Համացանցային կիրառման անվտանգության երեք դաս ՝ հաշվի առնելու համար: Semalt- ի փորձագետը գիտի, թե ինչպես կարելի է խուսափել կիբեր հանցագործների զոհ դառնալուց

2015-ին Պոնեմոնի ինստիտուտը հրապարակեց գտածոները «Կիբեր հանցագործության գինը» ուսումնասիրությունից, որը նրանք իրականացրել էին: Զարմանալի չէր, որ կիբեր հանցագործության գինն աճում էր: Այնուամենայնիվ, թվերն ապշեցնում էին: Կիբերանվտանգության ձեռնարկություններ (գլոբալ կոնգլոմերատ) նախագծեր, որոնց համաձայն այդ ծախսը կկազմի տարեկան 6 տրիլիոն դոլար: Միջին հաշվով, կազմակերպությանը տևում է 31 օր ՝ կիբեր հանցագործությունից հետո հետ վերադարձնելու համար, որի վերականգնման արժեքը կազմում է մոտ 639 500 դոլար:

Գիտե՞ք, որ ծառայության մերժումը (DDOS հարձակումները), համացանցային ոտնահարումներն ու չարամիտ ինսայդերը կազմում են կիբեր հանցագործության բոլոր ծախսերի 55% -ը: Սա ոչ միայն վտանգ է ներկայացնում ձեր տվյալների համար, այլև կարող է ձեզ կորցնել եկամուտները:

Semalt Digital Digital Services- ի Հաճախորդների հաջողության մենեջեր Ֆրենկ Աբանգալեն առաջարկում է հաշվի առնել 2016 թվականին կատարված խախտումների հետևյալ երեք դեպքերը:

Առաջին դեպքը. Mossack-Fonseca (Պանամայի թղթերը)

«Պանամա պապերսի» սկանդալը մտավ ուշադրության կենտրոնում 2015-ին, բայց միլիոնավոր փաստաթղթերի պատճառով, որոնք պետք էր փախցնել դրա միջոցով, պայթեցվեց 2016-ին: Արտահոսքը բացահայտեց, թե ինչպես են պահվում քաղաքական գործիչները, մեծահարուստ գործարարները, հայտնիները և հասարակության կրե դե լա նրանց գումարները օֆշորային հաշիվներում: Հաճախ, դա ստվեր էր և անցնում էր էթիկական գիծը: Չնայած Mossack-Fonseca- ն գաղտնիության ոլորտում մասնագիտացած կազմակերպություն էր, սակայն տեղեկատվական անվտանգության ռազմավարությունը համարյա գոյություն չուներ: Սկզբի համար իրենց օգտագործած WordPress- ի պատկերի սլայդային plugin- ը հնացած էր: Երկրորդ, նրանք օգտագործեցին 3-ամյա Դրուպալ ՝ հայտնի խոցելիություններով: Զարմանալի է, որ կազմակերպության համակարգի ադմինիստրատորները երբեք չեն լուծում այդ խնդիրները:

Դասեր:

  • > միշտ համոզվեք, որ ձեր CMS պլատֆորմները, plugin- ները և թեմաները պարբերաբար թարմացվում են:
  • > թարմացվեք CMS անվտանգության վերջին սպառնալիքներով: Դրա համար Joomla, Drupal, WordPress և այլ ծառայություններ ունեն:
  • > սկանավորել բոլոր plugins- ը նախքան դրանք գործարկելը և ակտիվացնելը

Երկրորդ դեպք `PayPal- ի պրոֆիլի նկարը

Florian Courtial- ը (ֆրանսիական ծրագրակազմի ինժեներ) PayPal- ի նորագույն կայքի ՝ PayPal.me- ում գտել է CSRF (խաչմերուկի խնդրանքով կեղծիք) խոցելիությունը: Առցանց վճարային համաշխարհային հսկան բացեց PayPal.me- ն ՝ ավելի արագ վճարումներն հեշտացնելու համար: Այնուամենայնիվ, PayPal.me- ը կարող էր շահագործվել: Ֆլորիան կարողացավ խմբագրել և նույնիսկ հեռացրեց CSRF նշանը ՝ դրանով իսկ թարմացնելով օգտագործողի պրոֆիլի պատկերը: Ինչպե՞ս եղավ, ցանկացած մեկը կարող էր մեկ այլ անձի հերքել ՝ իրենց նկարը առցանց ստանալու միջոցով, օրինակ, Facebook- ից:

Դասեր:

  • > Օգտագործեք եզակի CSRF նշաններ օգտագործողների համար. դրանք պետք է լինեն եզակի և փոխվեն, երբ օգտագործողը մուտք է գործում:
  • > նշան ըստ խնդրանքի - բացի վերը նշված կետից, այս նշանները պետք է նաև հասանելի լինեն, երբ օգտագործողը հայցում է դրանց: Այն ապահովում է լրացուցիչ պաշտպանություն:
  • > ժամկետի ավարտը. նվազեցնում է խոցելիությունը, եթե հաշիվը որոշ ժամանակ մնում է անգործ:

Երրորդ դեպք. Ռուսաստանի արտաքին գործերի նախարարությունը բախվում է XSS- ի վրդովմունքին

Թեև վեբ-հարձակումներից շատերը կոչված են փչացնելու կազմակերպության եկամուտը, հեղինակությունը և երթևեկությունը, ոմանք նպատակ ունեն ամաչել: Մի դեպք, այն հակերը, որը երբեք տեղի չի ունեցել Ռուսաստանում: Դա այն է, ինչ պատահեց. Ամերիկացի հաքեր («Jesեսթեր» մականունով) շահագործեց խաչմերուկի սկրիպտավորման (XSS) խոցելիությունը, որը նա տեսավ Ռուսաստանի արտաքին գործերի նախարարության կայքում: Խթանողը ստեղծել է խրտվիլ կայք, որը նմանակել է պաշտոնական կայքի աշխարհայացքը, բացառությամբ վերնագրի, որը նա հարմարեցրել է, որպեսզի ծաղր անի դրանցից:

Դասեր:

  • > ջնջել HTML նշումը
  • > տվյալները մի տեղադրեք, քանի դեռ չեք հաստատում այն
  • > օգտագործեք JavaScript- ի փախուստը, նախքան չհավաստի տվյալները մուտքագրեք լեզվի (JavaScript) տվյալների արժեքներում
  • > պաշտպանեք ձեզ DOM- ի վրա հիմնված XSS խոցելիություններից

send email