Безопасность является важным элементом любого веб-бизнеса. Когда вы проверяете свою безопасность, одна из первых вещей, которые вы должны спросить себя: что вы защищаете? Что является вашей “жемчужиной короны”?
Второй вопрос, который следует рассмотреть: от кого вы защищаете свою среду? Конкуренты? Хакеры-мошенники? Разработчики сценариев? Сотрудники? Выполнение этапов управления рисками имеет решающее значение. Точно так же, как вы не хотите защищать неправильные вещи, вы не должны истощать ресурсы, защищаясь от событий, которые с меньшей вероятностью произойдут.
Например, как бизнесу, действительно ли вам нужно инвестировать в защиту от ядерной атаки? Вероятно, нет, если ваша компания специализируется на продаже файлов cookie через Интернет. Как веб-сайт электронной коммерции, вам необходимо подумать о том, как вы будете обрабатывать информацию о кредитной карте.
Элементы надежной безопасности
Комплексная защита: иногда называемая многоуровневой безопасностью, она направлена на применение нескольких различных мер безопасности, а не только одного “супер” уровня. Для примера рассмотрим универсальное устройство безопасности, которое обещает “защитить вас от хакеров в 3 простых клика!” Звучит действительно захватывающе, но такие обещания часто не оправдываются на практике. Единый уровень — это действительно единственная точка отказа. Это похоже на наличие брандмауэра без каких-либо других мер безопасности. При многоуровневом подходе к обеспечению безопасности среда может содержать следующие элементы (и это лишь некоторые из них):
• Брандмауэр
• Определенные протоколы, ограниченные только VPN
• Идентификаторы (NID и / или HIDS)
• Пароли, необходимые для доступа к ограниченным ресурсам
• Применение надежных паролей
• Периодическое сканирование системы безопасности с внешнего периметра
• Блокировка при многократном сбое входа
• Тестирование на проникновение
• Периодическая проверка кода
Хотя приведенный выше список кажется очень длинным и сложным, на практике это обычно не так. Одна из вещей, которая помогает эффективно работать в среде, подобной вышеупомянутой, — это обучение людей, использующих ее. Когда пользователи будут понимать, по крайней мере частично, что такое безопасность и почему существуют определенные элементы, они сами станут агентами, помогающими в аудите и поддержании среды.
Принцип наименьших привилегий: Чтобы объяснить эту концепцию простыми словами, если кому-то или чему-то не НУЖЕН доступ к ресурсу, они его не получат. Пользователю может потребоваться доступ только к одному каталогу. Предоставление им административных прав для ВСЕХ каталогов было бы ошибкой. Даже если вы доверяете им и без сомнения знаете, что они не перейдут ни в какой другой каталог, это плохая идея. Что, если кто-то получит логин и войдет в эти другие каталоги?
C-I-A: C-I-A — это концепция обеспечения конфиденциальности, целостности и доступности данных / ресурсов внутри организации. Давайте рассмотрим подробнее:
Конфиденциальность: Идея состоит в том, чтобы гарантировать, что только те, кому разрешен доступ к данному ресурсу, могут это сделать. Кроме того, это типично для способа, которым такие ресурсы могут использоваться или совместно использоваться.
Целостность: В целом, это направлено на то, чтобы гарантировать, что данными не манипулировали.
Доступность: Что хорошего в безопасной и точной информации, если к ней нет доступа? Доступность гарантирует постоянный доступ к ресурсам.
5. Распространенные ошибки безопасности
Использование паролей по умолчанию или слабых паролей. Когда пароли назначены вам, вы всегда должны менять их и никогда не делиться ими с другими. Надежные пароли — это те, которые содержат минимум 8 буквенно-цифровых символов и по крайней мере один не буквенно-цифровой символ. Еще более строгой мерой безопасности является использование паролей. Кодовая фраза — это предложение / словосочетание, использующее полную пунктуацию и более 20 символов.
Не удается назначить разные уровни доступа разным пользователям. Не каждому пользователю нужен доступ ко всему, как описано в разделе “Принцип наименьших привилегий” этого информационного бюллетеня.
Не удается установить исправления безопасности. Если вы являетесь клиентом INetU, вы защищены от этого, если только вы не отказались от исправления INetU. В таком случае убедитесь, что вы поддерживаете актуальность критических исправлений, поскольку они решают серьезные проблемы безопасности.
Наличие небезопасных веб-форм.
Предполагается, что наличие брандмауэра означает, что вы полностью защищены. Брандмауэр — это только один аспект безопасности веб-сайта, хотя и важный. Слишком много людей подключают брандмауэр к сети и предполагают, что они будут в безопасности только из-за его наличия, и они не применяют комплексный подход к обеспечению безопасности.