10 باور غلط درباره امنیت برنامه های وب
1. فقط شرکت های بزرگ توسط هکرها تهدید می شوند.
ما حتی نمی توانیم به شما بگوییم که چند بار آن را شنیده ایم. مسئله این است: هکرها به اندازه شرکت شما اهمیتی نمی دهند. آنها به دنبال این نیستند که چه تعداد کارمند دارید یا گردش مالی شما چقدر است. آنها از هر فرصتی که به دست می آورند استفاده می کنند. البته شرکت های چند ملیتی بیشتر در معرض هک شدن هستند. بنابراین، آنها آمادگی بیشتری دارند و SME ها هدف های راحت تری برای هکرها می شوند. یکی از مشتری های ما که صاحب مشاغل دیجیتالی کوچکی است، وقتی متوجه شد تمام پرداخت های آنلاین وب سایت وی با یک حساب بانکی خارجی ربوده شده، بسیار متاثر شد.
علاوه بر این، آیا تا به حال فکر کرده اید که رقبای شما می توانند به آنچه شما دارید علاقه مند شوند؟
2. من بهترین توسعه دهندگان بازار را دارم.
توسعه دهندگان فوق العاده باید سریع کد نویسی کنند، و هم برنامه های قدرتمند و کاربر پسند را ارائه دهند. متأسفانه، آنها به طور کلی کارشناس امنیتی نیستند. ساختن یک نرم افزار و هک کردن آن دو تخصص مجزا هستند. از این رو اهمیت حیاتی برای تست کار آنها از نظر امنیت با یک pentest- است. آنها از تجربه یاد می گیرند و همچنین می توانید آنها را به طور دقیق تر در مورد موضوع آموزش دهید.
بگذارید اینطور بیان کنیم: بهترین رنگها همیشه برای محافظت از آن به پوشش رنگی احتیاج دارند.
3. من از چارچوب های قوی استفاده می کنم، بنابراین ایمن هستم.
چارچوب های قوی به ساخت کد امن کمک می کنند. با این حال این فقط مسئله انتخاب چارچوب نیست: این فقط در مورد چگونگی استفاده صحیح از چارچوب با توجه به نیازهای امنیتی است. ما اغلب می بینیم که توسعه دهندگان برخی از محافظت های موجود در چارچوب را غیرفعال می کنند زیرا می خواهند روند توسعه خود را تسریع کنند. به همین دلیل آزمایش امنیت همیشه لازم است.
4. ما اطلاعات حساس را جمع آوری نمی کنیم، پس چرا باید مزاحمت ایجاد کنیم؟
داده های مشتریان حساس است و به راستی یکی از اصلی ترین مواردی است که باید یک برنامه تضمین کند. بگذارید بگوییم که شما یک وب سایت تجارت الکترونیکی را اداره می کنید، اگر سیستم عامل برای 2 روز از کار بیفتد چه واکنشی نشان خواهید داد؟ یا به اعتبار خود فکر کنید، حتی اطلاعاتی که بسیاری «حساس» نمی دانید در واقع حساس هستند. من مطمئن هستم که مشتریان شما از اینکه ایمیل و گذرواژه های آنها در اینترنت درز کرده است استقبال نخواهند کرد.
علاوه بر این، فراموش نکنیم که بسیاری از هکرها، وب سایت های هک شده را به منظور استفاده از آنها به عنوان زامبی برای حملات آینده خود و یا حتی بدتر از آنها به عنوان میزبان برای فعالیت های جعلی خود استفاده می کنند. بسته به قانون کشور، شرکت ها از نظر اخلاقی یا بعضا قانونی تعهدی دارند که از عدم وقوع آن اطمینان حاصل کنید.
5. من برای Firewall Web Application هزینه می کنم، کافی است.
فایروال های برنامه وب (WAF) محافظت زیادی در برابر هکرها می کند. با این حال، تا آنجا که می توانند موثر باشند، امنیت کامل وب سایت شما را تضمین نمی کند. به خصوص دو تهدید عمده وجود دارد: یک هکر ماهر همیشه قادر به دور زدن WAF خواهد بود و داشتن WAF گاهی اوقات باعث می شود که شرکت ها دیگر نگران امنیت نباشند. این می تواند به سستی منجر شود و افراد دارای ذهنیت غلط راهی برای بهره برداری از آن پیدا کنند.
6. من یک بار pentest انجام داده ام، اکنون سالم هستم.
فناوری، درست مثل زمان، همیشه رو به جلو است. هرگز بی حرکت نخواهد ماند. هکرها از این مزیت استفاده می کنند و معمولاً یک قدم از همه جلوتر هستند. به همین دلیل، ارتقا امنیت سیستم عامل شما باید یک روند مستمر باشد. علاوه بر این، همیشه نسخه های جدیدی در برنامه های وب یا تلفن همراه وجود دارد و این تغییرات شایسته آزمایش هستند. هر کد جدید که اضافه می شود می تواند آسیب پذیری جدیدی داشته باشد. شرکت هایی که در معرض خطر بالایی قرار دارند معمولاً چندین بار در سال pentests انجام می دهند: به عنوان مثال هر ماه یا هر سه ماه.
7. هیچ روش امنیت کاملی وجود ندارد.
حسابرسی های امنیتی را می توان با بیمه مقایسه کرد. همه ما وقتی مجبور شدیم بیمه اتومبیل خود را پرداخت کنیم غر می زنیم، اما روزی که کسی آن را دزدید، فهمیدیم که چرا داشتن آن ضروری است. همچنین می توانیم اضافه کنیم که امروزه نگرانی های امنیتی در میان جمعیت در حال افزایش است. داشتن یک گواهینامه برای نشان دادن به مشتریان شما که به داده های آنها اهمیت می دهید، پس از آن به یک مزیت نسبی تبدیل می شود. اگر می خواهیم مشتری ما به خدمات ما اعتماد کند، باید شایسته این اعتماد باشیم.
این امر به ویژه برای B2B معتبر است: بسیاری از شرکت های بزرگ اکنون جنبه امنیتی در مناقصه های خود دارند. فعال بودن در زمینه امنیت دیجیتال می تواند باعث افزایش فروش شود.
8. هیچ ابزار یا روشی برای امنیت کامل وجود ندارد.
در یک برنامه یا pentests امنیتی ممکن است موارد مختلفی همچون عجله مشتری؛ ضرب العجل آن و همچنین تغییرات لحظه آخری برای برنامه های تحت وب وجود داشته باشد و یا برنامه شلوغی داشته باشید هدف شما این است که که ایرادات را به نحو احسنت برطرف کنید و زمان لازم برای انجام آن ها را داشته باشید.
9. فیشینگ تنها برای مقادیر ساختگی است.
«سلام آقا. نام من جان گودمن است ، من یک وکیل حرفه ای حقوق هستم. متأسفم که شما را اعلام می کنم که دایی پدر بزرگ بزرگ شما آخر این هفته درگذشت. شما تنها وارث او هستید ، از این رو ثروت 500.000.000 $ او را به ارث می برید. برای ادعای میراث خود لطفاً برای پرداخت هزینه حقوقی اولین انتقال 300،00 $ از جزئیات بانک زیر را برای من ارسال کنید … »
همه ما چندین ایمیل مانند این ایمیل دریافت کرده ایم. بله، تشخیص آنها کاملاً واضح است. اما فیشینگ را می توان به روش بسیار هوشمندانه تری انجام داد.
با حملات مهندسی اجتماعی، یک هکر می تواند اطلاعاتی را کسب کند که به وی امکان دسترسی به دفتر کار یا حتی شبکه داخلی شما را می دهد و بسیاری از داده های محرمانه را به سرقت می برد. به عنوان مثال، هنگام حمله به یک وب سایت رزرو محل اقامت، هکرها خدمات مشتری را هدف قرار می دهند که در آن کارمندان می توانند به بسیاری از اطلاعات دسترسی داشته باشند، اما اغلب آموزش های امنیتی ضعیفی دارند. بسیاری از شرکتها در دام گرفتار می شوند، اما با بهبود فرآیند و آموزش کارآمد کارکنان می توان خطر را به میزان قابل توجهی کاهش داد. به همین دلایل، انجام فعالیت های مهندسی اجتماعی برای آموزش کارکنان خود در این زمینه نیز بسیار مهم است.
10. به هر حال گران است.
حسابرسی های امنیتی قیمت بالایی دارند. با این حال، اگر کار به درستی انجام شده باشد و اگر حسابرسی با سطح خطرات سیستم عامل شما سازگار باشد، باید آن را به عنوان یک سرمایه گذاری در نظر بگیرید نه به عنوان یک هزینه. ایده داشتن یک ممیزی امنیتی متناسب با نیازهای شما و بنابراین قیمتی که با شرایط شما نیز متناسب باشد بسیار مهم است. بدیهی است که بسته به فعالیت های خود، ممکن است به همان سطح امنیت NSA نیازی نداشته باشید.
درباره فائزه تقی پور
فائزه تقی پور هستم دانشجوی کارشناسی شبکه کامپیوتری حدود یک سالی هست که نویسنده ام و دارای مهارت ها و مدرک دوره های +MCSA, CCNA ,Network هستم.
نوشته های بیشتر از فائزه تقی پور
دیدگاهتان را بنویسید