随着越来越多的企业争相推出下一个杀手级应用程序,网络和移动应用程序现在只差一角钱。根据AppBrain的数据,迄今为止,Android市场上有近280万个应用程序。搜索特定的兴趣或功能,可能会弹出十几个Web和移动应用程序。应用程序创建的数量和速度导致相当大比例的开发不良的应用程序,几乎有四分之一的用户在首次使用后就放弃了它们。
更糟糕的是,这些不良的应用程序会使用户暴露在危险之中。Codified Security的一项研究发现,已发布的应用程序中有40%留下了容易被攻击者利用的后门程序。这些漏洞可能使用户数据暴露,或者允许恶意行为者访问测试和开发中使用的计算机和服务器。
该行业的竞争性质要求企业冒险快速发布软件。但是,低劣的编码和粗心的测试可能会使企业及其用户面临遭受潜在灾难性后果的网络攻击风险。这个问题变得更加紧迫随着新技术的发展趋势,如广泛采用的金融技术和物联网(IOT)设备设置为带出的应用程序和服务的新风潮。
安全必须是所有技术创业活动的中心。
1.威胁猖ramp。
2016年不乏涉及大型科技公司,互联网基础设施提供商,和政府机构的备受瞩目的网络攻击。但是,对于每个大牌公司来说,还有许多其他较小的组织也受到了攻击。今天持续存在的最大威胁包括勒索软件,分布式拒绝服务攻击(DDoS)和数据泄露。
卡巴斯基(Kaspersky)等安全公司始终将勒索软件识别为对组织的最大威胁。勒索软件是对计算机或网络文件进行加密的恶意软件。然后,攻击者要求受害者提供赎金,以换取取回其文件的机会。
DDoS攻击试图通过淹没其服务器来阻止对网站或服务的访问。有记录以来最大的DDoS攻击发生在去年DNS提供商Dyn被击中时。停机还影响了Dyn网络下的热门站点和应用程序,例如Netflix,Spotify和《纽约时报》。
在这些攻击中,数据泄露对最终用户构成了真正的威胁。被盗的机密信息通常会在黑暗的网络中被贩卖到实体。在黑市出售时,包含个人,财务或专有信息的数据可以返回利润。存储客户信息的网站和应用是此类攻击的主要目标。
2.受到攻击是昂贵的。
任何形式的停机时间或中断对任何企业来说都是代价高昂的。网络安全解决方案Incapsula估计,由DDoS攻击对电子商务站点造成的停机成本平均为每小时40,000美元。其他攻击者也知道,公司可能愿意为避免停机而付出的代价,因此还进行了DDoS攻击以勒索赎金。
IBM和Ponemon Institute的一项研究表明,每条被盗的记录都会给公司造成158美元的损失。遭受数据泄露的打击也可能严重影响公司的估值。雅虎的销售价格!自从披露过去的大量数据泄露事件以来,它的数量已经减少。数据泄露事件公布后,Verizon要求给予3.50亿美元的折扣。
至于勒索软件,虽然攻击者平均只需要722美元,但是对于那些没有备份系统的组织来说,锁定关键文件可能是灾难性的。即使赎金得到支付,也无法保证将恢复访问。
除了直接的财务影响外,企业还面临遭受网络攻击时失去客户信任和声誉的风险。对于一家初创公司而言,这样的影响可以使整个企业陷入困境,甚至还没有真正开始。
3.科技创业公司应该有更高的标准。
由于各种原因,企业会面临风险。非科技创业公司尤其容易受到攻击。通常,没有专职人员来监督IT资源的正确使用,通常会使计算机和网络不安全。缺乏基本的IT安全实践培训,也会使员工容易受到网络钓鱼等社会工程攻击的影响,这反过来又为更严重的攻击铺平了道路。
科技公司应该了解得更多。如果他们打算将自己推销为具有卓越产品的专家,则应将安全性作为其工作的关键部分。技术初创公司的很大一部分工作都涉及产品开发,因此确保其软件安全至关重要。
去年,Mirai是负责多种大规模DDoS攻击的恶意软件,它利用不安全的IoT设备并使用它们进行攻击。这些设备中的许多设备(包括IP摄像机和网络设备)设计欠佳,缺乏可以防止Mirai感染的安全功能。在产品设计中遗漏安全性和制定产品开发快捷方式可能会造成严重后果。
编码安全性还显示,应用程序漏洞通常是由于编码不慎造成的。开发人员可能会在其已发布的代码中遗漏信息,例如服务器凭据。由于某些应用程序上线时会使用相同的服务器实例,因此对这些服务器的访问最终会破坏所有服务器数据,而这些数据到那时可能已经包含客户信息。
将安全放在首位
那么,科技创业公司如何减轻这些风险呢?
对于开发人员而言,安全性应该是软件设计中的基本考虑因素。应该仔细检查代码,以跟踪可以被利用的漏洞。对所有软件进行严格的质量检查至关重要。测试,不应跳过,以加快发货或启动日期。
组织应执行安全审核,以识别其操作中的漏洞。对员工进行最佳实践方面的教育可确保以安全的方式使用IT资源,并且不会损害公司或客户数据。科技企业还应该实施安全措施以涵盖其他业务活动,尤其是那些涉及客户数据(例如销售和营销)的业务活动。
客户信息应严格保密。初创企业应归功于其客户,以保护将公司业务委托给公司的人的隐私和安全。