აირჩიეთ ქვეყანა
  • Latin America
  • Central & Eastern Europe
  • Middle East & Africa
  • Asia
Latin America
Central & Eastern Europe
Middle East & Africa
Asia
frontend.menu-select_a_city
+995 32 255-99-28
georgia@noventiq.com
+995 32 255-99-28
georgia@noventiq.com
ჩვენი მომსახურება, პროექტები, სერვისები

მთავარი კომპანიის შესახებ ბლოგი Synergy Effect

Synergy Effect

03.04.2020
Synergy Effect

 

ვებ-გვერდი არის ნებისმიერი კომპანიის სახე, ხოლო ვებ-აპლიკაცია და ვებ-პორტალი გვთავაზობს მნიშვნელოვან ფუნქციებს და კონკურენტუნარიან უპირატესობებს.

რითი დაიწყო?

10-15 წლის წინ კორპორატიული ვებ-გვერდების უმეტესობა ფუნქციონირებდა, როგორც «სავიზიტო ბარათები». დაწერილი იყო HTML-ზე და ასახავდა სტატისტიკურ ინფორმაციას მომხმარებლებისათვის. არ იყო ინტერაქტიული, ამიტომაც  არაფერი ემუქრებოდა უსაფრთხოების თვალსაზრისით. თუმცა პროგრამირების ახალი ენების გამოჩენით რესურსები სულ უფრო მეტ დინამიურ კონტენტს შეიცავს, ვიდრე სტატისტიკურ მონაცემებს.

მომხმარებლებმა დაიწყეს თავიანთი მონაცემების წარმოდგენა ვებ-რესურსებზე, რამაც გამოიწვია მოწყვლადობა. ზოგი იძლევა კონფიდენციალური კონტენტის ჩატვირთვის საშუალებას, მაშინ როდესაც სხვები ააშკარავებენ საიტზე მომხმარებელთა მონაცემებს. ამ ახალმა საფრთხეებმა განაპირობა ვებ-უსაფრთხოების ინსტრუმენტების შექმნა.

როგორი კომპანიები საჭიროებს ვებ-რესურსების დაცვას?

ბანკები პირველები აღმოჩნდნენ რისკის ჯგუფში: მათ შექმნეს საბანკო მომსახურების დისტანციური სისტემები, სადაც მომხმარებლებს შეეძლოთ სისტემაში შესვლა, გადახდების და საბანკო გადარიცხვების განხორციელება. ეს შესაძლებლობები აღმოჩნდა მომზიდველი ბოროტმოქმედებისათვის - მათ დაიწყეს მოწყვლადობის ძებნა აღნიშნულ რესურსებში, რათა არასანქცინირებული გადასახადები განეხორციელებინათ სხვა ადამიანების სახელით. ამიტომაც თავდაპირველად ბანკებმა დაიცვეს თავიანთი ვებ-რესურსები - ახლა მათ უმეტესობას გააჩნია მრავალდონიანი დაცვა. მათი მაგალითი აიტაცეს სატელეკომუნიკაციო და სხვა ორგანიზაციებმაც, რომელთაც სჭირდებოდათ თავიანთი მომხმარებლების მონაცემების დაცვა.

სავაჭრო პლატფორმების და ბირჟების დაცვა წარმოადგენს ახალ ტენდენციას, რადგანაც ისინიც არიან მოწყვლადები ბოროტმოქმედებისათვის. ბაზარი ითხოვს ელექტრონული სწავლების დაცვის სისტემას, რომელიც ფართოდ ინერგება მთელ მსოფლიოში. სტუდენტები იყენებენ მას კონტენტთან წვდომისათვის და ტესტების გასავლელად, ამიტომ მონაცემების გაყალბებამ შეიძლება იმოქმედოს მათ შეფასებაზე. გარდა ამისა, სახელმწიფო ორგანიზაციებმა, განსაკუთრებით კომუნალურმა და ენერგო კომპანიებმა უნდა უზრუნველყონ მომხმარებელთა მონაცემების უსაფრთხოება ერთიან ფანჯარაში.

ვებ-აპლიკაციების მოწყვლადობის სახეობები

ზოგიერთ საფრთხეს შეუძლია ვებ-გვერდის დაზიანება - თავდამსხმელი ათავსებს ისეთ ინფორმაციას, რაც მფლობელს უფუჭებს სახელს.

მოწყვლადობის სხვა სახეობა ხაკერებს აძლევს საშუალებას მავნე კონტენტი ჩატვირთონ რესურსზე. მომხმარებელი, რომელიც აღნიშნულ რესურსზე შევა, ინფიცირდება ვირუსით. დავირუსებული შეტევების მიზანი ვებ-რესურსებიდან ინფორმაციის მოპარვაა. მომხმარებელთა მონაცემები, პირადი ანგარიშები, ელექტრონული ფოსტის მისამართები და ტელეფონები შესაძლებელია გამოყენებულ იქნას ტარგეტირებული შეტევებისათვის ან სპამის, ვირუსების დაგზავნის მიზნით და სხვ.

ხაკერებისათვის,  ინტერნეტის საშუალებით, კორპორატიულ ქსელში შესვლის წერტილიდან შეუძლიათ კორპორატიული პორტალით სარგებლობა. ბოროტმოქმედები ქმნიან  ვებ-პორტალის შეტევის საფუძველს, შემდეგ კი იწყებენ შეტევას შიდა ინფრასტრუქტურაზე.

ადამიანური ფაქტორი

მომხმარებლის ინფორმირება კიბერშეტევის შესახებ იგვიანებს, ვინაიდან შეტევების სახეობა იხვეწება დაცვის სისტემების განვითარებასთან პარალელურად. ბევრი კომპანია დაინტერესებულია მომხმარებელთა ცოდნის ამაღლებით და აქვეყნებს სტატიებს იმის თაობაზე, თუ როგორ შეიძლება დავიცვათ თავი ვებ-რესურსებთან მუშაობისას და როგორ მოვიქცეთ პრობლემის შემთხვევაში. აგრეთვე ძალზედ მნიშვნელოვანია ინციდენტების გამოძიების შესახებ პროცედურების მიღება და მათი დაცვა.

მომხმარებლების დაცვის ძირითად მეთოდს წარმოადგენს SSL უსაფრთხოების სერთიფიკატების შემოწმება, რომლებიც იძლევა მომხმარებლის კონკრეტულ რესურსზე ტრაფიკის დაშიფრვის საშუალებას, რათა გამორიცხულ იქნას მისი არასანქციონირებული გაყალბება. მას ემატება მრავალფაქტორიანი აუტენტიფიკაცია პაროლის გამოყენებით და დამადასტურებელი SMS შეტყობინებით.

მომხმარებლები ფრთხილად უნდა იყვნენ ფიშინგთან და დარწმუნებულები, რომ მათ მიერ გამოყენებული ვებ-გვერდი არის ორიგინალური. ყალბი ვებ-გვერდების დასახელებები ხშირად განსხვავება ორიგინალისგან მხოლოდ ერთი ასოთი ან ციფრით. მომხმარებელი ხედავს მისთვის ნაცნობ ეკრანს, შეჰყავს თავისი მონაცემები, ამ დროს თავდამსხხმელი კი იღებს მის მონაცემებს.

როგორ ვუზრუნველყოთ ვებ-გვერდის უსაფრთხოება?

ბევრი ინტეგრატორი სთავაზობს მომხმარებელს WAF-ს (ვებ-აპლიკაციის ბრანდმაუერი), როგორც ვებ-უსაფრთხოების მთავარ ინსტრუმენტს. WAF - ეს არის პროდუქტი, რომელიც აანალიზებს რესურსზე გადმოსაცემ მონაცემებს, ავლენს შეტევებს და არასანქცირებულ ქმედებებს.

აპრიორი WAF-ს მართლაც შეუძლია მსხვილი შეტევების პრევენცია. ის აჩქარებს ინციდენტებზე რეაგირებას, აწვდის ადმინისტრატორს ინფორმაციას  პორტების სკანირების მცდელობებზე ან გამოვლენილ სუსტ წერტილებზე განხორციელებულ შეტევებზე.

რადგანაც ვებ-გვერდების შინაარსი და ფუნქციონალობა დროთა განმავლობაში იცვლება, საჭიროა WAF-ის სწორი მუშაობის კონტროლი და ვებ-რესურსების რეგულარული შემოწმება.

მოწყვლადობის ანალიზი და ტესტირება შეღწევადობაზე

არსებობს ვებ-გვერდების უსაფრთხოების ორი ტიპის აუდიტი - ტესტები შეღწევადობაზე (პენტესტები) და მოწყვლადობის ანალიზი. კომპანიების მცირე რაოდენობა უზრუნველყოფს ორივე ტიპის ტესტს ერთ-ერთზე აქცენტის გარეშე. ჩვენ გვაქვს კომპლექსური პროექტების განხორციელების გამოცდილება, რომლის დროსაც გამოიყენება როგორც ტესტები შეღწევადობაზე, ასევე კეთდება სკანირება მოწყვლადობის არსებობაზე. ტესტის შედეგები გვაძლევს ვებ-რესურსების ბრანდმაუერის ვებ-აპლიკაციების დაცვის საშუალებას.

ნულოვანი დღის მოწყვლადობა: როგორ მოვიქცეთ?

მკვლევარები და ხაკერები ყოველთვის ეძებენ შეტევების ახალ ვექტორებს და ნულოვანი დღის მოწყვლადობას, რაც ვლინდება პროცესში და ხაკერი, რომელიც თქვენ გიტევთ, შესაძლოა ფლობდეს ინფორმაციას მათ შესახებ. ასეთ სიტუაციაში ვებ-უსაფრთხოების ინსტრუმენტებს შეუძლიათ მოიგონ თქვენთვის დამატებითი დრო. თქვენ დაინახავთ, რომ გიმიზნებენ, ცდილობენ შეტევების სიხშირის და ვექტორების გამოთვლას, ამ დროს კი უსაფრთხოების და IT დეპარტამენტებს შეეძლებათ ზომების მიღება.

ყველა ტიპის აუდიტი არ არის ერთნაირად სასარგებლო

ზოგი კომპანია სთავაზობს მომხმარებელს ავტომატურ სკანირებას მოწყვლადობის ანალიზის ნაცვლად, მაგრამ აღნიშნულის განხილვა შეგვიძლია როგორც დამატება კიბერუსაფრთხოების აუდიტთან. სხვებს ტესტირებასთან მიმართებაში განსხვავებული მიდგომა აქვთ: პოულობენ ერთ მოწყვლადობას და აფართოვებენ მისგან შეტევის ვექტორს, შემდეგ კი მომხმარებელს სთავაზობენ შესაძლო არასანქცირებული ქმედებების შემაშფოთებელ სიას, რომელიც დაფუძნებულია მხოლოდ ერთ დასკვნაზე. რა თქმა უნდა, ეს ტესტი არ იქნება სრული.

იყავით საქმის კურსში

გახდით ჩვენი გამომწერი და მიიღეთ ინფორმაცია სიახლეების, ფასდაკლებებისა და აქციების შესახებ

გაიგეთ პირველებმა

This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply
უნიკალური IT პრაქტიკები, ქეისები, მიმოხილვები
და ექსპერტული მოსაზრებები

Ошибка

რაღაც არასწორედ წარიმართა. განაახლეთ გვერდი და სცადეთ ხელახლა.
Перезапустить
საფოსტო გზავნილზე ხელმოწერა
დახურვა