روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ مجرمان سایبری در سال جدید میلادی از همه زمان دیگر بیشتر سرشلوغی دارند. با تمرکز روی چهار حوزه‌ای که در ادامه توضیحشان خواهیم داد می‌توانید ایمن بمانید و از سیستم‌ها و داده‌های خود محافظت کنید. همچنین در ادامه خواهید دانست چطور می‌شود محیط خود را امن نگه داشته و تضمین دهید هیچ خطری شرکت‌تان را در سال 2023 تهدید نخواهد کرد.

1.      ضعف‌های اپلیکیشن وبی

اپلیکیشن‌های وب هسته‌ی مرکزی ساز و کار شرکت‌های SaaS هستند و آن‌ها می‌توانند حاوی برخی از حساس‌ترین داده‌ها مانند داده‌های ارزشمند مشتریان باشند. اپ‌های SaaS اغلب «چند مستأجری[1]» هستند پس اپ‌های شما نیاز دارند در برابر حملاتی که در آن‌ها یک مشتری می‌تواند به داده‌های مشتری دیگر دسترسی داشته باشد (مانند نقایص در منطق، نقایص در تزریق یا ضعف‌هایی در کنترل دسترسی) ایمن باشند. اینها براحتی توسط هکرها اکسپلویت می‌شوند و موقع نوشتن کد نیز اشتباهاتی هستند که براحتی می‌شود مرتکب شد. تست امنیتی با اسکنر آسیب‌پذیریِ خودکار به همراه یک تست نفوذ شاید بتواند به شما در طراحی و ساخت اپ‌های وب امن کمک کنند.

2.      اشتباهات در تنظیمات

محیط‌های کلود می‌توانند پیچیده باشند. مهندسین بخش CTO یا DevOps مسئول امنیت‌بخشی هر زمینه‌ای هستند. آن‌ها باید نقش کاربر و اجازه دادن به او را مدیریت کنند تا مطمئن شوند با سیاست صنعت هم‌راستا است. از این رو شناسایی تنظیمات غلط و از نو سر پا کردن آن‌ها به طور دستی کار به شدت سختی است. به نقل از گارتنر، اینها 80 درصد موارد علت نقض داده‌های امنیتی هستند و تا سال 2025 99 درصد از شکست‌های محیط کلود به خطاهای انسانی نسبت داده خواهد شد. برای تخفیف ریسک، نظارت شبکه خارجی یک الزام است و این درحالیست که تست نفوذ زیرساخت کلود مشکلاتی را نظیر تنظیمات غلط در باکت‌های S3، فایروال‌های مجاز داخل VPCها و اکانت‌های به شدت مجازِ کلود برملا خواهد ساخت. می‌توانید خودتان با بازنگری دستی و ترکیبش با ابزاری چون Scoutsuite این ممیزی را انجام دهید اما اسکنرهای آسیب‌پذیری هم می‌توانند در کاهش و نظارت بر سطح حمله شما کمک کنند (چنین ابزارهایی این کار را با تضمین اینکه فقط سرویس‌هایی که نیاز دارند در معرض اینترنت قرار گیرند قابلیت دسترسی دارند انجام می‌دهند).

3.      نرم‌افزارهای آسیب‌پذیر و پچ

شاید این به نظر واضح بیاید اما همچنان مشکل بزرگی است که برای هر کس و هر کسب و کاری می‌تواند پیش بیاید. شرکت‌های SaaS هم از این قاعده مستثنی نیستند. اگر خودتان میزبانی اپی را می‌کنید باید تضمین دهید سیستم‌عامل و پچ‌های امنیتی آرشیو همانطور که نشر شدند به کار می‌روند. این متأسفانه پروسه‌ای است رو به رشد زیرا آسیب‌پذیری‌های امنیتی در سیستم‌عامل‌ها و آرشیوها مدام در حال کشف شدن و پچ شدن هستند. استفاده از اقدامات DevOps و زیرساخت موقتی شاید تضمین دهد سرویس‌تان همیشه با هر عرضه برای سیستم تمام پچ‌شده به کار گرفته می‌شود اما همچنین نیاز است که برای هر ضعفی که احتمال کشف شدن دارد (بین عرضه‌ها) نظارت صورت گیرد. جایگزینِ میزبانی شخصی، آفرهای رایگان یا PaaS[2] هستند که در کانتینر اپ شما را اجرا می‌کنند. چنین کانتینری کار پچ سیستم‌عامل شما را انجام می‌دهد. با این وجود، هنوز باید مطمئن شوید که آرشیوهایی که سرویس شما استفاده می‌کند با پچ‌های امنیتی آپدیت می‌شوند.

4.      خط‌مشی‌های امنیتی درونی ضعیف و اقدامات

بسیاری از شرکت‌های SaaS کوچک و در حال رشدند. موضع امنیتی آن‌ها می‌تواند از این رو ضعیف باشد اما هکرها تبعیض قائل نمی‌شوند: آن‌ها به طور خاص کسب و کارهای SaaS را نیز مورد حمله قرار می‌دهند. کارهایی ساده از قبیل استفاده از مدیر کلمه عبور، فعالسازی احراز هویت دوعاملی و آموزش به کارمندان در خصوص امنیت سایبری می‌تواند تا حد زیادی لایه محافظتی شما را قوی‌تر کند. مدیر کلمه عبور که هم کاربردش ساده است و هم هزینه کمی دارد به شما در حفظ پسوردهایی امن و منحصر به فرد در کل سرویس‌های آنلاین که خودتان و تیم‌تان استفاده می‌کنید کمک می‌کند. مطمئن شوید همه در تیم شما از یکی از این مدیرهای کلمه عبور استفاده می‌کنند- ترجیحاً آنی باشد که خود به تنهایی سوژه‌ی نقض‌های مکرر نشده. حتی‌الامکان هم از احراز هویت دو یا چندعاملی استفاده کنید. 2FA سوای پسورد درست به یک توکن احراز هویت صحیح هم نیاز دارد. این می‌تواند کلید امنیتی سخت‌افزاری (بالاترین حد امنیت)، پسورد یک بار مصرف محدود به زمان (تا حدی امن) یا پسورد یک بار مصرف ساده (امنیت پایین) باشد. همه سرویس‌ها شاید از احراز هویت دوعاملی پشتیبانی نکنند اما تا جایی که پشتیبانی می‌شود آن را فعال کنید. در آخر نیز مطمئن شوید تیم شما بلد است چطور بهداشت سایبری را حفظ کند خصوصاً در مورد اینکه چطور می‌شود لینک‌های فیشینگ را شناسایی کرد و جلوی کلیک کردن رویشان را گرفت.

[1]در دانش رایانه اشاره به شیوه ای در طراحی معماری سیستمهای است که نرم‌افزار را به صورت سرویس ارائه می دهند. یک سیستم چند مستاجری یک نمونه در حال اجرای برنامه را بین گروهی از اجاره کنندگان (مشتری‌های سرویس) به اشتراک می گذارند. به جای اینکه هر کاربر از یک نمونه در حال اجرای برنامه اختصاصی استفاده کند، این نمونه بین چندین کاربر به اشتراک گذارده می‌شود.

[2] Serverless and platform as a service

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.