歐盟最近遭到大規模的分散式阻斷服務攻擊(DDoS),使歐盟的內部網路連線受到影響數個小時,使歐盟內部營運作業受到影響。這些攻擊試圖通過大量虛假訊息,阻擋真實用戶訪問伺服器或網絡。犯罪分子多因有利可圖而發動網絡攻擊,故網上零售市場更容易成為其主要目標。
事實上每年都會有網站遭到黑客攻擊及敏感數據被竊取,保護客戶數據及保護網站免受惡意攻擊是刻不容緩的。以下有 10 種方法讓企業在這個假期中免受黑客攻擊。
使用安全連接進行網上結算
SSL(Secure Sockets Layer)證書能驗證用戶身份,並將交易數據加密,以保障信用卡及其他重要數據在網絡傳送過程中的安全。如果網站使用了 SSL 的擴展驗證證書,用戶的瀏覽器的地址欄會變成綠色,給他們一個視覺指示,顯示網站是安全及值得信賴的。
設置系統警報偵測可疑活動
例如監察來自同一個 IP 地址的多個交易數據、同一個人使用不同的信用卡或電話號碼提交多個訂單,並必須確認訂單收件人的姓名與信用卡或借記卡的姓名一致,避免可疑的交易。
別儲存敏感數據
讓客戶在他們的帳戶中儲存信用卡資料雖然可以令他們結賬更快更方便。然而,公司是不應該儲存已完成交易的所有數據,例如信用卡到期日及安全碼等。支付卡產業安全標準(PCI) 亦是嚴禁商戶存儲所有這些數據的。
把安全級別分為不同層次
從網上商店平台開始,必須確保其他的管理板面等均不會受到網絡黑客的攻擊,並時刻更新平台至最新版本中。切記要在同一天為平台安裝更新功能。這包括 Web 服務器自身以及第三方的代碼如 Java、Python、Perl、WordPress 和 Joomla。 而防火牆或多層防火牆,則是防止攻擊者進行網絡攻擊的重要部分。
定期監察你的網站
確保網站托管公司定期監察網站。在網站上安裝實時分析工具與實體商店中安裝安全攝錄機的道理一樣。這些工具都可以讓你即時監察網站訪問者在你的網站上的互動,幫助檢測欺詐行為。
定期執行 PCI 掃描
PCI 合規並不是一次性的事情,定期執行PCI掃描檢查,確保你的網站不會容易受到黑客的入侵及攻擊。同時檢查你的託管合作夥伴或服務提供商是否符合 PCI 標準。
確保你已有 DDoS 防護及緩解服務
隨著 DDoS 攻擊的頻率和複雜性變得越來越高。網上商店平台應該轉向具有處理主動緩解的能力的 DDoS 保護和管理的 DNS 服務供應商。讓你不需要再於設備、基礎設施和專業知識上大量投資。
確保你或你的網站託管公司有進行備份以及災難恢復計劃
數據存儲的成本已經顯著下降。來自多個服務器的數據可以在單個存儲設備上進行組合,讓你在捆綁到存儲設備的備份/恢復解決方案中獲益。你必需以同等的警覺性對待備份數據及主存儲設備。最後,確保你或你的託管服務提供商有一個災難恢復計劃。
教育和培訓你的員工
通過與客戶安全相關的法律和政策教育,防止有機會發生的網絡攻擊。員工應該對網絡詐騙及欺詐手段收集數據的行為有充份認識,防止犯罪分子有機會收集到公司數據。
定期測試你網上商店平台是否存在安全漏洞
你可以考慮聘請網絡安全顧問或道德黑客來找出網站中存在的弱點。通過滲透測試可以揭示應用程序、代碼或體系結構中的問題,讓你預先解決這些問題。
Gartner 預測, 60% 的企業訊息安全預算於 2020 年將用於快速檢測和響應方案。2016 年用於該方案的份額不到30%。預先制定一套安全計劃是一個好的開始,但與此同時,企業需定期測試安全計劃。請謹記要找一間可以為你提供全方位安全服務的管理供應商,隨時主動解決你所遇到的任何 IT 威脅,令團隊專注於核心業務發展。
作者:Ajit Melarkode
Rackspace 亞洲區董事總經理和副總裁
