根据最新的Verizon数据泄露调查报告，网络攻击正在不断上升。黑客与企业防守者之间的猫和老鼠的游戏不断升级。防守者创造更好的捕鼠器，黑客创造更好的老鼠。新的威胁总是不断出现，每个企业都应该保持关注网络安全的最新动态。

最近劳埃德保险在对350家欧洲公司进行的一项调查发现，在过去五年中，每10家中有9家遭受了严重的网络攻击。这并不是一个新消息，单次攻击对您公司的声誉和财务状况造成的损坏可能可以挽回，但需要一个极其昂贵的恢复过程。更糟的是，并不是每次攻击造成的损坏都是可以恢复的，特别是对于中小型企业。美国网络安全联盟发现，60％的小企业在网络攻击后六个月内无法维持业务。

今天，中兴奥德给您5个简单的步骤，用来加强您企业的Web应用程序的安全性，并最大限度地降低成功攻击的风险：

1.了解您的敌人

知识就是力量。如果您了解通常被攻击者利用的主要Web应用程序安全漏洞，您可以采取必要的对策来关闭每个易受攻击的入口点。我们建议您最好从OWASP十大安全风险开始， 其目标是通过识别企业面临的一些最重要的安全风险，提高应用程序安全性的意识。在OWASP十大安全风险文件中，您将找到有用的信息，帮助您了解不同的漏洞以及如何防止这些漏洞。

2.遵循最佳实践

如果您计划自己增加Web应用程序的安全性，请尝试使用已经集成在您的框架上的应用程序和工具。每个框架都有许多安全功能，可帮助您缓解主要漏洞。如果不是必要的情况，请避免编写自己的安全代码，并且尽可能使用熟知和审查的代码。

3.加强基础架构

许多公司最常犯的错误之一，是Web应用程序是建立在不完全的基础架构之上。请记住，链条的安全性取决于它最薄弱的一环，其中大多数链接将被攻击者扫描。因此，需要一个服务器加固的过程来确保Web应用程序的底层安全性。中兴奥德强烈推荐CIS基准 – 基于共识的最佳实践安全配置指南，被政府，企业，行业和学术界开发和接受。另一种加固基础设施的方法是在您的Web应用程序的前端部署Web应用程序防火墙（WAF）。WAF可以防御已知和未知的威胁（零日攻击），它可以大大增加您的网络安全，但不能替代。

4.提高公司内部的安全意识

信息安全的最大威胁之一可能来自您的企业内部，我们不是指内部的攻击者，而是指一些非恶意的、不知情的员工。他们可能通过使用恶意软件登录到您的Web应用程序，或将其登录信息存储在不安全的位置从而损害您企业的信息安全。因此，增加Web应用程序安全性的一种方法是认真培训使用该程序的人员。当然，如果应用程序可供公众使用，培训最终用户可能是一项艰巨的任务，但您可以（并且您应该）至少培训您的Web应用程序管理员。确保公司员工不会在信息安全方面犯严重的错误的最好的方法之一是建立公司安全意识培训。在培训中，应该注意安全的各个方面，访问和使用公司网络应用程序应该是其中的一个主题。精心设计的安全意识培训可以帮助员工对公司安全政策，程序和最佳防范方法有深入了解。

5.定期评估Web应用程序的安全性

如本文开头所提到的，新的威胁在不断的出现，必须采取新的对策进行保护。因此，您的Web应用程序必须定期进行的安全评估以找到新的漏洞，并尽快对其进行修补。一个好的“经验法则”是每年重新评估您的应用程序。有许多工具可用于自动发现漏洞，但通常这样一个敏感的问题是由专业人士处理。您可以从网络安全公司购买不同的服务，以发现您的Web应用程序的缺陷，例如：
● 渗透测试 – 采取自动和手动测试组成的混合方法，由安全专家尝试在网络罪犯之前识别漏洞。
● 安全代码审查 -分析应用程序的代码可以发现一些没能被发现的漏洞，因此，安全代码审查服务是对渗透测试服务进行补充。
保持Web应用程序安全性是一个持续性挑战，并且由于昂贵和耗时，所以您将采取的安全措施将不足以实现100％的防御。但不要误会，所有可以帮助您的公司在网络攻击下生存都值得付出努力。

“不做准备，那你就准备失败吧”

中兴奥德在开发，保护和评估Web应用程序方面拥有长期的经验。如果您寻求建议以增加企业网络应用程序的安全状态，请联系我们！