公司动态
当前位置:首页 > 公司动态 > 当客户问你我们的网站安全吗?我们到底该如何回答?

前言:

我们的网站安全吗?CEO这样问你,你到底该怎么回答?假如你回答是,CEO你可能会说请证明。你将如何证明你的网站保护做得很好?以下将是科列出的部分,并解释每个答案的缺陷。

正文:

1、我们的网站符合支付卡行业数据安全标准(Payment Card Industry Data Security Standard,PCI DSS),所以是安全的。

和其他标准一样,PCI DSS这是最低限度的标准。这意味着我们的网站不能被入侵PCI它是可靠的,但请记住:如果你的网站是安全的,通过PCI很容易,只有通过PCI审计并不一定意味着你的网站是安全的。

二、我们的网站部署了商业的Web安全设备,所以我们Web应用程序是安全的。

这个答案是由于对安全制造商的过度信任造成的。安全制造商的网站或产品说明书说,他们的产品会使网站更安全,但事实并非如此。如果使用不当,安全产品和受保护的网站一样有问题。

三、因为我们用了SSL,所以我们是安全的。

许多电子商务网站会在显眼的地方显示锁定的图片。这表明他们从权威的认证授权机构购买了它SSL确保网站安全的证书。SSL证书可以有效避免网络层拦截和网络欺诈。但其弱点之一是SSL不可能阻止恶意用户直接攻击网站。

四、我们有警报表明我们被阻断了Web所以我们的Web应用程序是安全的。

阻断攻击尝试的证据令人信服,但还不够。当管理者问网站是否安全时,他们真正想知道的是网络攻防的表现。CEO我想知道的是我是否能在攻击中成功地保护网站的安全。从这个角度来看,你没有积极地回答一个问题。例如,打乒乓球时,有人问你:谁赢了这场比赛?,但你用统计数据来回答,比如游戏的数量,耗时等等。而不是直接告诉他最终的分数。因此,提供被阻断的攻击证据是一个有用的指标,但他们想知道的是是是否有成功的入侵。

以这些概念为背景知识,我将列出一些衡量网站安全战略效果的最重要指标:

?日请求量:数值(#)表示。他是网站流量的基准,提供其他指标的基础。

?检测到的攻击(真实):数值(#)占日总请求数的百分比(%)表示。通常这个指标表示网站恶意流量和安全检测的准确性。

?未检测到的攻击(漏报):数值(#)以及日总请求量的百分比(%)。通常这个指标可以说明安全检测准确性的有效性。这是在回答网络攻防战的表现时避免的关键指标。

?误拦截请求量(误报):数值(#)以及每日总请求量的百分比(%)。这些数据还可以显示安全检测的准确性。这些数据对许多企业来说非常重要,因为阻断正常流量意味着它可能会影响收入。企业必须有一套有效的方法来跟踪误报率,这将干扰网站的正常请求流量。

?攻击检测失败率:以百分比(%)表示。通常等于误报和漏报,除以真实攻击。这个百分比为您的网站安全检测准确性提供了总体测量指标。

攻击检测失败率提供了在整个攻防战中表现的数据。可是,大部分企业都没有收集到足够获得此类安全衡量指标的数据。

我们没有发现任何异常行为,所以我们的网站是安全的。

退一步,在网站上识别异常行为似乎是正确的。这一策略的缺点是需要收集用于识别异常行为的数据。大多数企业没有适当配置他们的网站来收集足够的日志信息。

六、我们收集的完整HTTP在审计日志中分析恶意行为的特征,没有发现任何异常行为,所以我们Web应用程序是安全的。

许多企业犯的最大错误之一是识别以警告为中心的隐藏攻击。如果你只记录你已经知道的恶意行为的日志,你怎么知道你可以在回来的时候绕过它,新的攻击方法就会源源不断地涌现出来。因此,仅仅分析已知的警告问题是不够的。我们必须把一切都放在一边HTTP所有要求的审计日志都被记录下来,以特征的恶意行为。

七、我们收集的完整HTTP在审计日志中分析恶意行为的特征,没有发现任何异常行为。同时,我们会定期网站,找出存在的安全漏洞,所以我们Web应用程序是安全的。

识别和阻断网站攻击很重要,但更重要的是将这些攻击的目标与已知的漏洞联系起来。假设您的企业通过安全事件管理系统(SIEM)集中管理安全事件,你是微软的安全分析师IIS如果您不使用服务器漏洞的攻击请求,则标记为恶意行为IIS如果是服务器,这种报警性应该调整到足够低。

我们我们收集的完整HTTP在审计日志中分析恶意行为的特征,没有发现任何异常行为。同时,我们还将定期网站,以找到现有的安全漏洞,并定期我们的能力和事件响应能力,所以我们Web应用程序是安全的。

看到这最后的回答,你就会明白为什么前面的回答都是不完整的。即使你知道你的网站哪里有漏洞,你也必须模拟攻击来确定你的安全防御是有效的。安全人员发现了这些攻击吗?是否正确的实施了安全响应策略?他们花了多长时间来实施?实施是否有效?只有回答了这些问题你才能真正知道你的防御策略是否有效。



m.safe.b2b168.com