摘要:发动攻击的有Anonymous、从Anonymous分立出去的另一黑客组织LulzSec以及"反安全"浪潮的其他不属于任何组织的黑客,他们以暴露安全漏洞,抛售暴露的数据、电子邮件文件夹及其他敏感信息为乐事。 |
Henry说:"我知道这个做法很极端,但我只能这么做。"
当然,选用复杂而独特的密码存在的缺点是,要记住这些密码就算并非不可能,至少也很困难。他说:"于是,我将它们按只有我知道的顺序记下来,并制成一张塑封卡放在钱包里。"
他还使用那些秘密问题的虚假答案,以便在网上验证用户身份。"我对于主要帐户的秘密问题有不同的答案。我的生日不对,我母亲的娘家姓也不对",旨在进一步保护其在线帐户的安全。
优利系统公司的全球安全解决方案副总裁Steve Vinsik也提议,为每一个帐户采用复杂的密码;并且每隔30天就更新密码。他还建议采用多因子验证机制,而不仅仅是标准的用户名和密码:有权访问敏感数据的管理员及其他帐户应使用生物特征等第二个安全因子。
Unveillance公司的Hijazi表示,多因子验证正渐渐成为大多数企业的一种比较实际的选择。Hijazi说:"多因子验证正成为确保安全运营的一个日益明显的层面,不管贵公司的规模有多小。"
3、消除SQL注入、XSS及其他常见的网站漏洞。
除了采用谷歌黑客攻击手段查找自己的安全漏洞外,对网站和应用程序执行漏洞扫描和评估工作也非常有助于将一些黑客拒之门外。像SQL注入和XSS这些常见的、很容易被利用的漏洞是LulzSec及其他攻击者最先寻找的一些对象,以便偷偷潜入攻击目标的系统。
优利系统公司的Vinsik建议,还要在自己的网络上执行渗透测试,以便找出漏洞,一定要补救这些漏洞。
Unveillance公司的Hijazi说:"如果贵企业是一家在网上颇有知名度的企业,就有必要证实你的Web应用程序已经过了全面深入的检查,找出安全漏洞--以LulzSec为例,这个漏洞具体就是指SQL注入。在许多情况下,开发期间一项到位的软件开发生命周期(SDLC)计划能够找出大多数软件缺陷,但是确保补丁版本最新或者更新LAMP堆栈或Windows服务器环境从来是有益无害。"
4、让第三方机构托管你的网站。
实际上没有办法预防大规模的分布式拒绝服务攻击(DDoS),不过有一些方法可以缓解这种攻击的风险,比如缓送技术(tarpitting),或者迫使DDoS僵尸机器发送比较少的流量以及阻止不良的IP地址。但是大多数企业根本就缺少防范DDoS所需的设备和资源。