в том, что их взломали, поскольку это плохо отражается на них, поэтому вы можете предположить, что системы подвергаются взлому влево и вправо с довольно серьезные последствия для компаний, вы просто не слышали о большинстве этих событий.

Answer 10

Посмотрите на Mod Security для различных возможностей в настройке программного обеспечения: Выполните поиск в Google по запросу "mod_security howto example"

Простой пример для начала: http://www.ghacks.net/2009/07/15/install-mod_security-for-better-apache-security/