網站除了好看好用,
還要有資訊安全
網站的資訊安全一直是在建置網站最容易被遺漏的一個環節,通常是等到了個資外洩、網頁竄改等事件後才會驚覺防護不足都為時已晚。
但Google一下資訊安全,諸多術語讓客戶看得眼花撩亂,而涉及的層面也非常廣泛,若不是專業人士一定會有進入障礙。
愛貝斯了解沒有100%的資安,但如果可以在開發時多加注意,維運時也撥點預算添購設備,相信可以有效降低資安事件的機率。
六重關卡,佈局資安
開發階段
程式防護
抵禦駭客的第一步
工程師要有駭客思維
愛貝斯集結10多年的網站建置經驗,並隨時補充開發人員的資安知識,考取資安證照,讓網站在開發之初,就有良好的體質基礎。
弱點掃描
抵禦駭客的第一步
模擬攻擊,改善弱點
愛貝斯的開發核心每個年度都會進行第三方認證單位的弱點掃描,修補每年的新形態網站攻擊,確保延伸使用的客戶不會曝光在高風險之下。當然在客製化的專案內,我們也會協助客戶將程式重新弱點掃描,確定客製化的製作項目無高風險的存在。
WAF防護
網站主動防護,7 X 24小時主動攔截各式攻擊
流量比對惡意程式資料庫,隨時監控惡意攻擊,如同警衛一樣把可疑、惡意的流量排除在外。
主機防護
監控異常事件,日誌軌跡分析
愛貝斯選用ISO27001資安認證的機房與管理人員,科技監控異常主機事件,讓企業資安有「跡」可循。
維運更新
讓美麗的網站,不會有美麗的錯誤,定期維護更新才能保護資訊安全
網站建置結案後,才是資安考驗的開始,建議企業每年定期弱點掃描,修補漏洞,才能抵禦日益更新的攻擊手法。
資安小知識
網站攻擊手法有哪些?
一般駭客針對網站常用的攻擊手法有:
- DDOS攻擊:發動一堆殭屍電腦來看你的網站,讓你的網站跑不動變慢。
- 注入攻擊:嘗試透過網址、表單、檢查工具等方式,塞資料到你的網頁裡面,輕則被換掉文字圖片、中則被當網站跳板、重則資料外洩,這是最需要防範的攻擊。
- 釣魚攻擊:透過電子信件、假網頁等方式,讓你點了之後不知不覺下載病毒、木馬後門程式裝入電腦內,這樣電腦就任駭客為所欲為了。
OWASP TOP 10 是什麼?
OWASP是一個非營利國際組織所經營的專案(Open Web Application Security Project),全球有82個組織據點,專門針對每年網頁常見的攻擊手法作整理、開研討會,並發布TOP10 (OWASP十大網路應用系統安全安全弱點)常用攻擊給系統開發者,方便開發人員防範未然。目前許多知名的防毒、資安廠商都會使用OWASP統計的TOP 10手法作為主要防護的參考。目前最新的版本是OWASP TOP 10 2021。
WAF是什麼?我需要WAF嗎?
WAF是一種主動式防護的工具,用來過濾所有進入網站的流量。過濾過程會比對自身的攻擊資料庫,若符合資料庫內容則代表是惡意流量,會直接把這些流量阻擋下來,有點像是24小時警衛的概念。市售有許多WAF工具,價格從幾千到十幾萬都有,但其資料庫的精準度、誤判率、是否可客製化調整、是否隨時更新,都是影響其售價的關鍵。
網頁資安維運需要注意哪些項目?
網頁資安維運可分主機面、程式面、人員面三個面向來著手防護:
- 主機面:如硬體線路環境、機房位置、軟體環境、系統更新、防火牆設定、網路監控等,是屬於主機商的服務範疇,通常會配置有證照的系統工程師24小時監控服務,比較有規模的主機商會具備ISO27001的資安專業證照。
- 程式面:如PHP、Mysql的搭配應用,透過程式防堵攻擊。如檢測密碼、檢查輸入來源是否合規、防止惡意注入資料等,是屬於網頁設計公司的工作。
- 人員面:如後台操作人員、系統維護人員等。日防夜防,家賊難防。不論是惡意盜取資料、密碼太簡單被破解、個資檔案亂放桌面、釣魚信件亂點、跟無關人士分享公司資料、密碼貼Line亂傳等,其實人員控管是最難做,也是最大的漏洞。平常應該就要充實資安常識,不然買再多再貴的設備都沒用。
資訊安全有哪些產品?
- WAF:主動式防火牆,可過濾所有流量
- 弱點掃描服務:透過自動化軟體模擬駭客常用手法,檢查網站是否有漏洞。
- 人工滲透測試:透過資安專家人工測試,檢查網站是否有漏洞。
- 主機掃描服務:透過自動化軟體檢查主機環境是否有漏洞。
- EDR端點防護:裝入電腦的監視器,可監視是否有可疑的事件即時通報,若不幸有資安事件發生後也可回查紀錄。