طی چند سال گذشته، تعداد وبسایتهای تجارت الکترونیکی که هک میشوند و دادههای مشتریان خود را از دست میدهند - از جمله اطلاعات شناسایی شخصی (معروف به PII)، اعتبارنامهها (نام کاربری و رمز عبور) و اطلاعات کارت اعتباری، پیوسته افزایش یافته است.
"افزایش مداوم" در تجارت آنلاین هک شده ممکن است توصیف درستی نباشد - در واقع امسال، تیم پزشکی قانونی ما افزایش شش برابری در تعداد تحقیقات پزشکی قانونی در مورد مشاغل هک شده را در مقایسه با اعداد ما در سال 2013 پیش بینی کرده است - اگرچه تیم این کار را انجام داد. در آن سال چندین پرونده بزرگ را کار کنید.
این یک کابوس است که باید با این واقعیت روبرو شوید که کسب و کار شما غارت شده و تمام اطلاعات ارزشمند مشتری به سرقت رفته است. برخی از عواقبی که ممکن است مجبور باشید با آنها دست و پنجه نرم کنید عبارتند از:
هویت های دزدیده شده - اگر اطلاعات شخصی قابل شناسایی زیادی را ذخیره کرده اید، مجرمان ممکن است بتوانند از آن اطلاعات برای سرقت هویت مشتری شما استفاده کنند - یک مشکل بزرگ برای مشتریان شما.
کلاهبرداری - داده های کارت اعتباری سرقت شده به راحتی از طریق تراکنش های تقلبی یا فروش داده ها به مجرم دیگر به پول نقد منتقل می شود. بسیاری از ما شماره کارت اعتباری خود را دزدیدهایم - در بهترین حالت ناخوشایند است، میتواند به عنوان بدترین حالت با کنسل شدن کارتها، مشکل مهمی ایجاد کند. قرارداد شما با بانکتان در مورد حفاظت از داده های کارت چه می گوید - آیا شما مسئول این کلاهبرداری خواهید بود؟
شهرت - برای ایجاد یک شهرت قوی، کار بسیار سخت، ساعت های طولانی محصول عالی و خدمات عالی لازم است. یک شهرت خوب می تواند به سرعت از طریق مشتریان ناراضی که متوجه می شوند وب سایت شما اطلاعات آنها را به سرعت ذخیره نمی کند، به شدت خدشه دار شود. تنها به چند شکایت در رسانه های اجتماعی در مورد تراکنش های غیرمجاز کارت نیاز است تا بر شهرت شما تأثیر بگذارد.
11 گام برای بهبود امنیت وب سایت شما
دفاع از کسب و کار شما در برابر مهاجمان دیجیتال/سایبری برای موفقیت کسب و کار شما مهم است. خبر خوب این است که می توان آن را به راحتی انجام داد. ما به استراتژی «دفاع در عمق» اعتقاد داریم – داشتن چندین لایه دفاعی در اطراف وب سایت شما بهترین شانس را برای تشخیص زودهنگام حمله و دفاع موثر به شما می دهد. در زیر 11 مرحله برای بهبود امنیت وب سایت خود و کاهش خطر تبدیل شدن به یک آمار پزشکی قانونی وجود دارد. شما همچنین می توانید اینفوگرافیک را از اینجا دانلود کنید.
1. نرم افزار خود را به روز کنید.
در سال های اخیر، اکثریت قریب به اتفاق کسب و کارهای بزرگ و کوچک، از پلتفرم هایی مانند مجنتو، دروپال، تجارت سیستم عامل، وردپرس، جوملا استفاده می کنند! و خیلی های دیگر. آنها این کار را به دلایل خوبی انجام می دهند - این چارچوب ها ساخت و نگهداری یک تجارت الکترونیک بسیار موثر را بسیار آسان تر از ساخت سفارشی یا سفارشی می کنند. نکته کلیدی در استفاده از این پلتفرمها این است که باید مطمئن شوید که از بهروزترین نسخه استفاده میکنید – و به محض انتشار یک پچ جدید، وبسایت خود را بهروزرسانی کنید. روزانه تعداد زیادی از وب سایت ها فقط به این دلیل که از نسخه های قدیمی نرم افزار در وب سایت خود استفاده می کنند هک می شوند. علاوه بر این، استفاده از فایروال برنامه وب تضمین می کند که اگرچه ممکن است در ارائه آخرین به روز رسانی سریع نباشید، فایروال برنامه وب از وب سایت شما مانند یک "وصله مجازی" محافظت می کند.
2. یک مسیر مدیریت سفارشی ایجاد کنید
مهاجمان بسیاری از حملات خود را با استفاده از تکنیکهای خودکار شروع میکنند که به دنبال پیکربندیهای استاندارد در وبسایتها میگردند تا سپس حملات brute force را بر روی ترکیب نام کاربری/رمز عبور آغاز کنند. با تغییر مسیر مدیریت خود از yourwebsite.com/store/admin به yourwebsite.com/store/alskdj (یا هر چیزی که می خواهید)، مهاجمان باید برای یافتن صفحه مدیریت شما برای حمله بیشتر تلاش کنند.
3. رمزهای عبور
مدیر پزشکی قانونی ما، جیمز آلمن تالبوت، یک مقاله عالی در مورد رمزهای عبور نوشت. ما به شدت توصیه می کنیم توصیه های او را دنبال کنید و یک رمز عبور بسیار قوی، پیچیده و منحصر به فرد برای دسترسی به رابط مدیریت وب سایت خود ایجاد کنید.
اکثر مشتریان از ما می پرسند که چگونه باید رمزهای عبور طولانی و منحصر به فرد و پیچیده را به خاطر بسپارند - توصیه می کنیم از یکی از مدیران رمز عبور (LastPass، 1Password، KeePass) استفاده کنید، که مدیریت رمز عبور شما را بسیار آسان تر و موثرتر می کند.
بله، این راه حل ها ایمن نیستند - LastPass اخیراً یک نقض امنیتی را اعلام کرده است. با این حال، آنها روش بسیار موثرتری برای مدیریت رمزهای عبور زیادی که همه ما باید به صورت روزانه استفاده کنیم ارائه می دهند - و اگر رمز عبوری را که برای مدیریت رمز عبور خود استفاده می کنید بچرخانید، خطر به خطر افتادن گذرواژه های شما در یکی از این مدیران رمز عبور وجود دارد. به میزان قابل توجهی کاهش می یابد.
4. نظارت بر تغییر فایل
یکی از اولین نشانه هایی که نشان می دهد یک وب سایت به خطر افتاده است زمانی است که فایل ها شروع به معرفی، تغییر یا حذف می کنند. متأسفانه در مدیریت روزانه یک وبسایت شلوغ، تغییرات کوچک فایل مهاجم بدون فناوری نظارت بر تغییرات به راحتی از دست میرود.
تغییرات ایجاد شده توسط توسعه دهندگان وب شما = خوب است.
تغییراتی که توسط توسعه دهندگان وب شما ایجاد نشده است = فعالیت مهاجم احتمالی.
نظارت بر تغییرات در حال وقوع در وب سایت شما یک گام اساسی در طراحی است
شناسایی فعالیت های مخرب و می تواند بسیار موثر انجام شود.
5. بدافزار
بدافزار مخفف "نرم افزار مخرب" است - اصطلاحی برای انواع نرم افزارهایی که برای فعالیت های مجرمانه استفاده می شوند. از بین تمام وبسایتهایی که به دنبال نقض به آنها کمک میکنیم، حدود 90 درصد بدافزارهایی را به وبسایت خود معرفی کردهاند تا:
یک درب پشتی برای دسترسی بعدی فراهم کنید.
سایر نرم افزارهای مخرب را بارگیری کنید.
شناسایی مخفیانه را فعال کنید.
دسترسی تعاملی را برای مهاجمان فراهم کنید.
سرقت اطلاعات کارت اعتباری
سرقت اطلاعات شخصی
یا همه ی آنچه در بالاست…
برخی از بدافزارها با انجام یک اسکن خارجی قابل شناسایی هستند (نگاهی به اسکنرهای مجنتو و وردپرس رایگان ما بیندازید) با این حال، بیشتر بدافزارهایی که با آنها مواجه شدهایم به خوبی در یک وبسایت پنهان شدهاند - حتی برخی از هوشیارترین مدیران وب از شناسایی آنها طفره میروند.
ما بررسی روزانه با استفاده از یک راه حل پیشرفته تشخیص بدافزار را به عنوان دفاعی بسیار مؤثر در برابر حملات بدافزار توصیه می کنیم.
6. کاربران خود را مدیریت کنید
اگر چندین بار ورود به وب سایت خود دارید، این برای شما صدق می کند. بسیار مهم است که شما:
شناخت هر کاربر؛ و
مجوزهای مناسب را برای نقش آنها در تجارت شما به آنها اختصاص دهید.
مدیریت فعال کاربران شما ابزار مهمی برای دفاع در برابر حساب های در معرض خطر است.
به عنوان مثال، اگر نیاز دارید که امتیازات افزایش یافته را به صورت لحظه ای به کاربر اعطا کنید، مطمئن شوید که پس از اتمام کار، امتیازات او را کاهش داده اید.
به اشتراک گذاری اکانت ها اجازه ندهید – باید مطمئن شوید که دقیقاً متوجه می شوید چه کسی در وب سایت شما چه کاری انجام می دهد. استفاده از حسابهای مشترک به این معنی است که اگر یکی از «اشتراکگذاران» تغییری ایجاد کند، چگونه میدانید که چه کسی مسئول بوده است؟
نظارت بر فعالیت غیرمعمول کاربر به شما هشدار می دهد که ممکن است به خطر بیفتد.
7. نظارت بر فعالیت وب سایت
نظارت، بررسی و ذخیره گزارشی از تمام فعالیتها در وبسایت شما کلید شناسایی حملات و قادر ساختن شما به دفاع از خود است. شما باید این داده ها را (حداقل) روزانه تجزیه و تحلیل کنید تا تهدیدات را شناسایی کنید - بهتر است در زمان نزدیک به شما هشدار داده شود. اگر تراکنشهای کارت اعتباری/دبیت را انجام میدهید، باید حداقل 12 ماه از دادههای گزارش امنیتی خود را ذخیره کنید تا الزامات استاندارد امنیت داده صنعت کارت پرداخت (PCI DSS) را برآورده کنید.
8. نظارت بر داده های محافظت نشده دارنده کارت اعتباری
اکثر وبسایتهای تجارت الکترونیک به درستی تنظیم شدهاند تا دادههای تراکنش را به صورت ایمن مدیریت کنند - اغلب با استفاده از یک سرویس پرداخت امن از یک ارائهدهنده خدمات پرداخت. با این حال، با توجه به اینکه داده های دارنده کارت پرداخت برای یک مجرم بسیار ارزشمند است، بسیاری از وب سایت ها همچنان قربانی سرقت داده های دارنده کارت پرداخت می شوند.
این حملات معمولاً شامل بدافزار، تغییرات در یک وب سایت و رفتار غیرعادی سیستم است - که همه آنها باید با لایه های دیگر شناسایی و دفاع شناسایی شوند، مانند مواردی که در بالا مشخص شده است. اما اگر مهاجمان موفق شوند تا جایی که بتوانند داده های تراکنش را استخراج کنند از شناسایی فرار کنند، معمولاً آن داده ها را در یک فایل در جایی در وب سایت شما ذخیره می کنند تا بعداً برداشت شوند. اغلب اوقات این داده های کارت پرداخت در انتظار استخراج رمزگذاری نمی شوند.
یک "پان اسکن" معمولی از سیستم فایل وب سایت و پایگاه های داده برای اطلاعات محافظت نشده دارنده کارت اعتباری، این فایل ها را که برای استخراج آماده هستند شناسایی کرده و به شما در مورد مشکل هشدار می دهد.
9. از فایروال برنامه کاربردی وب پیشرفته استفاده کنید
تحقیقات ما در انجام تحقیقات قانونی در مورد مشاغل آنلاین در دهه گذشته نشان داده است که در بیش از 95٪ از تمام مشاغل تجارت الکترونیک هک شده که توسط تیم ما در یک دوره 10 ساله بررسی شده است قربانی یکی از این سه تهدید اصلی شده اند:
تزریق SQL
سوء استفاده از آسیب پذیری برنامه
کد تزریق شده (بدافزار)
یک فایروال برنامه وب که به درستی پیکربندی و مدیریت شده باشد، از وب سایت شما در برابر این حملات محافظت می کند. نه تنها این، یک فایروال برنامه کاربردی وب سایتی را با "وصله مجازی" هنگامی که یک آسیب پذیری روز صفر منتشر می شود، ارائه می دهد. این محافظت یک مدیر وب برای آزمایش پچ خریداری می کند و سپس سیستم را در زمان خودش به روز می کند، با دانستن اینکه وب سایت محافظت می شود.
10. تست و دوباره تست کنید
اینترنت موجودی پویا و در حال تحول است و وب سایت شما نیز ثابت نخواهد ماند. این بدان معناست که برای کنترل هر گونه آسیب پذیری جدیدی که می تواند ایجاد شود، نیاز به آزمایش امنیتی منظم دارد.
دو روش پیشنهادی برای تست امنیتی وجود دارد:
اسکن آسیب پذیری - این (به طور کلی) یک روش غیر نفوذی است که شامل ارسال ترافیک، پرس و جو و درخواست های خاص به وب سایت برای آزمایش وجود آسیب پذیری است. این باید حداقل یک بار در هر سه ماه انجام شود، ارزان است و می تواند خودکار باشد.
تست نفوذ - این یک فرآیند آزمایش عمیق تر از اسکن آسیب پذیری است که توسط یک شرکت متخصص انجام می شود که رفتار مهاجم را تقلید یا تقلید می کند. توصیه میشود که تست نفوذ حداقل سالیانه انجام شود، و اگرچه گرانتر از اسکن آسیبپذیری است، اثربخشی کلی آن باعث میشود که ارزش سرمایهگذاری را حتی برای مشاغل کوچک داشته باشد.
11. یک شریک امنیتی با تجربه پیدا کنید که بتوانید به او اعتماد کنید
یکی از بزرگترین چالش های ما
ببینید کسب و کارهای آنلاین سعی می کنند همه کارها را خودشان انجام دهند. به طور کلی، همه ما مهارتهای تخصصی خود را داریم که در کسب و کار روزانه خود به کار میگیریم – اکثر ما بازارهایی را که در آن کار میکنیم، درک میکنیم و میدانیم که برای رقابت مؤثر چه چیزی لازم است.
وقتی صحبت از امنیت کسب و کار شما می شود، درک تهدیدات و مهارت های دشمنان شما در تعریف استراتژی دفاعی شما بسیار مهم است.
سطح مهارتی که روزانه شاهد به کارگیری مهاجمان هستیم، نشان می دهد که آنها متخصصانی هستند که از مهارت های خود برای سرقت داده ها از قربانیان کمتر ماهر استفاده می کنند.
قیاسی که اخیراً برای نشان دادن آن استفاده کردهایم، مقایسه مهارتهای امنیتی در یک کسبوکار آنلاین متوسط با مهارتهای یک مهاجم معمولی است، مانند مقایسه مهارتهای تیم فوتبال سن آیوز زیر 10 سال با منچستریونایتد.
عدم تطابق مهارت های قابل توجهی در سراسر صنعت وجود دارد - متخصصان امنیتی ماهر زیادی برای استخدام در دسترس نیستند و آنهایی که در دسترس هستند ارزان نیستند.
برگرفته از دوره افزایش امنیت وردپرس؛ WordPress Confinity
نکته مهم:
با دوره کانفینیتی یاد میگیرید که چگونه انواع وبسایت های وردپرسی را به سپری در برابر حملات امنیتی تبدیل کنید و با استفاده از این دانش تخصصی درآمدی پایدار و پربار را به دست آورید. دوره کانفینیتی مناسب برای افراد هوشمندیست که میخواهند امنیت وبسایت خود یا مشتریان شان را تقویت کنند و درآمد پایداری داشته باشند.
|
امتیاز مطلب : 119
|
تعداد امتیازدهندگان : 24
|
مجموع امتیاز : 24