LinkedinFacebook

حقیقت در مورد امنیت سایبری

طراحی اپلیکیشن

امنیت سایبری چیست؟

بر اساس مطالعه‌ای که توسط Michel Cukier، استاد مهندسی مکانیک در دانشگاه مریلند انجام شد، هکرها هر 39 ثانیه یک بار به کامپیوتر حمله می‌کنند. تقریباً شگفت‌انگیز است تعداد افرادی که معتقدند هرگز هک نخواهند شد زیرا معیار را برآورده نمی‌کنند.

1: کسب و کار من برای نگرانی در مورد حملات سایبری بسیار کوچک است

شما ممکن است یک کسب و کار کوچک داشته باشید، اما هکرها تمایلی به تبعیض ندارند. Martin Rues ،CISO در Outreach توضیح داد: «حملات هدفمند به یک شرکت، فرد یا دارایی با یک هدف خاص – اغلب با استفاده از اهرم‌های بهره‌برداری روز صفر انجام می‌شود.

از سوی دیگر، حملات فرصت‌طلبانه با استفاده از اسکن و سایر روش‌های سنتی برای یافتن آسیب‌پذیری‌های قابل بهره‌برداری، به دنبال قربانی می‌گردند.» و او معتقد است که بیشتر حملات در دسته دوم قرار می‌گیرند.

دلیلش این است که هکر برای اجرای یک حمله فرصت طلبانه به مهارت بالایی نیاز ندارد. «و این به نوبه خود، ترک شعاع انفجار بزرگ را برای مهاجم آسان‌تر می‌کند. در این شعاع انفجار است که شرکت های کوچکتر بدون توجه به اندازه یا حتی عملکرد تجاری خود در معرض خطر بالایی قرار دارند.

 

شرکت نرم افزاری وب نگاه در توسعه و طراحی اپلیکیشن موبایل iOS و اندروید تجربه خوبی دارد. بنابراین، اگر به دنبال طراحی اپلیکیشن موبایلی هستید که به کسب درآمد کمک می‌کند، با ایده اپلیکیشن خود با ما تماس بگیرید. دریافت مشاوره رایگان از کارشناسان ما را از دست ندهید.

09339017809

 

این یک افسانه رایج است که گرگ اسکات، متخصص امنیت سایبری، نویسنده کتاب «Bullseye Breach: The Anatomy of an Electronic Break-In»، همیشه می‌شنود. “تغییرها عبارتند از: “ما در اینجا امنیت ملی را انجام نمی‌دهیم، بنابراین هیچ بازگشت سرمایه‌ای برای هزینه‌های امنیتی وجود ندارد” یا “اگر آنها سوابق ما را می خواهند، می‌توانند آنها را داشته باشند.” و او گفت که خط استدلال دو مشکل کلیدی دارد.

شاید هیچ کس داده های شما را نمی خواهد، اما شاید داده های شما هدف واقعی نباشد. اسکات گفت: «سیستم‌های شما می‌توانند بخشی از مسیر رسیدن به هدفی شادتر باشند. اگر فکر می کنید، “خب این مشکل من نیست، چرا من اهمیت می دهم؟” پیامدها را در نظر بگیرید «شما واقعاً نمی‌خواهید که کسب‌وکارتان به عنوان یک پیاده در یک حمله سایبری بزرگ شناخته شود. ROI منفی را در تمام تبلیغات بد تصور کنید.

اسکات به دو مثال اشاره می کند. او گفت: «حمله‌کنندگان از اعتبارنامه‌های سرقت شده از Fazio Mechanical به عنوان اولین گام در نقض هدف 2013 استفاده کردند. “یک شخص ثالث نیز در نقض بزرگتر Home Depot در سال 2014 نقش داشت.”

اما دلیل دیگری برای مشکل ساز بودن این ذهنیت وجود دارد: حملات باج افزار. (بخوانید که چگونه کسب و کارها باید به حمله باج افزار پاسخ دهند؟)

اسکات گفت: “شاید داده های شما در خارج از سازمان مهم نباشد، اما اگر کسی همه چیز را به هم بزند، می تواند ویرانگر باشد.” فقط از مردم شهر آتلانتا، بالتیمور یا هزاران سازمان قربانی باج افزار دیگر در مورد آن سوال کنید.

2: تا زمانی که رمز عبور خود را اغلب تغییر می دهم…

تغییر مکرر رمزهای عبور ممکن است راه خوبی برای یک قدم جلوتر ماندن از افراد بد به نظر برسد. (Simply Secure را بخوانید: تغییر نیازهای رمز عبور آسان تر برای کاربران.)

اما به گفته دن دیلمن، بنیانگذار و مدیر عامل A2U، این یک افسانه است. در گذشته، او گفت که صنعت به کاربران توصیه می‌کرد که رمزهای عبور خود را مرتباً تغییر دهند – به طوری که هر 90 روز یکبار منقضی شوند.

آنچه ما دریافتیم – و تحقیقات تایید می کند – این است که کاربران را به سمت انتخاب رمزهای عبور قابل پیش بینی سوق می دهد که به راحتی به خاطر سپرده می شوند، به این معنی که حدس زدن آن رمز عبور برای هکرها نیز آسان تر است.

چه کسی می تواند رمزهای عبور وحشتناک “گذرواژه” یا “12345” یا “abcde” را فراموش کند؟ تاریخ تولد، شماره تلفن، شماره تامین اجتماعی و هر رمز عبوری که در یک کتاب، سخنرانی، یک برنامه تلویزیونی و غیره یافت می شود را می توان حدس زد یا تابع برنامه های رایانه ای است که به طور مداوم رمزهای عبور را جستجو می کنند.

Dillman در واقع توصیه می کند رمزهای عبور را طوری تنظیم کنید که منقضی نشوند. او توصیه کرد: «روی پیچیدگی رمز عبور تمرکز کنید، نه تعداد دفعات بازنشانی. من کاربران را تشویق می‌کنم تا رمزهای عبور خود را با دقت انتخاب کنند و بهترین روش‌ها برای امنیت رمز عبور را دنبال کنند، مانند اجتناب از رمزهای عبوری که در وب‌سایت‌های دیگر استفاده می‌کنند یا کلمات و عبارات رایج.» یک مثال از یک رمز عبور پیچیده تر ZC!mb&RRax*eK%sn#.1 است

Dillman همچنین استفاده از احراز هویت چند عاملی (MFA) را برای سطح بالاتری از امنیت توصیه می کند. (مبانی احراز هویت دو مرحله ای را بخوانید.)

3: سیاست از ما محافظت می کند

با این حال، گذرواژه‌های قوی فقط می‌توانند محافظت بسیار زیادی را ایجاد کنند. برندان کالفیلد، یکی از بنیانگذاران گروه تورینگ ServerCentral می گوید: «در سال 2013، تقریباً 70 درصد از حملات سایبری بزرگ به شرکت ها شامل نوعی مهندسی اجتماعی بود. “این نوع تهدید هنوز هم امروزه رایج است و هیچ مقدار تغییر خط مشی یا رمز عبور قادر به مبارزه با این نوع بردار نخواهد بود.”

بهترین دفاع را آموزش، آگاهی و بدبینی دانست. بسیاری از شرکت‌ها از آموزش کارکنان خود در مورد این موضوعات استقبال کرده‌اند، اما ما راه درازی در پیش داریم و مهاجمان معمولاً حداقل یک قدم جلوتر هستند.» کالفیلد گفت که به این نوع حملات مشکوک است و همیشه مراقب آنهاست.

با این حال، من هر هفته چندین بار هدف قرار می‌گیرم و حملات همچنان پیچیده‌تر و پیچیده‌تر می‌شوند و استشمام کردن محتوای بد ممکن است یک چالش باشد – حتی برای کسی که مشکوک و تحصیل کرده است.

در عوض، او معتقد است که آموزش و پرورش ضروری است. “آموزش فقط در مورد تاکتیک های خاص نیست، بلکه برای اطمینان از اینکه می توانید چیزی مشکوک را تشخیص دهید.” و کالفید گفت باید کوشا باشید. او می‌گوید: «فقط یک‌بار بی‌حرمتی می‌تواند عواقب بدی داشته باشد – برای شخص و برای کسب‌وکار.»

4: افراد بد فقط در اینترنت هستند

در حالی که برخی از بازیگران بد در اینترنت وجود دارند، نمی توانید این احتمال را نادیده بگیرید که ممکن است آنها نیز در اتاق استراحت شرکت در کنار شما بنشینند. کالفیلد هشدار داد: «نمونه‌های برجسته بسیاری از حملات امنیت سایبری وجود دارد که از داخل کسب‌وکار منشا گرفته‌اند.

برخی از این ها داستان هایی در مورد دسترسی و بازیگران بدی است که به IP یک شرکت دسترسی داشتند و از آن به نفع خود و به ضرر شرکت استفاده کردند. او چند نمونه برجسته ارائه کرد:

یک مهندس گوگل فناوری خودروهای خودران را دزدید و زمانی که برای کار در اوبر رفت IP با خود برد.
در سال 2017، یکی از کارمندان Anthem در حال سرقت و سوء استفاده از PHI (اطلاعات بهداشتی محافظت شده) برای مشترکین Medicaid و استفاده از آن داده ها برای منافع شخصی بود.
Verizon گزارش می دهد که 58٪ از نشت های PHI گزارش شده (تمایز مهم) نتیجه افراد مخرب یا سهل انگار بوده است.

شناسایی این نوع حملات مهندسی اجتماعی دشوار است زیرا کارمندان به ندرت به همکاران و همکاران خود مشکوک هستند – اما اینها افرادی هستند که به داده ها، PII (اطلاعات قابل شناسایی شخصی) و IP دسترسی دارند.

کالفیلد هشدار داد: «همه شرکت‌ها باید این موضوع را جدی بگیرند و کنترل‌های دقیقی در مورد اینکه چه کسی به چه چیزی دسترسی دارد، داشته باشند. آنها همچنین به رویه‌های بسیار سفت و سخت داخلی و خارجی و همچنین فرآیندهایی برای ممیزی و اعتبارسنجی منظم امنیت داخلی نیاز دارند تا مطمئن شوند که همه کارمندان فقط به آنچه که برای انجام وظایف خود به آن نیاز دارند دسترسی دارند.»

گزینه دیگر پیاده سازی سیستم هایی است که می توانند فعالیت های مشکوک را نظارت کنند و در صورت شناسایی فعالیت مشکوک به تیم امنیتی شما هشدار دهند.

 

طراحی اپلیکیشن

5: من مالک داده های رسانه های اجتماعی خود هستم

بیشتر افراد از رسانه‌های اجتماعی برای فعالیت شخصی استفاده می‌کنند – اگرچه شرکت‌ها نیز از آن برای تبلیغات و ارتباط با مشتریان استفاده می‌کنند. کریگ کارپنتر، مدیر عامل X1، گفت: «آنها همچنین از آن برای اهداف تجاری و قانونی، از جمله رد صلاحیت نامزدهای شغلی یا مدرسه، برای ایمنی مدرسه یا رویداد، و به عنوان مدرکی برای اقدامات قانونی استفاده می‌کنند.» کارمندان به دلیل انتشار پست‌های توهین‌آمیز در شبکه‌های اجتماعی از کار اخراج شده‌اند، حتی اگر در زمان نوشتن آن‌ها خارج از وظیفه بودند.

کارپنتر توضیح داد: «پست‌های رسانه‌های اجتماعی نیز به عنوان بخشی از روند استخدام یا به عنوان نمایشی در دعاوی مورد استفاده قرار گرفته‌اند. به عنوان مثال، در یک پرونده دادگاه آوریل 2018، (ها علیه کافه بامگارت در لیوینگستون)، وکیل دادگستری نتوانست به موقع درخواست خود را ارائه دهد و به او دستور داده شد که چرایی مهلت مقرر را از دست داده توضیح دهد. وکیل اظهار داشت که در یک اورژانس خانوادگی، او باید خارج از کشور باشد. با این حال، پست‌های رسانه های اجتماعی ارائه شده به دادگاه خلاف این را ثابت کرد و وکیل به پرداخت 10000 دلار جریمه محکوم شد.

از داده‌های رسانه‌های اجتماعی به روش‌های دیگری نیز استفاده شده است. کلاهبرداران عکس‌های بچه‌ها را دزدیده‌اند تا در کمپین‌های تقلبی GoFundMe از آن‌ها استفاده کنند، و عکس‌های افراد جذاب معمولاً به‌عنوان عکس پروفایل در سایت‌های دوستیابی – و حتی توییتر – استفاده می‌شوند.

6: رایانه کار من رایانه من است

اگر یک لپ تاپ کار دارید، راحت است که اطلاعات شخصی خود را روی آن نگه دارید. با این حال، کارپنتر گفت این یک عادت بد است که می‌تواند باعث سردردهای زیادی برای کارمند و شرکت شود. “در ابتدا، در ایالات متحده، تجهیزات تولید شده توسط شرکت تقریباً همیشه متعلق به شرکت است – از جمله تمام محتوای موجود در آن (از طریق کلمات استاندارد در قراردادهای استفاده کارکنان). در نتیجه، بدون اطلاع قبلی قابل فراخوانی است.

ثانیاً، اگر لپ‌تاپ به عنوان بخشی از رویدادهای سایبری شرکتی که به طور فزاینده‌ای متداول هستند، نقض شود، آن محتوای شخصی می‌تواند به سرقت رفته و برای مقاصد شرورانه استفاده شود، به عنوان مثال. کارپنتر گفت: اخاذی. “سوم، ممکن است کارمندان از نگهداری اطلاعات شخصی در دستگاه‌های صادر شده توسط شرکت منع شوند و این باعث می‌شود کارمند برای نظم و انضباط احتمالی شرکت تنظیم شود.”

 

بیشتر بخوانید: 5کلید طلایی که هر توسعه دهنده اپلیکیشن موبایل باید در سال 2022  بداند

 

و چهارم، از آنجایی که تجهیزات متعلق به این شرکت است، او گفت که ممکن است با مسئولیت داشتن PII غیر تحریمی در لپ‌تاپ‌ها مواجه شود.

 

Webnegahcompanyمشاهده نوشته ها

وب نگاه با بیش از 20 سال فعالیت در حوزه برنامه نویسی و طراحی اپلیکیشن سعی دارد با نوشتن مقالات جذاب شما را بیشتر با این حوزه آشنا کند

امکان ارسال دیدگاه وجود ندارد!