現(xiàn)在關(guān)于黑客攻擊的新聞已不再罕見，影響著數(shù)百萬人，并要花費數(shù)百萬美元來收拾殘局。

雖然這些案例讀起來觸目驚心，但這種發(fā)生在各大企業(yè)和金融機(jī)構(gòu)身上的安全事件對中小企業(yè)并沒有太大參考價值。具體來說，中小企業(yè)部署的技術(shù)常常有別于大企業(yè)采用的技術(shù)，規(guī)模更小的IT團(tuán)隊要同時試圖處理更多工作。

當(dāng)然，小公司仍然沒有理由忽視安全。信息技術(shù)今天已經(jīng)普及到各行各業(yè)，而有了成熟的云服務(wù)，只要憑借互聯(lián)網(wǎng)，企業(yè)就能迅速開展網(wǎng)上業(yè)務(wù)。這種高度數(shù)字化也意味著，網(wǎng)絡(luò)黑客們足不出戶，就能大搞破壞。為了幫助小公司應(yīng)對這種危機(jī)四伏的形勢，不妨先介紹最近影響小公司的一些實際生活中的安全場景，然后介紹防范這些問題的幾個實用步驟。

謹(jǐn)防社會工程攻破云賬戶

一位叫做廣島直樹的開發(fā)者GoDaddy（域名注冊商）賬戶近期差點被黑客攻破，黑客攻擊這個賬戶的目的是為了得到他的社交網(wǎng)絡(luò)賬號。他的社交網(wǎng)絡(luò)賬號非常醒目，只有一個字母N。很顯然，這個社交網(wǎng)絡(luò)賬號很有價值，曾有人出價5萬美元購買這個賬號。黑客的手段是，先利用社會工程學(xué)拿到GoDaddy賬戶控制權(quán)，再登錄賬戶管理域名以及密碼重置郵箱（廣島將社交網(wǎng)絡(luò)賬號的密碼重置郵箱地址設(shè)為了他注冊的域名），最后借此拿到社交網(wǎng)絡(luò)賬號。雖然廣島及時修改了密碼重置郵箱，使得這起錯綜復(fù)雜的攻擊最終沒有得逞。但是他為了保證GoDaddy賬戶的安全，不得不放棄使用那個醒目的社交網(wǎng)絡(luò)賬號。那個GoDaddy賬戶控制著對多個工作域名和網(wǎng)站的訪問。

這里值得關(guān)注的是，黑客先對PayPal（電子支付工具）進(jìn)行社會工程欺騙，誘騙PayPal泄露信用卡號末四位數(shù)字。隨后，黑客利用這些信息，來驗證GoDaddy賬戶，并獲得成功。GoDaddy承認(rèn)了其在事件中的過失，而PayPal認(rèn)為自己沒有問題。

謹(jǐn)防黑客劫持信息系統(tǒng)

黑客近期闖入了某云服務(wù)供應(yīng)商在亞馬遜EC2上的控制面板，并進(jìn)行了敲詐勒索。有過同樣經(jīng)歷的網(wǎng)站Code Spaces曾公開表示，一個身份不明的人在控制面板上留下了消息，說要對這家服務(wù)商發(fā)動分布式拒絕服務(wù)（DDoS）攻擊。

當(dāng)工作團(tuán)隊試圖奪回控制面板的掌控權(quán)時，黑客實施了報復(fù)，隨意刪除了服務(wù)器上的內(nèi)容。最終Code Spaces丟失了大部分在線存儲以及所有的備份。由于無法恢復(fù)這些被刪除的數(shù)據(jù)，Code Spaces最終宣布關(guān)閉。

Code Spaces在安全防護(hù)上有著明顯失誤，比如沒有啟用亞馬遜的多因子驗證，而且密碼安全性太差。此外，這件事告訴我們，離線備份非常重要，或者說至少足不出戶的黑客或不懷好意的員工無法觸手可及的備份很重要。同時需要提醒的是，說到數(shù)據(jù)備份，別指望云服務(wù)提供商的承諾，要自己做好備份。

謹(jǐn)防攻擊者竊取你的域名

竊取已開辦的小公司的域名有利可圖，專職的生活方式博客寫手Jordan Reid在今年早些時候就發(fā)現(xiàn)了這一點。她掏出3萬美元，買回了自己的域名。有個網(wǎng)絡(luò)竊賊使用Web主機(jī)HostMonster的電子郵件確認(rèn)系統(tǒng)，竊取了Reid的域名，然后將該域名轉(zhuǎn)移到GoDaddy的一個私人賬戶。

一位朋友無意中發(fā)現(xiàn)了有人在一家在線拍賣網(wǎng)站上出售該域名，于是提醒Reid。然而，盡管雙方多次交涉，事情還是陷入僵局：GoDaddy表示愛莫能助，HostMonster則拒絕啟動域名轉(zhuǎn)移爭端解決程序以追回該域名。

最后，Reid自己解決了問題：請朋友從黑客手里買下該域名。拿到域名控制權(quán)后她迅速將域名轉(zhuǎn)移出去，并成功地要求銀行停止電匯付款。一言以蔽之，她騙過了那個網(wǎng)絡(luò)犯罪分子，因而避免了可能是一場代價高昂、曠日持久的訴訟。

這個故事有什么教訓(xùn)？你的域名可能比你認(rèn)為的要值錢得多。萬一域名被偷，想奪回控制權(quán)不如想象的那么簡單。另外別忘了，控制域名可以讓攻擊者攔截所有電子郵件，只要修改郵件交換記錄、指向自己的服務(wù)器。小公司應(yīng)采取合適的措施保護(hù)域名，而不是事后哀嘆域名丟失。

用驗證和備份保護(hù)小公司

從上述安全事件可以總結(jié)出小公司可采取的以下四個步驟，保護(hù)自己遠(yuǎn)離黑客。這些措施并不全面，但切合實際，實施起來也很簡單。目的是為了提高安全標(biāo)準(zhǔn)，防止黑客和社會工程伎倆，那樣他們會將目標(biāo)轉(zhuǎn)移到其他潛在受害者。

使用雙因子驗證 想當(dāng)初，雙因子驗證被認(rèn)為是一種高端技術(shù)，只用來保護(hù)高價值賬戶。使用單一密碼也不夠安全，如果考慮到如今網(wǎng)上保存的海量數(shù)據(jù)，更是如此。實際上，一切都是高價值目標(biāo)。此外，狡猾的惡意軟件會感染智能手機(jī)，自動竊取在線銀行賬戶的第二個因子密碼，在警報發(fā)出之前就把錢劃走。

使用單獨的密碼重置地址 大多數(shù)在線服務(wù)要求用戶提供一個備用郵箱地址，可以用于密碼重置。如上所述，將該地址配置成主郵箱地址實際上使得這些措施變成了單一突破點，大大增加了黑客闖入的機(jī)會。

正因為如此，明智的做法是在不相關(guān)的電子郵件賬戶上設(shè)置郵箱地址，最好是駐留在單獨域名上的賬戶。Gmail和Outlook等服務(wù)在這方面也許值得考慮。為了避免淪為黑客或社會工程伎倆的目標(biāo)，別使用這個賬戶來收發(fā)日常郵件，也不要與別人共享，另外采用可靠的密碼和雙因子驗證來保護(hù)。

保護(hù)你的域名 要是域名注冊商有隱私保護(hù)服務(wù)的話，請考慮多花點錢注冊這項服務(wù)。這可以減少企圖實行社會工程或網(wǎng)絡(luò)釣魚攻擊的黑客所能獲得的數(shù)據(jù)量。一些域名注冊機(jī)構(gòu)允許域名鎖定起來，防止未經(jīng)授予的轉(zhuǎn)移，有時這作為一項收費服務(wù)，同樣值得花錢。

此外，注冊自動更新域名也是個好辦法，可以防止域名到期后落到別人手里。許多小公司可能沒有意識這點，但有很多人使用自動程序來監(jiān)視快要到期的域名，一旦域名到期，就占為己有，然后再以高價賣回給原來的域名所有者。務(wù)必要保護(hù)好與域名有關(guān)的管理員電子郵件賬戶，因為它有權(quán)授予轉(zhuǎn)移到另一個注冊機(jī)構(gòu)。

定期制作離線備份 對如今現(xiàn)有的所有在線存儲服務(wù)而言，定期備份重要數(shù)據(jù)仍然很有必要。將數(shù)據(jù)離線存儲，或者存儲在黑客無法輕易訪問得到的地方，那樣就算黑客闖入了貴公司的某個部門也不會造成損害?，F(xiàn)在有眾多適合中小企業(yè)離線備份的存儲介質(zhì)，比如直接連接存儲（DAS）、網(wǎng)絡(luò)附加存儲（NAS）設(shè)備、磁帶驅(qū)動器，甚至還有使用另一套登錄資料保護(hù)的單獨在線服務(wù)。

另外的提示包括：針對不同服務(wù)提供商使用不同信用卡，并針對多家云服務(wù)提供商使用獨立的身份。

最終，小公司必須密切關(guān)注相關(guān)的安全泄密事件，并設(shè)計和采用相應(yīng)措施，堵住黑客在別處能夠得逞的安全漏洞。安全戰(zhàn)永遠(yuǎn)不會結(jié)束，但如果有一點勤奮和努力，小公司沒理由不能做到高枕無憂。 （編譯/沈建苗）