როგორ დავიცვათ თქვენი ვებ – გვერდი და ონლაინ მონაცემთა ბაზა ჰაკერებისგან 2020 წელს


2016 წლის აშშ-ის საარჩევნო ციკლმა საერთაშორისო ჰაკერების ნაწილი გლობალური საუბრის ნაწილი გახადა. ჰაკინგი ახლა ერთ-ერთი ყველაზე ფართოდ განხილული საფრთხეა ყველა პროფესიულ სექტორში. მაშინ როდესაც რუსული ჰაკინგი დომინირებდა პოლიტიკურ სფეროზე, ჩინური ჰაკერობა ამტკიცებს, რომ წარმოადგენს ყველაზე დიდ საფრთხეს კორპორაციებისთვის. სიახლეებში გამოქვეყნებულ თითოეულ წარმატებულმა ჰაკმა გააკეთა კომპანიები სულ უფრო ხშირად იცნობენ თავიანთ სისტემებში მოწყვლადი სისტემის შესახებ.

ჰაკებს შეიძლება ჰქონდეთ მნიშვნელოვანი ეკონომიკური გავლენა კომპანიის მოგებაზე, ეს ჩვეულებრივ არ ქმნის ან არღვევს ბიზნესს. დიდ კომპანიებს აქვთ იმის რესურსი, რომ გაუძლოს გაყიდვების შემცირებას ან დიდ სასამართლოში. თუმცა, მცირე კომპანიებმა შეიძლება ამის პოვნა უსაფრთხოების მცირე დარღვევაც კი შეუძლია დაანგრიოს მთელი მათი ოპერაცია.

ნებისმიერი კომპანია, დიდი თუ პატარა, უნდა იყოს ვალდებულნი არიან უზრუნველყონ მათი ვებსაიტები და მონაცემთა ბაზები უსაფრთხო, როგორც საკუთარი ბიზნესის, ასევე მომხმარებლისთვის. არავის სურს მათი ნახვა მთლიანი ინფრასტრუქტურა, რომელიც დაზიანებულია malware, არც მომხმარებლებს სურთ, რომ მათი მონაცემები გაამჟღავნოს მსოფლიოში. ჰაკინგი მუდმივად ცვალებადი საფრთხეა რაც თავიდან ასაცილებლად რთულია. თუმცა, ეფექტური კიბერუსაფრთხოების ზომების მიღება არ არის ისეთი საშიში, როგორც ეს შეიძლება ჩანდეს.

როგორ შეიძლება ჰაკმა გაანადგუროს თქვენი ბიზნესი

მცირე კომპანიები შეიძლება თვლიდნენ, რომ მათი უცნობი სტატუსი მათ იცავს ხაკებისაგან. მაშინაც კი, თუ თქვენ არ ხართ საიდუმლოებით მოცული სავაჭრო საიდუმლოებები, მცირე დროში თაროებმა შეიძლება დიდი გავლენა მოახდინონ თქვენს შემოსავალზე. ყველა კაკალი ერთნაირი არ არის, მაშინაც კი, თუ ისინი ხელს უწყობენ მსგავს შედეგებს.

ჰაკერები იყენებენ უამრავ სტრატეგიას, მათი საბოლოო მიზნის მიხედვით. ყველაზე მნიშვნელოვანი hack, რომლითაც თქვენს ბიზნესს განიცდიან მარტივი პირადობის ქურდობაა; მაგალითად, თქვენი კომპანიის საკრედიტო ბარათის ქურდობა და თაღლითობის ბრალდება. თუ ელექტრონული კომერციის ბიზნესი გაქვთ, ვებსაიტების ჰაკებმა შეიძლება გამოიწვიოს ათასობით დაკარგული მომხმარებელი. როდესაც ჰაკერებს ადვილად აქვთ წვდომა თქვენს სისტემაში, მათ შეუძლიათ დაიწყონ გადამისამართება თქვენი საიტი საკუთარი.

ეს არის კიდევ ერთი მაგალითი. თუ თქვენი ძირითადი შემოსავლის ნაკადი წარმოიქმნება თქვენს გვერდზე რეკლამირების საშუალებით, ჰაკერმა შეიძლება მოიპაროს თქვენი შემოსავალი თქვენი საიტის გადაგზავნით საკუთარი რეკლამებით. მიუხედავად იმისა, რომ ამ შემთხვევაში მომხმარებლების შედეგები შედარებით მცირეა, ის მაინც შეიძლება შეამციროს მათი ნდობა თქვენს საიტზე.

ჰაკერების უმეტესობა ბევრად უფრო მავნეა. მათ შექმნეს dummy საიტები, რომლებიც თქვენსავით გამოიყურება, რომ მომხმარებლები შეაჩერონ საკუთარი პირადი სერთიფიკატები. იქიდან, მათ ადვილად შეუძლიათ მომხმარებელთა მონაცემების ათვისება.

თქვენი ყველა მომხმარებლის მონაცემებით საკუთარ მონაცემთა ბაზაში, ჰაკერებს არა მხოლოდ შეუძლიათ კომპრომისი მომხმარებლების ნდობას თქვენს ბიზნესში მაგრამ ასევე მოპარვა პირდაპირ მომხმარებლისგან. ხშირად, ერთი საიტის სამომხმარებლო სერთიფიკატები ხელს შეუწყობს ჰაკერს, რომ შეძლოს წვდომა რამდენიმე სხვა ანგარიშზე.

ჰაკერებს შეუძლიათ გამოიყენონ ეს ტექნიკა, რომ მოიპარონ თქვენგან და თქვენი მომხმარებლები მრავალი გზით. რამდენიმე საათის განმავლობაში თქვენი საიტის დაქვეითება შეიძლება გამოიწვიოს მნიშვნელოვანი შემცირება გაყიდვებში. როდესაც 2014 წელს Sony და Microsoft– მა დაარტყა DDoS, ან განაწილებული მომსახურების უარყოფა, შეტევა მოხდა, სავარაუდოდ საათში $ 40,000 დაკარგა. მიუხედავად იმისა, რომ ეს დიდი დარტყმა იყო ტექნიკური გიგანტებისთვის, მათ ჰქონდათ რესურსების დაბრუნება უკან. მცირე ბიზნესისთვის, შედეგები დამანგრეველი იქნებოდა.

ჰაკერები არ ეძებენ მხოლოდ პიროვნების პირადობის მოპარვას ან მათი სისტემის რამდენიმე საათის დახურვას. ინტელექტუალური საკუთრებისა და სავაჭრო საიდუმლოებების ქურდობა იზრდება. გასულ წელს, Tesla– ს ყოფილმა თანამშრომელმა აღიარა კომპანიის საიდუმლოების ქურდობა, სანამ მხარეებს გადასცემთ. მან ეს მიაღწია პროგრამის ჩაწერით, რომელიც გატაცებულია ტესლას პროგრამულ უზრუნველყოფაზე. ექსპერტთა შეფასებით, ამ ტიპის კაკვები უკვე პასუხისმგებელია მილიონობით დოლარის შემოსავლის დაკარგვას.

გასათვალისწინებელია კიდევ ერთი ინფორმაცია. 2018 წლიდან, ნებისმიერი ვებსაიტი, რომელიც ფუნქციონირებს ევროკავშირის იურისდიქციას, უნდა შეესაბამებოდეს GDPR (მონაცემთა დაცვის ზოგადი რეგულაცია). თუ ევროკავშირი აღმოაჩენს, რომ თქვენ არ გადადგით შესაბამისი ზომები თქვენი ვებსაიტის დასადგენად, თქვენ შეიძლება აიძულოთ გადაიხადე ციცაბო ჯარიმა იმ ზარალის მიღმა, რომელიც თქვენს ბიზნესს იღებს ჰაკის გამო.

Სწორედ ამიტომ თქვენი ვებსაიტისა და მონაცემთა ბაზების უზრუნველყოფა არის ყველაზე მნიშვნელოვანი რამ, რაც შეგიძლიათ გააკეთოთ თქვენი ბიზნესის დასაცავად.

შეიძლება ფიქრობთ, რომ თქვენი ვებ – გვერდის უზრუნველყოფის ხარჯები ძალიან მაღალია. თუმცა, გაცილებით ძნელია გატაცება, ვიდრე ეს თქვენი ქსელის უზრუნველსაყოფად ხდება. უსაფრთხო დაცვა მიმდინარე გამოწვევაა, მაგრამ ღირს ინვესტიცია, თუ გსურთ თქვენი აქტივების დაცვა.

ჰაკინგი რეალურ სამყაროში

Cimcor Inc– ის 2019 წლის იანვრის ანგარიშის თანახმად, თითქმის მცირე ბიზნესის 60% ახლოვდება გარჩევის შემდეგ ექვსი თვის განმავლობაში. ეს მწვავე რეალობაა ბიზნესის მფლობელებისთვის. მაგრამ მცირე ბიზნესი შორს არ არის ძირითადი მიზნებისგან. Business Insider- მა 2018 წლის აგვისტოში გამოავლინა ეს ნებისმიერი საცალო ვებსაიტზე შესვლის მცდელობის 80-90% არის ჰაკერები მოპარული სერთიფიკატების გამოყენებით. სინამდვილეში, როგორც გავარკვიეთ მარტში, Fortune 500-მა 1 კომპანიამ 2018 წელს განიცადა ჰაკის გარკვეული ფორმა. ამ კომპანიების 20% ერთზე მეტ ჰაკს განიცდიდა.

ეს ჰაკები მერყეობს ფიშინგის მცდელობა malware შეტევები და მონაცემთა გაჟონვა. მცირე კომპანიები შეიძლება უფრო დაუცველი აღმოჩნდნენ, მაგრამ მონაცემები საპირისპიროდ ცხადყოფს, რომ მართალია. გასული ათწლეულის განმავლობაში ტოპ 10 Fortune 500 კომპანიის 70% –მა განიცადა ჰაკობა. ამ კომპანიებში შედის საუკეთესო ბანკები და სადაზღვევო ფირმები; სხვა სიტყვებით რომ ვთქვათ, კომპანიები, რომელთა მონაცემთა ბაზები ფლობენ მგრძნობიარე ინფორმაციას მომხმარებლების შესახებ.

არსებობს კარგი მიზეზი იმისა, რომ მსხვილი კომპანიები სავარაუდოდ გატაცდებიან. რადგან მათ უფრო მეტი ინფრასტრუქტურა აქვთ, ჰაკერებს უფრო დიდი “თავდასხმის ზედაპირი” აქვთ. ეს ნიშნავს, რომ მათ მეტი შესაძლებლობა აქვთ თავიანთი სისტემის დანახვისას. მათი სისტემები ასევე უფრო რთულია, ვიდრე მცირე საწარმოების სისტემები. რაც უფრო რთულია პროგრამული სისტემა, უფრო მეტი შეცდომები არსებობს. მეტი შეცდომები ნიშნავს ჰაკერების უფრო მეტ გზას სისტემის საკუთარი სარგებლისთვის გამოყენების მიზნით.

მილიარდობით დოლარის დაკარგვა შეიძლება იყოს უკიდურესი შედეგი იმისა, რომ დიდი კომპანია გატაცებულია. თუმცა, სიტუაცია შეიძლება კიდევ უფრო სასოწარკვეთილი ჩანდეს, როდესაც მსხვილი ტექნიკური კომპანიებიც კი იბრძვიან მონაცემების სწორად უზრუნველსაყოფად. ეთიკურ ჰაკერებს შეუძლიათ დაეხმარონ კომპანიებს თავიანთი სისტემების დაუცველობების პოვნაში, მაგრამ ამ მოხსენებების გამოქვეყნება ასევე შესაძლებელია ხაზს უსვამს ამ სისუსტეებს მავნე მსახიობებისთვის. შემდეგ ჰაკერებს შეუძლიათ გამოიყენონ ეს სისუსტეები, სანამ კომპანია არღვევს კომპანიას.

ჰაკერების ფინანსური შედეგები ნათელია, მაგრამ არსებობს სხვა გზებიც, რომელთა საშუალებით მონაცემთა გაჟონვამ შეიძლება ღრმად იმოქმედოს მომხმარებლებზე. ადამიანების უმეტესობა ნერვიულობს ფინანსური შედეგების გამო, რომ მათი ანგარიში ინფორმაციას საცალო საიტის საშუალებით ექვემდებარება. ამასთან, მაშინაც კი, როდესაც საკრედიტო ბარათის ინფორმაცია ან მისამართები ბუნდოვანია მყიდველის საცალო ისტორიის გამოვლენა შეიძლება საშიში იყოს.

როდესაც გასული წლის მარტში ჩინურ ონლაინ საცალო ვაჭრობაში Gearbest- ის მონაცემთა ბაზაში დარღვევა გამოავლინეს, ყველაზე მეტად ჩვენთვის ხელმისაწვდომი მგრძნობიარე მონაცემები იყო მომხმარებლის შეკვეთის ისტორია და ადგილმდებარეობა. მაგალითად, ჩვენ შეგვიძლია მარტივად დავინახოთ, რომ პაკისტანში მამაკაცი მომხმარებელმა შეიძინა რამდენიმე სილიკონის დილდა სხვადასხვა ზომის. ბევრი სხვა სათამაშოების შესყიდვა, რომელიც ჩვენ Gearbest მონაცემთა ბაზაში ვიპოვნეთ, მოხდა სექსუალურ ლიბერალურ ქვეყნებში. პაკისტანში, ამასთან, პაკისტანში ეს შეძენა ბევრად უფრო საშიშიას.

მრუშობა და წინამორბედი სექსი პაკისტანში სისხლის სამართლის დანაშაულად ითვლება. ჰომოსექსუალობა ანალოგიურად ისჯება. Ეს ნიშნავს ამ მომხმარებელს შეიძლება სერიოზული იურიდიული შედეგების წინაშე აღმოჩნდეს, თუ პაკისტანის ხელისუფლებამ აღმოაჩინა მისი შეძენის ისტორიის შესახებ. იმავე გაჟონვამ გამოავლინა მისი სრული სახელი, მისამართი და IP მისამართი, რაც ადგილობრივ სამართალდამცავებს გაუადვილეს მისი კვალი. არცერთ კომპანიას არ სურს ცეცხლის ქვეშ მოექცეს მომხმარებელს იურიდიულ ქმედებებზე ზემოქმედების მიზნით.

გარდა ფინანსური სტიმულირებისა, სხვანაირად რატომ ხვდებიან ჰაკერები სამიზნე კომპანიებს?

რატომ აკეთებენ ამას: ესმის ჰაკერების მოტივები

არსებობს უამრავი სხვადასხვა მიზეზი, რის გამოც ჰაკერები გამოავლენენ კომპანიის მონაცემებს. ბევრი არ ცდილობს სამართალდამცავი ორგანოებისკენ უბიძგოს მოქალაქეების დასჯაში. ზოგიერთ ჰაკერს ისიამოვნეთ ქაოსის გამოწვევით. ამ შემთხვევებში, ეს უფრო სავარაუდოა სახელმწიფო დაფინანსებული ჰაკერები მიზნად ისახავს მეტოქე ქვეყნებს, რომ მათ პოლიტიკურ კრიზისში გადააგდონ. თუმცა, თუკი 2016 წლის ამერიკულ არჩევნებს გადავხედავთ, რუსი ჰაკერების საშუალებით რამდენიმე მიზანს მიაღწია.

Დამწყებთათვის, ეს არ არის პირველი შემთხვევა, როდესაც რუსებმა გამოიწვია პოლიტიკური არეულობა მეტოქე ქვეყნებისთვის. ესტონეთი და საქართველო იყო რუსეთისგან წარმოშობილი DDoS თავდასხმების სამიზნე. მიუხედავად იმისა, რომ რუსებს არ შეუძლიათ საკუთარი თავის ხმის მიცემა. ზოგის აზრით, მოვლენების ამ ჯაჭვს ემსახურებოდა კონკურენტო ქვეყნის შესუსტება. გარდა ამისა, პოლიტიკა, იმის აღქმას, რომ მთავრობა დაცულია, ძირს უთხრის, როდესაც მათი ასე მარტივად გატაცება ხდება.

თუმცა, რუსი ჰაკერები შორს არიან დასავლური ინტერესების ერთადერთი ეროვნული საფრთხისგან. ჩინეთის ჰაკერების მცდელობები კვლავ იზრდება, ობამას ადმინისტრაციის ხანმოკლე პაუზის მიუხედავად. ჩინელი ჰაკერების სამიზნეები, ზოგადად, განსხვავდება რუსებისგან. მთლიანობაში, ჩინელები ბოლო წლების განმავლობაში დიდი კორპორატიული ჰაკების უკან დგანან.

მცირე ზომის ჰაკებისაგან განსხვავებით, რომლებიც მომხმარებელთა მონაცემებით სარგებლობენ, ჩინელები ურჩევნიათ უსაფრთხოების დაუცველობების ათვისებას, რათა მოიპარონ სავაჭრო საიდუმლოებები. ამ მონაცემთა დარღვევის უკან არის ჩინეთის მთავრობის მანდატი სახელწოდებით Made in China 2025. მისი მიზანია ჩინეთი გლობალური ტექნოლოგიისა და ინჟინერიის მიღწევების წინამორბედ იქცეს. კორპორატიული ჰაკების უმრავლესობა შეიძლება იყოს ნაპოვნი იქნა მთავრობის მიერ მხარდაჭერილი ჰაკერების სააგენტოები. ამ კომპანიებმა მოახერხეს ისარგებლეთ უსაფრთხოების სისუსტეებით, საიდუმლო დიზაინის გეგმების გასარკვევად. ამ ჰაკების ზოგიერთი ნაწილი ისეთი სისულელეა, რომ კომპანიები მხოლოდ ხვდებიან, რომ მათი მონაცემები კომპრომეტირებულია, როდესაც ჩინელი კონკურენტი გამოაქვს იდენტური გაჯეტი, სანამ ორიგინალი პროდუქტი მოხვდება ბაზარზე..

თუნდაც ის შეერთებული შტატების არმია არ არის იმუნიტეტი ჩინური ჩარევისგან. სამხედრო დებიუტიდან მალევე, მას შემდეგ რაც ორ ახალ გამანადგურებელ თვითმფრინავზე, F-22 და F-35 დაიწყო, სახალხო განთავისუფლებულმა არმიამ იგივე თვითმფრინავების წარმოება დაიწყო. ჩინელმა ჰაკერებმა მიზნად ისახეს ტექნოლოგიის ყველა სექტორი, მათ შორის სამედიცინო ტექნოლოგია, კოსმოსური ინჟინერია და რობოტები. უსაფრთხოების ამ დარღვევებს შეიძლება არ ჰქონდეს იგივე ინდივიდუალური გავლენა, მაგრამ მაინც შეუძლია შემოსავლებში მნიშვნელოვან ზარალს იწვევს.

კომპანიის ჰაკერაციას შეუძლია რამდენიმე შეღავათის მოტანა ერთ პაკეტში. ზემოთ ჩამოთვლილი უპირატესობების გარდა, ჰაკერები ძირს უთხრის კონკურენციას ერთი საკვანძო გზით: მომხმარებლები ნაკლებად ენდობიან ბრენდს, რომელსაც აქვს საჯარო ინფორმაციის დარღვევა.

იმდენი საკითხია, როდესაც საქმე ეხება ინტერნეტ-უსაფრთხოებას, გაინტერესებთ რა ნაბიჯების გადადგმაც შეგიძლიათ, რომ შეამციროთ გარჩევის რისკი.

გზამკვლევი თქვენი საიტებისა და სერვერების უსაფრთხოების უზრუნველსაყოფად

თქვენი ონლაინ მონაცემების უზრუნველსაყოფად ნაბიჯები განსხვავდება სირთულის მიხედვით, მაგრამ ეს არ ნიშნავს რომ შეუძლებელი ხდება. თქვენ შეიძლება მოგინდეთ კონსულტაცია კიბერუსაფრთხოების ექსპერტთან, თუ თქვენი ბიზნესი უფრო დიდ აღჭურვილობას ეყრდნობა, თუმცა, საფუძვლები იგივე რჩება. აქ მოცემულია რამდენიმე შემოთავაზება, რომელსაც გირჩევთ დაიცვათ, რომ შეძლოთ გარჩევის შანსი რაც შეიძლება დაბალ დონეზე დატოვოთ. ჩვენ დავიწყებთ საფუძვლებს.

1. ყოველთვის შეინახეთ თქვენი მონაცემები დაშიფვრის მაღალი დონით. თქვენ შეიძლება ფიქრობთ, რომ თქვენი მონაცემების დაშიფვრა საკმარისია, მაგრამ უამრავი ვებ – გვერდი არსებობს, რომელთა საშუალებითაც ადვილია დაშიფვრის დაბალი დონის გაშიფვრა. რაც უფრო მაღალი იქნება დაშიფვრის დონე, მით უფრო უსაფრთხო იქნება თქვენი მონაცემები.

ამჟამად დაშიფვრის მაღალი დონე არის AES 256 ბიტიანი დაშიფვრა. ეს არის სტანდარტული დონე, რომელსაც სამხედრო იყენებს მაღალ კლასიფიცირებული მონაცემების დასაცავად. AES-256 ხშირად არის არჩეული, რადგან ის ძლიერია, მაგრამ ის არცთუ ისე კომპაქტურია ინტერნეტით. მეორეს მხრივ, RSA ასევე ძლიერია, მაგრამ გაცილებით ნელა.

2. შექმენით პაროლები, რომლებიც ძნელია გატეხილი. შეიძლება უკეთესად მოგიწოდოთ ფრაზის ფრაზა. ფრაზის ფრაზა არის სრული წინადადება, რომლის გამოყენებაც შესაძლებელია ერთი სიტყვის ადგილზე. მის სიგრძესა და სირთულეს შეუძლია მათ უფრო რთული გაუქმება. პაროლები ყოველთვის უნდა იყოს რვა სიმბოლოთი და უნდა შეიცავდეს მრავალფეროვან რაოდენობას და სპეციალურ სიმბოლოებს. განმეორებითი რიგითები, მაგალითად 123123, ძალიან ადვილია გატეხა. თქვენ უნდა მოერიდოთ დაბადების დღის მსგავსად ნებისმიერი საიდენტიფიკაციო ინფორმაციის გამოყენებას თქვენს პაროლში.

ეს ასევე ძალიან მნიშვნელოვანია შეარჩიეთ უნიკალური პაროლები ყველა ანგარიშისთვის შენ გაქვს. რამდენიმე ანგარიშის ერთი პაროლის გამოყენებამ შეიძლება მრავალი სისტემის კომპრომეტირება მოახდინოს, თუ ეს ინფორმაცია არასწორ ხელშია. ამ მიზეზის გამო, ასევე კარგია იდეა გამოიყენოთ პაროლის უსაფრთხო მენეჯერი ან შეინახოთ თქვენი პაროლები ჩაწერილი კალმით და ქაღალდით.

უსაფრთხო პაროლის არჩევის გარდა, თქვენ ასევე შეგიძლიათ გამოიყენოთ ბიომეტრიული ფაქტორები, როგორიცაა თითის ანაბეჭდი ან სახის ამოცნობა. უნიკალური ნიმუში, რომელიც ქმნის პირის თითის ანაბეჭდს, უზრუნველყოფს იმის უზრუნველყოფას, რომ სხვები ვერ შეძლებენ უბრალოდ შექმნან ის, რომ გახსნან ანგარიში.

3. გამოიყენეთ ორი ფაქტორიანი ავთენტიფიკაცია. ორი ფაქტორიანი ავტორიზაციისთვის საჭიროა პაროლიდან მეორე ნაბიჯი მოცემულ ანგარიშზე წვდომისათვის. ეს ზოგადად მოითხოვს, რომ გქონდეთ მეორე მოწყობილობა, რომელიც მოგცემთ ერთჯერადი, დროებითი კოდი, რომელიც დაგეხმარებათ ანგარიშის წვდომის შეზღუდვაში. ამ გზით, თუნდაც ჰაკერი დაიცვას თქვენი პაროლი, მათ ნაკლებად სავარაუდოა, რომ აქვთ ავტორიზაციის მეორე ნაწილი.

4. ადრე პაჩი და პაჩი ხშირად. რეგულარულად განთავსება პროგრამული უზრუნველყოფის პატჩები პოტენციური თავდასხმის არხების დახურვისთვის არის ერთ-ერთი საუკეთესო გზა, როგორც თქვენი აპარატურის, ისე პროგრამული უზრუნველყოფის უსაფრთხო შესანარჩუნებლად. შეფერხებების შეფერხებამ შეიძლება გახსნას და გამოქვეყნებული CVE– ების გახსნა, ამიტომ მნიშვნელოვანია თქვენი პროგრამების მაქსიმალურად განახლება..

5. ღრუბლოვანი სერვერის უზრუნველყოფა: ღრუბლოვან სერვერებზე სინგულარული პროტოკოლის შექმნა შეიძლება რთული იყოს დიზაინის მრავალფეროვნების გამო. ამასთან, მათ ასევე დაამტკიცეს, რომ გამონაყარისგან ყველაზე დაუცველია. თქვენ არასოდეს უნდა იფიქროთ, რომ ნაგულისხმევი პარამეტრები საკმარისია თქვენი მონაცემების უსაფრთხო შესანარჩუნებლად. აქ მოცემულია რამდენიმე აქტიური ზომა, რაც არ უნდა გამოიყენოთ სერვერი, რომ გამოიყენოთ თქვენი მონაცემები დაცული იყოს.

  • თუ შესაძლებელია, მიუთითეთ წვდომის სხვადასხვა წესი.
  • გამოიყენეთ ორი ფაქტორიანი ავთენტიფიკაცია.
  • აირჩიეთ ძლიერი და უნიკალური პაროლები.
  • შექმენით ოქმები შესვლისა და გარეთ შესასვლელად, რათა ანგარიშის გახსნა არ მოხდეს.
  • შეზღუდეთ ის მოწყობილობები, რომელთაც შეუძლიათ წვდომა ანგარიშებზე, ასევე ცნობილია როგორც სიების სია.
  • შეისწავლეთ ღრუბლოვანი სერვერის დაუცველობებისა და უსაფრთხოების პროცედურების შესწავლა, რომელსაც იყენებთ. მაგალითად, თუ აირჩევთ ამაზონის გარკვეულ სერვერებს, უნდა იცოდეთ, არსებობს მონაცემების დატვირთვის შეზღუდვები, სანამ ატვირთავთ თქვენს მონაცემებს..

6. თქვენი სერვერების უსაფრთხოება: ეს არის ალბათ ამ სახელმძღვანელოს ყველაზე ტექნიკური ნაწილი, მაგრამ ის ასევე ერთ-ერთი ყველაზე მნიშვნელოვანია.

  • გაასუფთავეთ შეყვანა თქვენს განაცხადში. გსურთ თავიდან აიცილოთ პროგრამის დაუცველობათა პოტენციალი, როგორიცაა SQLi, XSS, CSRF. ეს ხელს შეუწყობს კოდის ინექციისგან დაცვას საიტის ნებისმიერი შეყვანის ან პარამეტრის საშუალებით.
  • დეველოპერები უნდა იყვნენ მცოდნე სხვადასხვა ტიპის ჰაკერების ტექნიკის შესახებ, რომლებიც გამოიყენება მათ სპეციალიზირებულ ადგილებში. ეს მოიცავს საერთო საკითხების გააზრებას და დიზაინის შაბლონებს, რომელთა საშუალებითაც კოდი შეიძლება უფრო დაუცველი იყოს ჰაკერებისათვის.
  • გამოიყენეთ HTTPS. დეველოპერებისთვის უამრავი სახელმძღვანელოა, რომლებიც უფრო დეტალურად განმარტავენ, თუ რატომ არის HTTPS ასე მნიშვნელოვანი?.
  • გააგრძელეთ თქვენი ოპერაციული სისტემა. ეს თან ახლავს პროგრამულ უზრუნველყოფას.
  • შეამოწმეთ თქვენი სერვერი რომ ნახოთ არის თუ არა რაიმე გახსნა, რომელიც არ უნდა იყოს იქ. Shodan.io არის ვებ – გვერდი, რომელიც დაგეხმარებათ ამის გაკეთებაში.
  • მხოლოდ სერვერთან დაუკავშირდით დაშიფრული ოქმებით.
  • შეცვალეთ ნებისმიერი ნაგულისხმევი პარამეტრი რომ სერვერზე შეიძლება იყოს აღჭურვილი. ეს განსაკუთრებით მოიცავს ადმინისტრაციის რწმუნებებს.
  • შეისწავლეთ თქვენს მიერ გამოყენებული სერვერები. ეს არის კარგი გზა სისტემის ნებისმიერი შესაძლო ხარვეზის დასადგენად. თქვენ შეგიძლიათ შექმნათ მხოლოდ პროცედურები, რათა თავიდან აიცილოთ დაუცველები და ექსპლუატაციები, რომელთა შესახებაც თქვენ იცით.
  • Whitelist ადმინისტრაციული პანელები კონკრეტულ IP მისამართებზე.
  • WAF (Web Application Firewall), IDS (Intrusion Detection System) და IPS (შეჭრის დაცვის სისტემა) დასაქმება უსაფრთხოების მრავალ ფენიანი მიდგომისთვის. ეს არის მრავალჯერადი მიდგომები firewall- ის კონფიგურაციისთვის, რომლებიც ერთად უკეთესად მუშაობენ, როდესაც ისინი ერთად იყენებენ, ვიდრე რომელიმე მათგანს, როდესაც ისინი მარტო იყენებენ.
  • შეამოწმეთ თქვენი ვებ – გვერდი დაინახოს, არის თუ არა რაიმე მგრძნობიარე მონაცემები, გამოვლენილია თავდასხმის ყველაზე გავრცელებული მეთოდებით. ჰაკერები ხშირად აითვისებენ ინფორმაციას შემდეგი ტექნიკის გამოყენებით, რომელიც მოიცავს ბანერის ათვისებას, საიტის ობობას, Google- ის დორკინგის და პორტების სკანირებას. ჰაკერები იყენებენ ამ მეთოდებს შეაგროვეთ ინფორმაცია იმის შესახებ, თუ როგორ შეუძლიათ მათი საიტის დაბლოკვა. თუ არ ხართ დარწმუნებული, თუ როგორ უნდა შეასრულოთ ეს ტესტები, ეს კარგი ადგილია პროფესიონალისთვის დახმარების თხოვნისთვის.

ამასთან, არ არსებობს სინგლი, თქვენი სერვერების უზრუნველსაყოფად, რაც უფრო მეტი ტექნიკა გამოიყენებთ, უფრო რთული იქნება თქვენი მონაცემების მოპოვება. კიბერუსაფრთხოების ექსპერტებს უწოდებენ ”სიღრმისეულ დაცვას”. თქვენ ვერ შეძლებთ შეაჩერე ყველა ხაკუნა, მაგრამ შეგიძლია შეანელო ისინი თქვენი სისტემის უფრო მძლავრი გამოყენებით. უსაფრთხო სერვერების შესახებ რჩევების უფრო დეტალური ჩამონათვალისთვის შეგიძლიათ იხილოთ ეს ყოვლისმომცველი სია rackaid– დან.

7. გამოიყენეთ სათანადო წვდომის წესები. დაშვების წესები არის ის გზა, რომლის საშუალებითაც შეგიძლიათ გააკონტროლოთ, თუ როგორ იყენებენ მომხმარებლები და სისტემები გარე ქსელებთან და სისტემებთან. არსებობს მრავალი ძირითადი წესი, რომლებიც უნდა შეიქმნას უსაფრთხოების მაღალი დონის შესანარჩუნებლად.

  • მიეცით რაც შეიძლება ნაკლები პრივილეგია: მოდულებს უნდა შეეძლოთ მხოლოდ იმ ინფორმაციის და რესურსების წვდომა, რომლებიც აუცილებელია მათი კონკრეტული მიზნებისათვის.
  • დაუსაბუთებელი მომხმარებლების და ანონიმური ანგარიშების უარყოფა: შეზღუდული დაშვება “კარგი მომხმარებლებისთვის”, რომელსაც თქვენ იცნობთ და ენდობით, შეიძლება ხელი შეუწყოს გაჟონვას.
  • წარუმატებელი შესვლის შეზღუდვები აღასრულეთ. უხეში ძალის შეტევების თავიდან ასაცილებლად ან იმედგაცრუების კარგი მეთოდია ანგარიშებზე წვდომის შეჩერება ან შეფერხება, რომლებიც მოხვდნენ ჩავარდნილი შესვლის გარკვეულ რაოდენობას.

ეს ყველა ელემენტია, რომლებიც უნდა გაითვალისწინოთ, როდესაც თქვენი სისტემა პირველად დაპროექტებულია. ეს დაგეხმარებათ თავიდან აიცილოთ თქვენი ქსელი თავიდანვე, ვიდრე უკან დაბრუნება და უსაფრთხოების პროტოკოლების განხორციელება მხოლოდ მას შემდეგ რაც მიხვდებით, რომ თქვენი სისტემა არ არის უსაფრთხო.

8. არასოდეს დატოვოთ სისტემა ინტერნეტთან ღია, ავტორიზაციის მოთხოვნის გარეშე. შეიქმნა მრავალი ადვილად ხელმისაწვდომი პროგრამა, რომელიც შიდა ქსელში გამოიყენებოდა უსაფრთხო ქსელში. მათი მიზანი კონკრეტული სისტემის დანერგვაა, რაც ნიშნავს რომ ისინი არ არიან ზემოთ ჩამოთვლილი მრავალი ოქმით. ბევრ მათგანს ჯერ კიდევ აქვთ შესასვლელი გარედან, რაც საფრთხეს უქმნის უსაფრთხოების რისკს. ამ რისკის შესამცირებლად, უმჯობესია დავრწმუნდეთ, რომ ისინი კონფიგურებულია გარედან, თუ ეს არ არის აუცილებელი.

9. გამოიყენეთ VPN: ზემოთ მოცემულ ნაბიჯებთან ერთად, VPN– ები თქვენი მონაცემების დაცვაში დაგეხმარებათ მრავალი გზით. კარგი VPN გამოიყენებს საკუთარ პირად სერვერებს, ასე რომ თქვენი მონაცემები არ ექვემდებარება საზოგადოებრივ არხებს, რომელთა მარტივად გამოყენება შესაძლებელია. მათ ასევე დაშიფვრავენ ნებისმიერი მონაცემი, რომელიც მოგზაურობს თქვენს მოწყობილობასა და სერვერს შორის. ამ გზით, თუნდაც გაჟონვის არსებობა, თქვენს საქმიანობას ექნება დაცვის დამატებითი ფენა. დამატებითი ინფორმაციისთვის, თუ როგორ უნდა აირჩიოთ VPN თქვენი ბიზნესისთვის, ჩვენ გამოვაქვეყნეთ სასარგებლო სახელმძღვანელო.

10. შეისწავლეთ პოტენციური დაუცველები საკუთარი. ზემოთ მოყვანილი ნაბიჯები მხოლოდ საფუძვლებია, როდესაც საქმე თქვენი სისტემის უსაფრთხოებას ეხება. გსურთ გააგრძელოთ კითხვა ისეთ საკითხებზე, როგორებიცაა ახალი ექსპლუატაციები და შეტევის ვექტორები. რეგულარულად ქვეყნდება ახალი კვლევები, თუ როგორ უნდა იპოვოთ გაჟონვა. თქვენი სისტემის უზრუნველყოფის საუკეთესო გზაა თქვენი უსაფრთხოების პოტენციური საფრთხეების გაცნობიერება, მაშინაც კი, როდესაც ისინი შეიძლება არ მოგეჩვენოთ დაუყოვნებლივ დაკავშირებული თქვენს სისტემასთან..

Შემაჯამებელი

თქვენი ვებსაიტის დაბლოკვით ან მონაცემთა ბაზის გაჟონვის შედეგად შეიძლება დამანგრეველი იყოს თქვენი ბიზნესისათვის. როდესაც ტოპ კომპანიებიც კი დაზარალდნენ უცხოური ჰაკერების შედეგად, მნიშვნელოვანია იცოდეთ თქვენი სისტემის შესაძლო ხარვეზების შესახებ. ეს უფრო ადვილია ნულიდან იწყება უსაფრთხო სისტემა ვიდრე დაბრუნდეთ და გაასუფთავოთ თქვენი პროტოკოლის დასრულების შემდეგ. უფრო მეტიც, თუ თავიდანვე არ იყო უსაფრთხო თქვენი სისტემა, შეიძლება არ იცით, რომ თქვენ განიცადეთ მონაცემთა დარღვევა.

თქვენი სისტემის უზრუნველყოფის დროს შეიძლება საშიში ამოცანა ჩანდეს, თქვენ გადადგმულ თითოეულ ნაბიჯს სხვაობა აქვს. შეიძლება დაგჭირდეთ პროფესიონალი დასაქმება, რომელიც დაგეხმარებათ ამ შემოთავაზებების განხორციელებაში. ჰაკერების ტექნიკა ყოველთვის იცვლება, ასე რომ, დარწმუნდით, რომ შეინარჩუნეთ უსაფრთხოების ზომები თქვენს მიერ დაწესებული ზომების შესახებ. ინფორმირება ყოველთვის საუკეთესო ადგილია. ეს სახელმძღვანელო დაგეხმარებათ მხოლოდ რისკების შემცირების მიზნით.

თავისუფლად გააზიარეთ და დააკოპირეთ ეს ჩანაწერი ან მისი ნაწილები თქვენს საიტზე, ბლოგზე ან სოციალურ ქსელებში. ყველა რასაც ჩვენ ვითხოვთ არის ის, რომ თქვენ მას მიაწოდოთ vpnMentor.com

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map