如果您的员工始终使用没有防恶意软件的笔记本电脑,您的公司是安全的吗?大多数企业会说这是一种不负责任的方法。那么为什么许多企业会有网站和Web应用程序,根本没有保护?

“防病毒”(反恶意软件解决方案)被认为是Windows安装的标准元素 - 很难看一台没有人的计算机。然而,奇怪的是,许多企业才能完全安全地设置网站或Web应用程序,而无需关注它是否安全。这更令人惊讶,因为 Web访问数据库 通常包含比平均办公机更敏感的数据,例如客户个人信息。

以下是您应该将您的Web安全性视为个人计算机安全性和终端安全性的重点,为什么要对您的Web安全性和端点安全性进行多重的原因。

原因1.移动到云端

二十年前,网站只是简单,主要是静态演示 - 以某种方式进行数字广告牌。今天,我们中的许多人例如在线创建我们的文件而不是使用桌面文字处理器 - 通常是我们Windows计算机上安装的唯一软件是浏览器。即使还有一些像Slack这样的软件,它也使用Web接口与服务器通信。公司正在不经常使用自己的服务器。对于许多员工来说,台式计算机和笔记本电脑基本上是薄的客户端,只能让网络访问网络。

这意味着您的反恶意软件软件基本上保护了一台没有或特殊软件的空计算机,只是浏览器。这种计算机被攻击的唯一主要风险是攻击使得可以将登录凭据窃取到Web应用程序。

另一方面,所有数据,您的所有业务支持软件,其他一切都在网上或者很快就在那里。不幸的是,它通常完全没有保护。因此,虽然20年前的个人计算机安全性比Web安全更重要(因为网络几乎没有使用),但如今我们甚至会说Web安全性变得比个人计算机安全更重要。

原因2.易于攻击

使用恶意软件进行成功的攻击需要很多工作。即使攻击者使用易于可用的恶意软件,如同着名的特洛伊木马,它们仍然必须将该恶意软件提供给受害者。这意味着它们必须创建一个令人信服的网络钓鱼网站,一个令人信服的网络钓鱼电子邮件,并让人们安装木马。即使受害者安装恶意软件,攻击者也可能会发现受害者的计算机绝对没有任何价值,因为受害者通常是随机的。

另一方面,成功的Web攻击更容易,还有免费且轻松的工具,使攻击者更加简单。他们所要做的就是将工具指向您的网站和工具,该工具类似于漏洞扫描仪,找到弱点,并允许攻击者立即利用它们。这种攻击的成功概率很大,因为攻击者旨在瞄准特定受害者,并知道受害者有价值的信息。

数字犯罪分子喜欢让他们的生活变得容易。为什么创造盲人,复杂的网络钓鱼活动,希望能够在他们执行简单,自动化,有针对性的攻击并立即获得结果时结束一些有价值的数据?

理由3.外面没有帮助

如果您的组织正在使用着名的云服务提供商托管电子邮件帐户,您可以在服务器上有合理安全的安全性解决方案,以消除员工使用的计算机之前消除潜在威胁。这意味着根本不需要您的本地反恶意软件解决方案供电子邮件。

奇怪地,我们不知道任何在主机的内容上执行定期漏洞扫描的任何网络托管提供商。与云电子邮件提供商不同,Web托管提供程序通常不会提供除通用Web应用程序防火墙之外的任何一种保护,不会消除漏洞。

因此,直到Web漏洞扫描成为云提供商产品的一部分(如果有的话),您就是自己的。唯一可以在网站或Web应用程序中找到和消除严重漏洞的人是您的。这更像是你应该经常使用的原因  Web漏洞扫描仪.

理由4.攻击的可能性

如上所述,您的组织最肯定有反恶意软件解决方案服务器端,以满足您的所有电子邮件需求。这可以是着名的云提供商提供服务器端反恶意软件或您自己的服务器,您不会在没有反恶意软件的情况下离开。因此,通过电子邮件使通用恶意软件的概率在内。

从您访问的网站获取病毒的概率与您访问的网站一样低。这是因为除非您提供明确的权限,否则浏览器不会在计算机上安装任何内容。此外,您的员工通常不会访问可能正在扩散恶意软件的危险网站。因此,即使您完全安装了反恶意软件,即使在办公机器上获取恶意软件的可能性也很低。

另一方面, 您的网站或Web应用程序将成为通用攻击的目标的概率要高得多。这是因为黑色帽子黑客只是使用自动化软件来扫描可用的网站,然后扫描它们进行漏洞。如果您使用具有插件的任何类型的开源Web软件,例如WordPress,Joomla,Drupal,Magento等,您将冒着最多的风险。请记住:与您的办公室笔记本电脑不同,您的网站或Web应用程序暴露于公众,任何人都可以访问它并尝试破解它。

原因5.成为犯罪的配件

如果由于恶意攻击,您的业务就会成为犯罪的配件,而且可能比对您的业务直接攻击更糟糕的后果。它可能会花费大量的声誉,并可以将整个业务付出重大风险。因此,任何针对攻击的任何形式的保护也必须考虑到有人使用资源攻击别人的可能性。

基于恶意软件的攻击的目标通常是安装僵尸网络软件。然后用于这种软件用于对其他实体的大规模DDOS攻击。攻击者还可以安装Rogue VPN解决方案,然后用于隐藏攻击者的原始IP地址。

但是,您的Web应用程序也可能成为配件。例如,如果您的Web应用程序有一个 跨站点脚本(XSS) 漏洞,此漏洞可用于创建隐藏图像的网络钓鱼攻击。这种攻击的范围大于僵尸网络 - 僵尸网络用于一次攻击单个目标。网络钓鱼活动可以向数百万个目标发送到数百万个目标,然后将谁能看到您的可信赖的域,可能会成为骗局的受害者。

因此,如果您不想冒您的声誉危险,您应该确保您的网站和Web应用程序没有任何可用于攻击别人的漏洞。而有效地执行此操作的唯一方法是使用Web漏洞扫描仪,如Acunetix。

Source : //www.acunetix.com/blog/web-security-zone/5-reasons-why-web-security-is-as-important-as-endpoint-security/