小公司要上好四堂安全课

　　最近频发的社会工程事件、DDoS攻击和域名窃取案屡屡成为头条新闻。一些故事有圆满的结局，另一些故事则不然。下面四招可以防范安全风险。

　　现在关于黑客攻击的新闻已不再罕见，影响着数百万人，并要花费数百万美元来收拾残局。

　　虽然这些案例读起来触目惊心，但这种发生在各大企业和金融机构身上的安全事件对中小企业并没有太大参考价值。具体来说，中小企业部署的技术常常有别于大企业采用的技术，规模更小的IT团队要同时试图处理更多工作。

　　当然，小公司仍然没有理由忽视安全。信息技术今天已经普及到各行各业，而有了成熟的云服务，只要凭借互联网，企业就能迅速开展网上业务。这种高度数字化也意味着，网络黑客们足不出户，就能大搞破坏。为了帮助小公司应对这种危机四伏的形势，不妨先介绍最近影响小公司的一些实际生活中的安全场景，然后介绍防范这些问题的几个实用步骤。

　　谨防社会工程攻破云账户

　　一位叫做广岛直树的开发者GoDaddy（域名注册商）账户近期差点被黑客攻破，黑客攻击这个账户的目的是为了得到他的社交网络账号。他的社交网络账号非常醒目，只有一个字母N。很显然，这个社交网络账号很有价值，曾有人出价5万美元购买这个账号。黑客的手段是，先利用社会工程学拿到GoDaddy账户控制权，再登录账户管理域名以及密码重置邮箱（广岛将社交网络账号的密码重置邮箱地址设为了他注册的域名），最后借此拿到社交网络账号。虽然广岛及时修改了密码重置邮箱，使得这起错综复杂的攻击最终没有得逞。但是他为了保证GoDaddy账户的安全，不得不放弃使用那个醒目的社交网络账号。那个GoDaddy账户控制着对多个工作域名和网站的访问。

　　这里值得关注的是，黑客先对PayPal（电子支付工具）进行社会工程欺骗，诱骗PayPal泄露信用卡号末四位数字。随后，黑客利用这些信息，来验证GoDaddy账户，并获得成功。GoDaddy承认了其在事件中的过失，而PayPal认为自己没有问题。

　　谨防黑客劫持信息系统

　　黑客近期闯入了某云服务供应商在亚马逊EC2上的控制面板，并进行了敲诈勒索。有过同样经历的网站Code Spaces曾公开表示，一个身份不明的人在控制面板上留下了消息，说要对这家服务商发动分布式拒绝服务（DDoS）攻击。

　　当工作团队试图夺回控制面板的掌控权时，黑客实施了报复，随意删除了服务器上的内容。最终Code Spaces丢失了大部分在线存储以及所有的备份。由于无法恢复这些被删除的数据，Code Spaces最终宣布关闭。

　　Code Spaces在安全防护上有着明显失误，比如没有启用亚马逊的多因子验证，而且密码安全性太差。此外，这件事告诉我们，离线备份非常重要，或者说至少足不出户的黑客或不怀好意的员工无法触手可及的备份很重要。同时需要提醒的是，说到数据备份，别指望云服务提供商的承诺，要自己做好备份。

　　谨防攻击者窃取你的域名

　　窃取已开办的小公司的域名有利可图，专职的生活方式博客写手Jordan Reid在今年早些时候就发现了这一点。她掏出3万美元，买回了自己的域名。有个网络窃贼使用Web主机HostMonster的电子邮件确认系统，窃取了Reid的域名，然后将该域名转移到GoDaddy的一个私人账户。

　　一位朋友无意中发现了有人在一家在线拍卖网站上出售该域名，于是提醒Reid。然而，尽管双方多次交涉，事情还是陷入僵局：GoDaddy表示爱莫能助，HostMonster则拒绝启动域名转移争端解决程序以追回该域名。

　　最后，Reid自己解决了问题：请朋友从黑客手里买下该域名。拿到域名控制权后她迅速将域名转移出去，并成功地要求银行停止电汇付款。一言以蔽之，她骗过了那个网络犯罪分子，因而避免了可能是一场代价高昂、旷日持久的诉讼。

　　这个故事有什么教训？你的域名可能比你认为的要值钱得多。万一域名被偷，想夺回控制权不如想象的那么简单。另外别忘了，控制域名可以让攻击者拦截所有电子邮件，只要修改邮件交换记录、指向自己的服务器。小公司应采取合适的措施保护域名，而不是事后哀叹域名丢失。

　　用验证和备份保护小公司

　　从上述安全事件可以总结出小公司可采取的以下四个步骤，保护自己远离黑客。这些措施并不全面，但切合实际，实施起来也很简单。目的是为了提高安全标准，防止黑客和社会工程伎俩，那样他们会将目标转移到其他潜在受害者。

　　使用双因子验证 想当初，双因子验证被认为是一种高端技术，只用来保护高价值账户。使用单一密码也不够安全，如果考虑到如今网上保存的海量数据，更是如此。实际上，一切都是高价值目标。此外，狡猾的恶意软件会感染智能手机，自动窃取在线银行账户的第二个因子密码，在警报发出之前就把钱划走。

　　使用单独的密码重置地址 大多数在线服务要求用户提供一个备用邮箱地址，可以用于密码重置。如上所述，将该地址配置成主邮箱地址实际上使得这些措施变成了单一突破点，大大增加了黑客闯入的机会。

　　正因为如此，明智的做法是在不相关的电子邮件账户上设置邮箱地址，最好是驻留在单独域名上的账户。Gmail和Outlook等服务在这方面也许值得考虑。为了避免沦为黑客或社会工程伎俩的目标，别使用这个账户来收发日常邮件，也不要与别人共享，另外采用可靠的密码和双因子验证来保护。

　　保护你的域名 要是域名注册商有隐私保护服务的话，请考虑多花点钱注册这项服务。这可以减少企图实行社会工程或网络钓鱼攻击的黑客所能获得的数据量。一些域名注册机构允许域名锁定起来，防止未经授予的转移，有时这作为一项收费服务，同样值得花钱。

　　此外，注册自动更新域名也是个好办法，可以防止域名到期后落到别人手里。许多小公司可能没有意识这点，但有很多人使用自动程序来监视快要到期的域名，一旦域名到期，就占为己有，然后再以高价卖回给原来的域名所有者。务必要保护好与域名有关的管理员电子邮件账户，因为它有权授予转移到另一个注册机构。

　　定期制作离线备份 对如今现有的所有在线存储服务而言，定期备份重要数据仍然很有必要。将数据离线存储，或者存储在黑客无法轻易访问得到的地方，那样就算黑客闯入了贵公司的某个部门也不会造成损害。现在有众多适合中小企业离线备份的存储介质，比如直接连接存储（DAS）、网络附加存储（NAS）设备、磁带驱动器，甚至还有使用另一套登录资料保护的单独在线服务。

　　另外的提示包括：针对不同服务提供商使用不同信用卡，并针对多家云服务提供商使用独立的身份。

　　最终，小公司必须密切关注相关的安全泄密事件，并设计和采用相应措施，堵住黑客在别处能够得逞的安全漏洞。安全战永远不会结束，但如果有一点勤奋和努力，小公司没理由不能做到高枕无忧。

　　Paul Mah

　　（编译/沈建苗）