آیا می خواهید امنیت شما به بهانه هایی بنا شود؟


نظر: آیا کلیدهای اتومبیل خود را فقط به این دلیل راحت تر از ایمن سازی اتومبیل خود در آتش می گذارید؟ اگر اینگونه نیست ، چرا هنگام تصمیم گیری درباره امنیت داده های حساس و اعتبار تجاری خود چنین بهانه هایی را به دست می آورید؟

در دنیای امنیت سایبری تعادل بین خطرات و اقدامات امنیتی کاملاً طبیعی است. از این گذشته ، راهی برای دستیابی به امنیت مطلق وجود ندارد و بنابراین باید بگویید جلوی خودت را بگیر جایی با این حال ، اگر به بهانه ها اعتماد کنید و تهدیدها را دست کم بگیرید ، احتمالاً قربانی یک حمله جدی خواهید شد. مجرمان اینترنتی هوشمند هستند – آنها به کسانی حمله می کنند که این کار را برای آنها آسان می کنند.

من دیده ام که مشاغل از اهمیت برنامه های تحت وب کمتر از مثلاً داشتن آنتی ویروس استفاده می کنند. اگر یک کسب و کار فقط یک سایت بازاریابی وردپرس ساده داشته باشد ، می توانم چنین رویکردی را درک کنم. با این حال ، اگر کسب و کار برنامه های وب حرفه ای B2B را برای شرکت های عظیمی که از این برنامه های وب برای پردازش تعداد زیادی از اطلاعات حساس استفاده می کنند ، توسعه دهد ، نمی توانم از این بی احتیاطی استفاده کنم! و با این حال ، بله ، این اتفاق می افتد!

در اینجا برخی از بهانه هایی است که من در مورد امنیت برنامه های وب شنیده ام. من آنها را برای کمک به شما در جلوگیری از چنین دامهایی هنگام تصمیم گیری در مورد چگونگی ادامه سفر استفاده می کنم.

“نرم افزار ما فقط برای استفاده داخلی است ، بنابراین خطر حمله وجود ندارد”

این فرض که هکرهای مخرب فقط به برنامه های وب که در معرض دید عموم قرار دارند حمله می کنند ، یکی از دلایل اصلی نقض عمده داده ها است. مشاغل داخلی نه تنها در دنیای امنیت سایبری کاملاً رایج است ، بلکه مهاجمان می توانند به شبکه داخلی راه پیدا کنند و از آنجا به برنامه های وب داخلی دسترسی پیدا کنند.

شما باید همیشه با امنیت برنامه های وب خود به یک روش برخورد کنید ، چه در معرض دید عموم باشد ، چه فقط از طریق شبکه های داخلی و VPN استفاده شود و چه توسط فیلتر و تأیید اعتبار IP محافظت شود. این بدان معنی است که ، به عنوان مثال ، اگر برنامه شما فقط از طیف وسیعی از آدرس های IP قابل دسترسی باشد و احتیاج به احراز هویت داشته باشد ، این بدان معنا نیست که توسط طراحی محافظت می شود. حتی بدتر ، مجرمان می توانند در واقع به دسترسی به چنین برنامه هایی دسترسی پیدا کنند ، به ویژه ، بدانند که سازندگان آنها اغلب آسیب پذیری ها را به عنوان یک تهدید کمتر تلقی می کنند و بنابراین حتی آنها را بررسی نمی کنند.

سرانجام ، هر برنامه ای را برای آسیب پذیری های امنیتی اسکن کنید ، مهم نیست که از اقدامات امنیتی و احراز هویت شبکه محافظت شده باشد!

“استقرار ما آسیب پذیری ها را غیرممکن می کند”

من این استدلال را از شرکتی شنیدم که از Hibernate ORM برای توسعه جاوا استفاده می کند. تصور می شود که طرح Hibernate آسیب پذیری های تزریق SQL را از بین می برد زیرا پایگاه داده همیشه مجموعه ای از نتایج را برمی گرداند. متاسفانه، این درست نیست. فقط برخی از حملات تزریق SQL توسط این ویژگی Hibernate از بین می روند ، اما نه همه آنها. این ویژگی همچنین تاثیری در آسیب پذیری هایی که مربوط به SQL نیستند.

در حالی که محیط های توسعه و استقرار مدرن برخی از حملات را دشوارتر می کند ، اما هیچ محیطی وجود ندارد که بتواند به شما کمک کند از همه آنها – یا حتی بیشتر – جلوگیری کند. اگر فکر می کنید راهی که برای توسعه و پیاده سازی طراحی کرده اید بدون وجود تست های امنیتی کافی است ، دوباره فکر کنید.

سرانجام ، بدون توجه به اینکه از چه محیط توسعه و استقرار استفاده می کنید ، تمام برنامه های خود را برای آسیب پذیری های امنیتی آزمایش کنید (حتی اگر قرار باشد اشکالات امنیتی را برطرف کند).

“ما هر از گاهی اسکن های امنیتی انجام می دهیم و هرگز مورد جدی پیدا نمی کنیم.”

بعضی از شرکت ها فکر می کنند که اسکن برنامه های آنها هر چند ماه کافی است ، مثلاً قبل از یک نسخه بزرگ. آنها نیازی به بررسی امنیت هر یک از کاندیداهای معافیت نمی دانند و حتی کمتر می خواهند اسکن امنیتی را به عنوان بخشی از خطوط لوله معمولی DevOps خود قرار دهند. بحث این است که اسکن تاکنون مشکلی اساسی ایجاد نکرده است.

چنین رویکردی را می توان با قفل گذاشتن قفل درب اتومبیل خود (و کلیدهای احتراق) در مقابل سوپرمارکت مقایسه کرد. البته در بیشتر موارد هیچ اتفاقی نمی افتد ، زیرا هیچ دزدی در اطراف رخ نخواهد داد. با این حال ، اگر فقط یک سرقت رخ دهد و متوجه شوید که ماشین شما قفل نشده است ، وسیله نقلیه شما نسبتاً سریع صاحب خود را تغییر می دهد. در این مورد نیز همین است: فقط یک آسیب پذیری عمده که در بین انتشارهای عمده مورد توجه قرار نگیرد ، می تواند منجر به نقض امنیت ، افشای اطلاعات محرمانه شما و آسیب رساندن به اعتبار تجاری شما شود.

در آخر ، خود را امتحان کنید امن است برنامه های کاربردی حتی عمیق تر از برنامه های ناامن هستند.

کار از محکم کاری عیب نمیکنه

عبارت “امن تر از اینکه متاسفم” در مورد امنیت سایبری (و به طور کلی امنیت) بسیار کاربرد دارد. به نظر من ، هر تصمیمی برای تجارت خود می گیرید ، باید آنها را با امنیت دارایی های شخصی خود مقایسه کنید. به عنوان مثال ، اگر آپارتمان شما در یک بلوک امنیتی درب ورودی قرار دارد ، به این معنی است که می توانید درب خود را قفل بگذارید؟ اگر اخیراً به محله شما نفوذ نکرده باشد ، آیا این بدان معناست که هنگام رفتن به محل کار می توانید پنجره خود را کاملاً باز بگذارید؟

اگر به جای بهانه گیری ، سعی کنید بدترین سناریوها را بپذیرید ، احتمال اینکه قهرمان تیتر بعدی برای نقض داده ها شوید ، بسیار کم است. و هزینه گنجاندن امنیت برنامه های وب در SDLC شما در مقایسه با خساراتی که می توانید در نتیجه نقض اطلاعات متحمل شوید ، دقیقاً مانند هزینه قفل درب در مقایسه با هزینه تمام اشیا valu با ارزش خانه شما است.

انتخاب های درست را انجام دهید ، نه بهانه گیری.

نویسنده
توماس آندره نیدتسکی
نویسنده محتوای فنی

Tomasz Andrzej Niedetski (معروف به Tonide) نویسنده محتوای فنی است که برای Acunetix کار می کند. توماس ، روزنامه نگار ، مترجم و نویسنده فنی با 25 سال تجربه فناوری اطلاعات ، در اوایل سال های فعالیت خود سردبیر مجله hakin9 IT Security بود و از وبلاگ بزرگ فنی مخصوص امنیت ایمیل استفاده می کرد.

Author: morteza

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *