Каковы минимальные меры безопасности, которые необходимо предпринять для стартапа?

Я работаю в стартапе, в основном занимаюсь системным администрированием, и я столкнулся с некоторыми проблемами безопасности, с которыми мне не очень комфортно. Я хочу судить, верны ли мои ожидания, поэтому я ищу информацию о том, что другие сделали в этой ситуации, и какие риски/проблемы возникли. В частности, насколько критичны такие меры, как размещение инструментов администрирования за vpn, регулярные обновления безопасности (ОС и инструменты) и т. д.

Имейте в виду, что, поскольку это стартап, главная цель — быстро реализовать как можно больше функций, поэтому мне потребуется как можно больше обоснований, чтобы получить ресурсы для обеспечения безопасности (т. е. время простоя для обновления, время разработки исправлений безопасности приложений).

Справочная информация:

  • Приложение представляет собой LAMP, а также собственный клиент-сервер Java.
  • В течение следующих 3 месяцев я прогнозирую около 10 тысяч анонимных посетителей сайта и до 1000 аутентифицированных пользователей.
  • Младшая аудитория (16-25 лет), в которой гарантированно будет больше среднего количества черных шляп.

Заранее спасибо за ответы, буду рад любым советам.


java security infrastructure lamp
person Dana the Sane    schedule 09.01.2009    source источник
comment
:)) Вы оскорбляете более молодую аудиторию? 8-х   -  person mmx    schedule 09.01.2009
comment
Нет, давайте просто скажем, что это группа людей, которых мы явно привлекаем.   -  person Dana the Sane    schedule 09.01.2009
comment
Хорошо, я так и думал ;) Шучу. :))   -  person mmx    schedule 09.01.2009

Ответы (10)


arrow_upward
5
arrow_downward

Если безопасность не будет продумана и не встроена в приложение и его инфраструктуру с самого первого дня, будет гораздо сложнее модифицировать ее позже. Настало время создать процессы для регулярного исправления ОС/инструментов, обновлений и т. д.

  • Какие данные пользователи будут создавать/хранить на сайте?
  • Как нарушение повлияет на ваших пользователей?
  • Какое влияние окажет нарушение на вашу компанию?
  • Сможете ли вы вернуть доверие пользователей после взлома?

Поскольку ваша компания зависит от удержания существующих пользователей и привлечения новых, вы должны излагать свои опасения в соответствии с тем, как пользователи отреагируют на нарушение. Начальство поймет, что пользователи — это ваш хлеб с маслом.

person Dave    schedule 09.01.2009
comment
Я согласен с тем, что ваш последний пункт - это то, как все должно работать, но я встречаю сопротивление, особенно в отношении степени риска :( - person Dana the Sane; 09.01.2009
comment
Что рискованнее? Утечка данных и потеря всех ваших пользователей (и, возможно, компания разоряется) или задержка новой функции на несколько дней, пока оцениваются последствия для безопасности? Возможно, вы сможете убедить их, приведя несколько примеров компаний, которые разорились после взлома... - person Dave; 09.01.2009

arrow_upward
6
arrow_downward

Кроме того, не забывайте, что ваш сервер должен быть защищен от нынешних (то есть будущих) сотрудников. Несколько стартапов были полностью уничтожены из-за саботажа сотрудников. http://www.geek.com/articles/news/disgruntled-employee-kills-journalspace-with-data-wipe-2009015/

person Yaniv    schedule 09.01.2009
comment
Определенно хороший момент. В настоящее время у нас есть централизованный документ pw, который должен упростить массовый сброс. - person Dana the Sane; 09.01.2009

arrow_upward
5
arrow_downward

Репутация здесь решает все, особенно для стартапа. Как стартап, у вас нет долгой истории надежности/безопасности/... - поэтому все зависит от пользователей, которые дадут вам «преимущество сомнения», когда они начнут использовать ваше приложение.

Если ваш сервер взломают и ваши пользователи заметят это, ваша репутация пропадет. После того, как оно исчезнет, ​​не имеет значения, станут ли ваше приложение и ваши функции «следующей новой вещью» или нет. Неважно, было нарушение безопасности незначительным или нет — люди больше не будут доверять вашему приложению/компании.

Так что я бы считал безопасность превыше всего.

person Stefan    schedule 09.01.2009

arrow_upward
4
arrow_downward

Я согласен со Стефаном насчет репутации. Вы не хотите, чтобы вас взломали, потому что вам не хватало безопасности. Это не только навредит вашему сайту и компании, но и будет плохо смотреться на вас, поскольку вы отвечаете за это.

Мое личное мнение — делайте как можно больше, потому что сколько бы вы ни делали, уязвимости будут.

К сожалению, о безопасности, такой как тестирование и документация, часто забывают. Вы действительно должны проводить оценку рисков на ранних этапах жизни вашего сайта/программного обеспечения и продолжать делать оценки. Я думаю, что важно исправить все программное обеспечение для устранения дыр в безопасности.

person dtc    schedule 09.01.2009

arrow_upward
3
arrow_downward

Они, вероятно, будут очевидны:

  • Ограничьте количество попыток ввода пароля.
  • Очистите входные данные вашей базы данных
  • Меры по предотвращению XSS-атак

Также стоит отметить, что, как вы сказали, сетевая архитектура должна быть настроена соответствующим образом. У вас определенно должен быть приличный брандмауэр, который максимально заблокирован. Некоторые люди рекомендуют размещать ваши системы между двумя брандмауэрами разных производителей, чтобы в случае, если один из них имеет критическую уязвимость, второй, скорее всего, не имел такой же уязвимости, и вы были в безопасности. Все зависит от того, что вы можете себе позволить, так как это стартап.

person jamesmillerio    schedule 09.01.2009

arrow_upward
3
arrow_downward

Если вы явно пытаетесь привлечь пользователей, которые склонны пытаться взломать системы, то вы вполне можете поспорить, что ваша система будет атакована.

Вы должны предложить руководству, что если они не собираются серьезно относиться к безопасности, то вам следует просто разместить банковские выписки и бухгалтерские книги компании (открытым текстом) на сайте с заметной ссылкой на главной странице. . По крайней мере, вы можете сказать им, что конечный результат будет примерно таким же, но они с меньшей вероятностью испортят все остальное, чтобы получить то, что ищут.

Я полагаю, что вопрос репутации может иметь несколько иной характер для этой аудитории: они могут простить вас за то, что вас взломали, но они, вероятно, не простят вас за то, что вы стали легкой мишенью.

person Jeff Shannon    schedule 09.01.2009

arrow_upward
2
arrow_downward

Убедитесь, что вы знаете, какая версия и уровень исправлений работают на ваших серверах, не только ОС, но и все связанные компоненты и все, что на самом деле выполняет машина. Затем убедитесь, что вы не отстаете больше, чем на день. Если этого не делать, это причиняет много боли, и вы не слышите о большей части этого — большинство моих прошлых работодателей никогда публично не признавали бы, что их взломали, поскольку это плохо отражается на них, поэтому вы можете предположить, что системы взламываются направо и налево с довольно серьезные последствия для компаний, вы просто не слышите о большинстве этих событий.

person Yaniv    schedule 09.01.2009

arrow_upward
2
arrow_downward

Несколько основных «безопасных» мер здесь, которые, хотя и являются скорее реактивными, чем упреждающими, являются некоторыми вещами, которые следует учитывать.

1) Стратегия резервного копирования, конечно, не только для тех, кто взламывает ваш сайт, но приятно восстановить все до дней, предшествующих взлому, если это возможно, убедиться, что это надежно и, что наиболее важно, было протестировано в ходе практического восстановления < br> 2) Смягчение последствий, иметь планы, по крайней мере, на салфетке где-нибудь, как реагировать, если сервер взломан
3) Страхование, найти страховые компании, которые понимают мир кибер-бизнеса и ущерб, возникающий в результате этих вещей , купите полисы
4) Кто-то уже упоминал о проблемах саботажа сотрудников, вы заранее проверяете своих сотрудников, верно? Проверка биографических данных дешева и выкапывает всякую ерунду...

person tekiegreg    schedule 09.01.2009

arrow_upward
2
arrow_downward

Мое лучшее предложение — мониторинг.

Не существует идеальной безопасности, и все дело в том, чтобы принимать риски и предотвращать их, когда это необходимо. Однако, если у вас нет мониторинга, вы не сможете узнать, удалось ли что-то (атака) и как это произошло.

Итак, обновляйте свою систему и установите несколько легких инструментов для ее правильного мониторинга. Если у вас есть пользовательские приложения, добавьте туда вход в систему. Регистрируйте ошибки, вызванные ошибками (неверный ввод), неверные пароли или любые ошибки, созданные пользователем.

Что касается легких инструментов для мониторинга, то существует довольно много бесплатных/открытых исходных кодов:

  • OSSEC (для поиска аномалий, изменений и журналов)
  • modsecurity (веб-мониторинг)
  • Sucuri (отслеживание whois/dns/черных списков)
person Sucuri    schedule 13.07.2009

arrow_upward
0
arrow_downward

Взгляните на Mod Security, чтобы узнать о различных возможностях установки программного обеспечения: выполните поиск в Google по запросу «mod_security howto example».

Простой пример для начала: http://www.ghacks.net/2009/07/15/install-mod_security-for-better-apache-security/

person Community    schedule 29.08.2009