امنیت نرم افزاری

شاید در نگاه اول امنیت نرم افزاری برای شما از امنیت شبکه تان مجزا باشه ولی به نظر من اشتباه می کنین!!

هیچ شبکه ای بدون بکارگیری نرم افزار قادر به کار نیست.

این نرم افزار میتونه در پایین ترین سطوح شبکه، سیستم عامل سوئیچ و روتر شما باشه؛

یا اینکه در سطوح بالای آن قرار داشته باشه و برنامه کاربردی باشه که شما آن را در بیزینس خودتون به اجرا درآوردین.

البته اینجا منظور بیشتر برنامه های کاربردی و سرویسهای نرم افزاری شماست، ولی برای سایر بخشها نیز قابل تعمیم و استفاده است.

در صورتی که شما در شرکت خود نرم افزار و یا سرویسهای نرم افزاری تولید می کنین، مطالعه این بخش اهمیت بیشتری داره.

ولی حتی استفاده کنندگان سیستمهای نرم افزاری بایستی توصیه های این مقاله را مدنظر قرار بدن.

نرم افزار ناامن میتونه یک شبکه امن رو هم به خطر بندازه؛ پس موارد زیر رو رعایت کنین :

 

از نسخه های بروز استفاده کنید

همیشه دیده شده که شرکتهای زیادی از بروز نبودن نرم افزارهاشون ضربه خوردن.

چون معمولا تولیدکنندگان نرم افزار همیشه در نسخه های جدید دنبال رفع اشکالات هستند.

اگر این اشکالات امنیتی یا عملکردی باشه، اطلاع از اون برای یک خرابکار یا هکر میتونه به معنی دروازه ورود به سیستم شما باشه؛

این بروزرسانی شاید هزینه بر باشه ولی باور کنید برای خیلی از برنامه هاتون ارزشش رو داره.

کارشناسای آرنا میتونن شما رو در این خصوص راهنمایی کنن.

 

حتما از اطلاعاتتون بک آپ تهیه کنید

اطلاعات ارزش معادل طلا رو برای یک شرکت یا سازمان داره.

به هیچ عنوان در آماده سازی بستر بک آپ خودتون تعلل نکنید.

حتی تهیه بک آپ از سیستمهای عامل و نزم افزارها هم امروزه قابل توجیه هست.

از دست رفتن خواسته یا ناخواسته اطلاعات میتونه سود شرکت یا حتی آینده کاریش رو تحت تاثیر قرار بده.

شرکت آرنا از موفق ترین شرکتهای خدمات بک آپ و ریکاوری هستش. در صورت نیاز به مشاوره یا پیاده سازی با ما تماس بگیرید.

 

اطلاعات حساس رو رمزنگاری کنید

رمزهای عبور، وضعیت کاربران، شماره حسابها و هر اطلاعات حساس دیگه ای رو رمزنگاری کنین.

این کار رو صرفا نه برای تبادل اطلاعات، بلکه در مرحله ذخیره سازی نیز انجام بدید.

این کار ممکنه اندکی روی پردازشهای شما تاثیر داشته باشه ولی کاملا ضروریه.

اگر خودتون اطلاعات رو رمزنگاری می کنید، الگوریتم مناسبی رو انتخاب کنین و اگه میتونین اون رو بهینه یا اصلاح کنین.

کارشناسای آرنا میتونن تو این زمینه شما رو راهنمایی کنن.

 

نرم افزارهای قدیمی را جایگزین کنید

شاید کار با نرم افزارهای قدیمی مالی و حسابداریتون براتون ساده باشه و بهش عادت داشته باشین؛

ولی این رو هم مدنظر داشته باشین که این نرم افزارها برای نیاز امروز شرکت شما طراحی نشدن.

حتی شاید ملاحظات امنیتیش در زمان طراحی با امروز متفاوت شده باشه.

هزینه جایگزینی و آموزش نیروها و… همه اینها شاید کار رو برای شما سخت کنه.

ولی، دیر یا زود باید به سمتش برید. پس زودتر شروع کنید. تا ناسازگاریها بیشتر نشده.

 

از اینجا به بعد بحث کمی تخصصی تره و بیشتر مناسب تولیدکننده های نرم افزاره :

 

تاییدیه تست نفوذ دریافت کنید

در صورتی که اقدام به توسعه سیستمهای نرم افزاری کردید، توصیه می کنم که

سیستمتون را توسط متخصصین امنیت مورد آزمایش قرار بدید و  تاییدیه تست نفوذ بگیرید.

تست نفوذ (penetration Test) به مجموعه اقداماتی گفته میشه که برای ارزیابی امنیت یک سیستم کامیپوتری به کارگرفته میشه

در صورت یافتن اشکال، تیم تولیدکننده بایستی نسبت به رفع آن اقدام کنه.

توصیه می کنم که حتما از تیم مجرب در این زمینه استفاده کنید و تمامی لایه های نرم افزارتون رو مجزا تست کنید.

صرفا به آموزشهایی که بعضا در اینترنت در این خصوص پیدا میشه، اکتفا نکنید.

چون یک هکر حرفه ای هم تمامی اونها رو در نظر گرفته.

شما به احتمالاتی بیشتر از اونچه همه میدونن احتیاج دارین.

مراکز معتبر برای انجام این تست محدود هستند ولی کارشناسان شرکت آرنا میتونن شما را برای انجام یک تست معتبر راهنمایی و کمک کنن.

 

از معماریهای توزیع شده و میکروسرویس استفاده کنید

با توزیع بار سیستمهاتون روی دو یا چند سیستم و بکارگیری معماریهای میکروسرویس، شما به نوعی سیستم خودتون را در مقابل آسیب مصون می کنین.

در صورتی که برای یه بخش هم مشکلی پیش بیاد، خیلی ساده تر قابل جایگزینی و رفع اشکاله.

شما با توزیع بار میتونین پردازنده های ارزونتری رو هم استفاده کنین؛

هزینه اون را در بخش دیگه برای امنیت یا کارایی سیستم تون هزینه کنین.

با ما مشاوره کنید، کارشناسان آرنا میتونن در این زمینه شما را راهنمایی کنن.

 

جلوی هکرها بایستید

احتمالات هک و نفوذ خیلی زیادن ولی با توجه به نوع نرم افزاری که تولید می کنین، ملاحظات امنیتی رو در نظر بگیرین.

مثلا اگه سیستم تحت وب دارین، حملات تحت  وب رو شناسایی کنین و تا حد امکان جلوش بایستید.

یا اگه پرداخت موبایلی دارین حتما، حملات مرتبط رو شناسایی و دفع کنین.

چند نوع حمله رو در ادامه برای شما معرفی می کنم ولی اگه مشاوره تخصصی میخواین با کارشناسای آرنا تماس بگیرین.

 

حملات DOS  (یا Denial of Service )

شاید آشناترین نوع حمله باشه که هکر با ارسال تعداد درخواست زیاد سرور شما رو مشغول نگه می داره تا نتونید به درستی سرویس بدید.

راهکارش هم استفاده از فایروالی با ماژولهای تشخیص(IDS) و دفع حمله (IPS) هستش.

Man in the middle

هکر با استفاده از ضعف سیستم رمزنگاری با شنود اطلاعات رد و بدل شده، هویت سرور یا کاربر را جعل کرده و اقدام به سواستفاده می کنه.

برای جلوگیری از این حمله بایستی:

  • اطلاعاتتون رو رمزنگاری کنین
  • هویت سرور و کلاینت رو با استفاده از مکانیزمهایی مثل Kerberos کنترل کنین.

حمله بازنشر درخواست (  HTTP Replay)

هکر با استفاده از ابزارهای sniffer، بسته های ارسالی کاربر به سمت سرور را دریافت  و مجددا اقدام به ارسال آنها می کنه.

در صورتی که رمزنگاری و تصدیق هویت به ازای هر درخواست انجام نشده باشه، سرور شما ممکن است در تشخیص هکر آسیب پذیر باشه.

Injection ها

اینجکشنها از هر نوعی که باشن چه SQL، XML، LDAP یا JS عموما بر اثر سهل انگاری در کنترل نوع و فرمت پارامترهای ورودی به وجود میان.

سعی کنین ورودی های  کد خود را پارامتری و تایید اعتبار کنین.

Session Hijacking

وقتی SessionID های ضعیفی تولید کنین احتمال اینکه توسط هکر شناسایی و سواستفاده بشه وحود داره.

وقتی هکر بتونه به جای کاربر دیگه SessionID  تولید کنه میتونه خودش رو جای اون جا بزنه و  از طرف اون روی سیستم کار انجام بده.

پس آی.دی های پیجیده تری تولید کنید.

Brute force و Dictionary attack

هکر با استفاده از یک دیکشنری یا کاملا به صورت تصادفی اقدام به تولید و ارسال پسوردهای مختلف برای ورود به سیستم می کنه.

در این حالت شما باید هنگام ثبت نام کاربر پسوردهای ساده را قبول نکنین.

وقتی هکر چندی بار برای حدس زدن پسورد تلاش می کنه، حساب رو مسدود کنین.

 

برای مشاوره امنیت با کارشناسان آرنا تماس بگیرید.

 

 

 

  • آسیب پذیری های شبکه

    آسیب پذیری های شبکه شاید کلمه “آسیب پذیری” به اندازه “هک” و “…
  • فایروال

    راه اندازی و کانفیگ فایروال امروزه با گسترش فعالیت های شرکت ها و سازمان ها و استفاده بیش ا…
  • خدمات امنیت شبکه | کانفیگ فایروال | نصب فایروال | نصب و راه اندازی فایروال | امنیت شبکه | راه اندازی فایروال | نصب firewall

    خدمات امنیت شبکه

    خدمات امنیت شبکه از جمله خدمات شبکه در آرنا میتوان به خدمات امنیت شبکه اشاره کرد. امنیت شب…
بارگذاری بیشتر در خدمات امنیت شبکه

پاسخ دهید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *