一些对话很容易，有些则很难。有的和谐，有的辛苦。但说到网站安全问题，人们的谈话令人困惑。理论上，每个组织都同意，他们的网站需要安全。但实际上，在投入足够的时间和预算方面存在阻力。忽略安全性的原因包括对Web应用程序安全性的误解。下面我概述了一些最常见的神话和误解，它们通常会使你的网站面临严重的安全风险。我的网站不是攻击的目标，因为它很小，而我运行的是一个小的公事公办小企业网站平均每天被攻击44次。此外，一个低调的网站是黑客尝试新工具和新技术的好地方。黑客经常使用自动化工具来发现各种易受攻击的网站，并且在目标大小方面不加区分。任何web应用程序，即使它本身不是目标，也可能会引起攻击者的兴趣。安全性不严格的Web应用程序很容易被黑客选中，并可能受到大规模或有针对性的网络攻击攻击。那个好消息是，有越来越多的安全服务来帮助保护网站免受那些自动化脚本的攻击。另外，这些服务也很实惠。例如，Cloudflare提供了一种免费且价格合理的服务来减轻这些类型的攻击。我们已经好几年没被攻击过了，所以没什么好担心的，只是因为你看不到攻击，并不意味着它不会发生。根据其中一项研究，在任何时候，全世界有1870万个网站被某种形式的恶意软件感染。在雷达下飞行的自动网络攻击正在大规模地破坏企业。一些机器人非常擅长于在合法的伪装下进行操作用户。偶数如果您的站点没有受到攻击，那么有一些易于使用、非规避的安全服务，如Cloudflare，可以提供保护和对网站流量的可见性，从而让您的商业。安全没有投资回报率。无论行业、公司规模、产品或服务如何，我们宁愿投资于新的收入机会，网络安全在当今商业世界至关重要。处理数据泄露的各种后果（如客户信任的丧失、品牌声誉的丧失、合规罚款等）的处理成本远远高于为保护网站。The数字经济通过连接人员、流程和数据为许多组织提供商机。任何组织都应避免可能破坏其业务和削弱客户信心的攻击。幸运的是，有几种以数字为中心的网络安全服务，如Cloudflare，可以抵消黑客开发的时间和智能优势。这类服务提高了业务响应能力和风险缓解能力，从而提高了竞争力优势。网站渗透测试保证了必要的安全保护渗透测试是而且应该是web应用程序安全的重要组成部分，但它绝不应该是测试安全性的唯一手段。随着应用程序堆栈中包含了大量新技术，安全性变得越来越复杂。虽然传统的渗透测试只覆盖web应用程序的外围区域，但它无法扩展到覆盖应用程序堆栈的每一层。Web应用程序安全包括保护整个应用程序堆栈，从第1层到第7层（OSI模型）。现代应用程序安全还包括整个生产系统的固有安全性—包括用于交付它的技术、工具和实践，以及整个DevOps堆栈的开发和生产环境和文化。许多现代安全服务，如Cloudflare，允许组织满足应用程序堆栈所有层的安全需求。这同时也确保了DevOps堆栈在所有层都是安全的，一直到环境中使用的核心基础设施，我已经彻底测试了我的网站，并修复了大多数已知的错误。我的网站是完全安全的现在安全也是关于不断监测和测试你的应用程序的完整堆栈。在最新的白帽研究中，进行安全测试的组织平均有多达10个漏洞，只有50%的漏洞得到修复。现代网站在不断变化。每一行新的代码都有可能引入新的安全问题。良好的安全实践包括对网站的流量模式和安全态势进行"可见性"和必要的"验证"。许多现代的网络监控工具，如googlealerts，提供了价格合理、易于使用的可见性和验证策略。衡量web应用程序安全性的能力对于任何拥有面向web资产的企业来说都是至关重要的。攻击指标，如坏名声的数据（IP，跟踪ID），国家和IP的攻击，最受攻击的网址等，需要衡量。这些数据提供了关于当前和新兴市场的背景、意识和可采取行动的回应威胁。现代Cloudflare之类的安全服务与web监视工具相结合提供了必要的可见性，并验证了站点的正确安全措施是否到位。网站安全是安全团队的唯一责任。当每个人都在一起工作时，安全就起作用了。在一个组织中，安全是每个人的责任。世界上最好的公司都避免采用竖井式的公司结构，这使得它们不太容易受到数据丢失和服务中断的影响。相反，他们专注于开发系统，将技术、流程、安全措施、管理（人员）和系统结合到一个单一的综合威胁保护中框架最佳实践总是针对不同的涉众（开发团队、安全团队、IT团队，管理层）进行有效沟通，以便更好地了解各自的角色，以及他们实际上是如何相互依赖来维护业务的行动。我们使用云。我们将使用各种云安全工具，我们将得到保护云计算带来的好处包括更低的固定成本、灵活性、自动软件更新、增强协作以及在任何地理位置工作的自由地点。而许多组织看到了这些好处，并将其资产转移到云端（至少部分），云架构也带来了新的安全挑战。随着云端平台的出现，攻击面积增加了。在最近的一段时间里，云服务的错误配置导致了数据泄露。虽然许多知名的云提供商（如AWS、GCP、Azure）提供安全工具和服务，但工具的正确配置和应用程序安全的责任仍然取决于使用这些工具的组织。许多专注于安全的组织在面向web的资产中使用云服务，在其云网络的边缘添加了额外的安全服务层。很少有与云无关的现代安全服务可以位于云的网络边缘并提供额外的一层安全。做这些话听起来像是在敲警钟？如果是这样，也许你需要更新你的组织处理这些问题的方式？有了这种新的思维方式，你就可以向前迈进了。Cloudflare的安全服务可以帮助您和您的组织加强安全措施。Cloudflare的安全服务为组织的web资产提供了易于配置的弹性和适当级别的保护。这使得公司能够专注于构建新的商业机会和服务，同时在网络资产的安全性上花费最少的精力。