服务器被黑客入侵_准备被黑客入侵:小型组织的信息安全

最新推荐文章于 2024-08-01 15:05:06 发布
最新推荐文章于 2024-08-01 15:05:06 发布
阅读量162 收藏
点赞数
文章标签: java 安全 数据库 python 项目管理
原文链接:https://opensource.com/business/16/6/shoestring-approach-information-security
版权

服务器被黑客入侵

信息安全具有挑战性,在金钱和人员精力上可能会非常昂贵。 规模较小的组织即使没有最大的需求,也可能没有金钱或人员专业知识来正确完成工作。 在OSCON 2016上,性健康创新(SHI)的Kelsey Gilmore-Innis发表了一个非常有趣的演讲,内容是关于她的小型非营利组织如何对安全性进行一些创造性的思考,以及这如何影响其应用程序的部署和操作。

Callisto是一个在线报告系统,旨在为大学性侵犯幸存者提供更加授权,透明和机密的报告系统。 该应用程序用作信息托管。 用户可以报告攻击,然后决定是否将信息发布给响应者以及何时发布。 鉴于敏感信息,至关重要的是数据绝对安全。 Kelsey组织为信息安全所采用的一些核心原则并不需要很多钱,而只是对信息及其在应用程序内和应用程序中遍历的另一种思考方式。

假设会发生违规

你应该计划时,会发生什么做的,但由于工作辛苦,你可以阻止它。

这是许多引人注目的违反行为的失败。 给出的示例是Ashley Madison hack; 在这种情况下,高度敏感的信息无法安全存储,未得到充分保护,并且太多人无法访问系统的后端。 骇客入侵时,他们完全措手不及,无法Swift做出React。 他们从不删除过时的个人信息(包括离开系统的用户的信息)的做法加剧了问题。 可以采取低成本,低影响的措施来防止数据泄漏。

了解你的长处

即使您不是服务器管理,安全性或负载平衡方面的专家,您也知道您的产品及其用户。 付钱给专家照顾好是完全可以的。 例如,不要尝试实现自己的CDN来减轻DDOS攻击-已经有服务可以这样做。 找到最适合您需要的东西并事前准备; 钱花得值。 不要尝试编写新的加密方案; 已经存在良好的,经过审计且难以破解的,请使用它们。

了解您的威胁

威胁建模是SHI为Callisto完成的工作的核心。 这是思考攻击者在寻找什么,他们将如何获得以及如何使用的思考过程。 好的威胁模型可以从根本上影响设计。 对于Callisto而言,除了通常的黑客手段外,还需要检查一些“威胁”。 这种环境中的安全性需要移情,主要是对用户的移情。 知道他们的工作,生活如何以及如何受到数据丢失的影响,需要对问题领域有深入甚至痛苦的了解。

SHI预计在某个活跃的法院案件中,数据有时会被传唤。 为防止向诉讼对手泄露数据,系统的体系结构使用SHI不再拥有的密钥对数据进行加密。 他们生成密钥,将其提供给用户,然后将其丢弃。 如果用户丢失了密钥,则该数据将永久丢失。 创建记录时,会警告用户这种行为。

另一个攻击媒介可能是对特定用户记录感兴趣的人,他们可以访问他们的计算机。 还有一个是不良行为者滥用该系统。 他们以合法方式使用该系统,但出于恶意伤害他人。

您面临的最大威胁是与您一起在房间里工作,不仅是心怀不满的员工,尽管这是一个常见的问题,而且还有信息泄漏的途径:提供私人电子邮件服务的承包商,与生产数据存储在同一服务器上的电子邮件,针对数据泄露,在测试系统上使用生产数据副本以及访问控制策略不足。 所有这些路径都可以使您的关键信息远离您。 解决这些问题中的大多数并不需要花费太多,而只是保持警惕和制定合理的政策即可。

当然,第二大威胁是您要保护的用户。 在您的UI / UX选择中,确保用户不能做出不安全的选择。 许多站点的共同特征是“秘密”问题(告诉我您猫的名字,我可以访问您的数据)。 如果有人被住家伴侣虐待,他们会知道的 ! 还请考虑用户用于访问您的应用程序的路径,包括公共场所中的移动设备和共享计算机。 确保所有用户的会话保护都是牢固的 ,以防止会话劫持和重用。

就Callisto而言,一个重要的威胁媒介与响应者打交道。 当用户授权向其机构发布报告时,学院或大学必须使用PGP密钥对来解密发送给他们的报告。 教授PGP具有挑战性,因此存在信息泄露的可能性,以及机构如何处理解密报告的问题也是如此。 并非每个人都对保持这种安全性有技巧或知识。

考虑数据传输安全性

系统的边界在哪里? 应用程序和数据库之间的边界必须牢固。 数据的序列化和反序列化是一种攻击媒介,对于某些人来说可能并不明显。 您的应用程序是否使用安全路径(例如SSL)来与数据库服务器通信? 即使两者都是“内部”,也绝对应该如此!

您的应用程序是否保留活动日志? 里面有什么信息? 如果仅泄漏日志,可以使用其中包含的信息(IP地址,有人吗?)来跟踪系统的使用情况并可能危害用户?

测试,测试,测试

您绝对应该测试已制定的策略和流程。 有许多免费的安全检查器,包括OWASP ,可以为您提供帮助。 如果您有预算,请花钱让更聪明的人通过渗透测试或漏洞赏金来测试它可能会非常有用。

与您的团队一起花费一些时间和精力,包括对问题空间有透彻了解的非技术用户,可以以最低的成本深入了解您的应用程序的安全需求。 如果您使用军械库中最好的工具,那就不必花大笔钱在安全上了:大脑!

翻译自: https://opensource.com/business/16/6/shoestring-approach-information-security

服务器被黑客入侵

cumo3681
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
记我一次成功的入侵学校网站服务器黑客行动
诗歌年华
12-22 1万+
黑客与程序员
06-22
- **应急准备**:始终准备好应对可能的攻击,构建优雅的架构以提高入侵门槛。 - **快速响应**:建立有效的应急机制,实现系统的快速自我修复。 #### 地下黑客形势 - **黑色产业链**:几乎每条合法的产业链背后都有...
十大企业级Linux服务器安全防护要点
yinhong2006的专栏
10-21 585
十大企业级Linux服务器安全防护要点 随着开源系统Linux的盛行,很多企业的应用服务都是构筑在其之上。Linux的安全性就成为了企业构筑安全应用的重中之重。   随着开源系统Linux的盛行,其在大中型企业的应用也在逐渐普及,很多企业的应用服务都是构筑在其之上,例如Web服务、数据库服务、集群服务等等。因此,Linux的安全性就成为了企业构筑安全应用的一个基...
史上最大规模的Agile开源项目Callisto发布
软件技术狂热者的专栏
07-09 121
 集成了10个Eclipse工具集的项目Callisto日前发布,它主要致力于通过一个更透明更具可预见的开发周期来提高在Eclipse框架平台上的开发人员的编程效率。Callisto的吸引人之处在于它使得数个项目同步发布,这就很大程度上简化了应用这些产品的开发人员,到现在为止,它所集成的项目都各自为战,各有自己的发布周期。但这些项目依然有自己的论坛,依然可以保持自己的发布周期,只是为了Callis...
黑客是如何入侵你的Linux服务器做坏事的?
12-12 1146
来源 :cnblogs安全是一个老生常谈的话题了,从之前的“棱镜门”事件中折射出了很多安全问题,处理好信息安全问题已变得刻不容缓。因此作为经常使用Linux的嵌入式工程师,就必须了解一些...
入侵学校服务器修改成绩 :)
热门推荐
codedream的专栏
05-30 1万+
    我的马儿静静地躺在学校服务器的某个角落,有时候郁闷了就去那里看看。这样的烂学校,晕。听说北京校区已经把以前交的重修费都退了,同一个校长,他啥就对本部学生不闻不问呢?点解啊?   有一次,我正在看服务器里有啥好东东(比如试卷之类的啦,白痴才把试卷放到这种地方来),翻着翻着,发现了一个webconfig文件,down上来看看先,狂晕,装了SQL SERVER 了,还有密码。不管那么多了,拿出客
黑客入侵入门_修复被黑客入侵的WordPress网站的入门指南
09-08 824
黑客入侵入门A sad reality about running websites is that sometimes they could get hacked. Having our WordPress site hacked a few times in the past, we know exactly how stressful it can be. Not to mention th...
技巧-黑客技术自学教程-详细信息安全记录贴
2401_84915584的博客
06-10 654
PChome电脑之家是中国优秀的IT资讯服务提供商之一,一直积极倡导
世界那么大,网站那么多,为什么黑客偏偏会入侵我的网站?被同行针对?或者树大招风?可能都不是
2401_84618514的博客
06-28 829
所以,知道了为什么黑客会攻击你的网站是很有必要的。虽然黑客不会针对你个人,但他们仍然有几率找上门来。幸运的是,无论哪种动机,通过正确的安全措施,可以阻止大多数黑客攻击
信息安全_议题一.以攻为守的情报分析v2.pptx
08-14
一方面,随着互联网资产的增加,边缘资产(如未被充分保护的小型服务器或物联网设备)成为了黑客攻击的主要目标。另一方面,非传统入侵手法,如利用公开泄露的敏感信息辅助渗透,成为新的威胁。此外,重大安全漏洞的...
基于Linux的小型网络入侵检测防御系统的设计.pdf
09-06
基于 Linux的小型网络入侵检测防御系统的设计 一、入侵检测防御系统的定义和作用 入侵检测防御系统是为了检测黑客通过病毒等手段有意攻击计算机网络和计算机系统而构建的检测防御系统。入侵检测防御系统应具有捕获...
【php入侵实例】php
04-21
这种类型的后门被称为Web Shell,它是黑客常用的一种手段,用于持续控制被入侵的系统。 - **进一步攻击**:获得了Web Shell之后,攻击者可以执行各种命令,如查询敏感数据、修改现有文件或安装额外的恶意软件等。 #...
泰国机房服务器租用汇总.doc
06-29
### 泰国机房服务器租用相关知识点 #### 一、泰国服务器租用的优势与特点 **1.1 泰国网络资源** 泰国作为一个重要的亚洲网络节点,其网络基础设施非常发达,国际带宽充足,能够满足各类用户的需求。此外,泰国的...
使用hutool工具判断字符串是否全部是字母(包括大小写),java判断字符串是否全部是字母(包括大小写)
qq_43700885的博客
07-29 566
1.导入hutool的maven依赖。2.复制一下代码执行。
社区养老服务小程序的设计
Karen198的博客
07-31 423
管理员账户功能包括:系统首页,个人中心,用户管理,服务人员管理,服务产品管理,服务预约管理,服务状态管理,服务退订管理,活动管理,视频管理。主要技术:Java,Spring,mybatis,mysql,jquery,html。服务器:SpringBoot自带 apache tomcat。微信端账号功能包括:系统首页,服务产品,活动,视频,我的。JDK版本:Java JDK1.8。数据库可视化工具: navicat。数据库版本: mysql5.7。开发工具:IDEA(推荐)开发系统:Windows。
深入理解Java注解
最新发布
weixin_55745942的博客
08-01 480
Java注解是用来描述程序元素(如类、方法、变量等)的一种机制。它们可以提供关于程序的补充信息,帮助编译器、框架或其他工具更好地理解和处理代码。注解通常以符号开头,后跟注解名称和可能的参数。要创建自定义注解,需要使用@interface关键字定义一个接口,并在接口中声明注解的属性。这个注解名为,可以被用来标记方法。它有一个名为value的属性,具有默认值"default"。
java判断邮箱地址是否正确,使用hutool工具判断邮箱地址是否正确
qq_43700885的博客
07-29 335
1.导入hutool的maven依赖。2.直接复制一下代码运行。
26.jdk源码阅读之ConcurrentLinkedQueue
前端、移动端、后端源码级底层原理分享
07-29 951
ConcurrentLinkedQueue 是 Java 中提供的一个基于无界非阻塞算法的线程安全队列。它是一个适用于高并发环境的队列实现,基于链表结构。
Linux服务器应急响应:入侵排查与安全策略
"这篇文档详细介绍了Linux应急响应的流程及实战演练,主要针对企业在遭遇黑客入侵、系统崩溃等安全事件时如何快速恢复并调查事件。文档涵盖了账号安全、日志分析、系统状态检查等多个关键点,旨在提升Linux系统的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值