La seguridad de la información debe ser un proceso repetible y deben implementarse medidas de seguridad efectivas “razonables”, tales como:
1. Asegúrese de que el sitio web http://quora.com se someta periódicamente a pruebas rigurosas de aplicaciones web, tanto de forma manual como automática, y corrija las vulnerabilidades críticas. Utilice las herramientas de aplicaciones web estándar de la industria y escanee contra las 10 mejores prácticas de seguridad de la industria de OWASP para vulnerabilidades como XSS, mensajes de error detallados, etc.
2. Asegúrese de que la seguridad de su plataforma cuente con el último software AV que se ejecuta realizando actualizaciones de seguridad periódicas
3. Diseñe la infraestructura de forma segura de acuerdo con los principios conocidos de defensa en profundidad
4. Asegúrese de que http://www.quora.com esté efectivamente protegido contra ataques DDoS por disponibilidad
5. SSL en todas partes (requiere que todas las páginas utilizadas en Quora sean SSL); Cuando se usa SSL, asegúrese de que se esté utilizando la última versión de SSL -SSLv3. También asegúrese de que los cifrados criptográficos estén encriptados utilizando algoritmos estándar de la industria.
5. Monitorear constantemente contra los vectores de amenazas y ataques conocidos de la industria y mejorar el modelo de seguridad
6. Realice el modelado de amenazas contra la aplicación (como promocionar / agregar créditos para un usuario (sin aprobación) o Controlar los correos electrónicos no deseados / phishing / virus en los blogs / publicaciones)
A raíz de las infracciones de seguridad de WordPress y Snapchat, estoy muy seguro de que Quora incorporará estas prácticas de seguridad.
- ¿Cómo se usan las estadísticas, el aprendizaje automático y la ciencia de datos en ciberseguridad?
- Virus informáticos: ¿Cómo funciona el virus Flame?
- Cómo descifrar un mensaje cifrado si tengo un texto alfanumérico y una clave cuando no conozco el algoritmo en el que se cifró el texto
- ¿Cómo debo aprender a crear un antivirus?
- ¿Qué es el malware Ghost Push?