網站攻擊方法多種多樣,防御手段也各有側重,但只要在創建或運營網站時不跳過安全設置,至少能緩解遭攻擊的可能性和攻擊後果的嚴重性。
在某種程度上,互聯網上的每個網站都容易遭受安全攻擊。從人為失誤到網絡罪犯團伙發起的複雜攻擊均在威脅範圍之內。
網絡攻擊者最主要的動機是求財。無論你運營的是電子商務項目還是簡單的小型商業網站,潛在攻擊的風險就在那裡。
知己知彼百戰不殆,當今網絡時代,了解自己面對著何種威脅比以往任何時候都來得更為重要。每種惡意攻擊都有自己的特性,不同類型的攻擊那麼多,似乎不太可能全方位無死角抵禦全部攻擊。但我們仍然可以做許多工作來保護網站,緩解惡意黑客對網站造成的風險。
不妨先從仔細審視互聯網上最常見的10種網絡攻擊開始,看看能夠採取哪些辦法來保護你的網站。
▶ 5種常見網站安全攻擊
DDoS攻擊本身不能使惡意黑客突破安全措施,但會令網站暫時或永久掉線。卡巴斯基實驗室《2017年IT安全風險調查》指出,單次DDoS攻擊可令小企業平均損失12.3萬美元,大型企業的損失水平在230萬美元左右。
DDoS旨在用請求洪水壓垮目標Web服務器,讓其他訪客無法訪問網站。殭屍網絡通常能夠利用之前感染的計算機從全球各地協同發送大量請求。而且,DDoS攻擊常與其他攻擊方法搭配使用;攻擊者利用DDoS攻擊吸引安全系統火力,從而暗中利用漏洞入侵系統。
保護網站免遭DDoS攻擊侵害一般要從幾個方面著手。首先,需通過內容分發網絡(CDN)、負載均衡器和可擴展資源緩解高峰流量。其次,需部署Web應用防火牆(WAF),防止DDoS攻擊隱蔽注入攻擊或跨站腳本等其他網絡攻擊方法。
中間人攻擊常見於用戶與服務器間傳輸數據不加密的網站。作為用戶,只要看看網站的URL是不是以HTTPS開頭就能發現這一潛在風險了,因為HTTPS中的“S”指的就是數據是加密的,缺了“S”就是未加密。
攻擊者利用中間人類型的攻擊收集信息,通常是敏感信息。數據在雙方之間傳輸時可能遭到惡意黑客攔截,如果數據未加密,攻擊者就能輕易讀取個人信息、登錄信息或其他敏感信息。
在網站上安裝安全套接字層(SSL)就能緩解中間人攻擊風險。SSL證書加密各方間傳輸的信息,攻擊者即使攔截到了也無法輕易破解。現代託管提供商通常已經在託管服務包中配置了SSL證書。
暴力破解攻擊是獲取Web應用登錄信息相當直接的一種方式。但同時也是非常容易緩解的攻擊方式之一,尤其是從用戶側加以緩解最為方便。
暴力破解攻擊中,攻擊者試圖猜解用戶名和密碼對,以便登錄用戶賬戶。當然,即使採用多台計算機,除非密碼相當簡單且明顯,否則破解過程可能需耗費幾年時間。
保護登錄信息的最佳辦法,是創建強密碼,或者使用雙因子身份驗證(2FA)。作為網站擁有者,你可以要求用戶同時設置強密碼和2FA,以便緩解網絡罪犯猜出密碼的風險。
儘管不是對網站的直接攻擊,使用由第三方創建的未經驗證代碼,也可能導致嚴重的安全漏洞。
代碼或應用的原始創建者可能會在代碼中隱藏惡意字符串,或者無意中留下後門。一旦將“受感染”的代碼引入網站,那你就會面臨惡意字符串執行或後門遭利用的風險。其後果可以從單純的數據傳輸直到網站管理權限陷落。
想要避免圍繞潛在數據洩露的風險,請讓你的開發人員分析並審計代碼的有效性。此外,確保所用插件(尤其是WordPress插件)及時更新,並定期接收安全補丁:研究顯示,超過1.7萬個WordPress插件(約佔研究當時採樣數量的47%)兩年內沒有更新。
網絡釣魚是另一種沒有直接針對網站的攻擊方法,但我們不能將它排除在名單之外,因為網絡釣魚也會破壞你係統的完整性。根據FBI《互聯網犯罪報告》的說法,其原因在於網絡釣魚是最常見的社會工程網絡犯罪。
網絡釣魚攻擊用到的標準工具就是電子郵件。攻擊者通常會偽裝成其他人,誘騙受害者給出敏感信息或執行銀行轉賬。此類攻擊可以是古怪的419騙局(屬於預付費欺詐類騙局),或者涉及假冒電子郵件地址、貌似真實的網站和極具說服力用語的高端攻擊。後者以魚叉式網絡釣魚之名廣為人知。
緩解網絡釣魚騙局風險最有效的辦法,是培訓員工和自身,增強對此類欺詐的辨識能力。保持警惕,總是檢查發送者電子郵件地址是否合法,郵件內容是否古怪,請求是否不合常理。另外,謹記:天上不會掉餡餅,事出反常必有妖。