互联网安全企业RedSiren负责产品策略的副总裁Nick Brigman建议:公司网站应该积极采用"最小特权原则"(rule of least-privilege)。一方面必须确保赋予使用者"必不可少"的功能操作,另一方面需要警惕IT安全管理的执行。他指出:首先应该为公司网站确定目标和使用权限。如果公司设立网站的目标仅仅在于吸引更多的客户关注,把他们导向销售团队,那么不需要将公司的内部信息公布在网站上。 Brigman进一步解释说,过多的信息可能会泄露公司的商业机密。
RedSiren公司为客户提供了一项名为"公开信息侦察"(public information reconnaissance)的服务,它能够在互联网上搜索任何找得到的、与客户有关的公开讯息。Brigman说:"通常说来,只要多花费一些时间,就能够获取到想要的信息。甚至一些仅供内部参考的网页也可能被搜获,因为这些网页被不经意的上载。即便是公司网站并未提供这些网页链接的情况下,只需利用Google或其他搜索引擎强大的索引功能,便能进行相关的信息查找和利用"。
Ray Donahue建议:公司需要对他们网站上公布的其他联系方式进行测试。例如:如果公司在网站上公布了一个用于解答用户问题的电话号码,那么需要确定的是,负责回答该电话线路的工作人员应该清楚哪些信息是用于共享的。警惕那些心怀恶意的询问者,期望借此机会窃取公司内部重要信息和客户资料,或者从事其他破坏活动。
Ray Velez解释这一做法是考虑到程序开发者的相关技术评论可能泄露某些重要信息,如你正在运行的技术类型,及其破解之道。这些技术评论可能会出现在终端用户的浏览器中。Velez提醒说,黑客通常喜欢浏览讯息留言板或相关的贴文,因此他们很清楚最新发布的安全补丁用于修复何种漏洞。这种隐患的存在,无论对未进行最新补丁升级的公司或者个人来说,都意味着将面临被攻击的可能。因此,必须警惕黑客试图利用这些"开发者"的技术评论作为破解网站安全防护的指南。