Полное руководство по устранению уязвимостей веб-безопасности

Опубликовано: 5 Апреля, 2023

Еще в 2007 году Беннет Хазелтон показал миру, как находить номера кредитных карт с помощью поиска Google. Он набрал в Google первые восемь цифр номера кредитной карты в формате «хххх хххх» и, используя сложные числовые запросы, смог найти все 16 номеров почти миллиона кредитных карт Chase.

Когда Google узнал об этом, они сразу же начали работать над своими фильтрами, чтобы никто не мог искать в диапазонах номеров. На самом деле, на такие запросы Google будет возвращать ответ, который будет говорить что-то вроде «Ты плохой человек!» Итак, все думали, что их личная информация в безопасности, пока в 2012 году другой специалист по ИТ-безопасности не нашел способ обойти это. Вместо того, чтобы вводить диапазон вроде 5513000000000000..5513999999999999, он набрал все это в шестнадцатеричном виде, например: 13960B56A59000.. 1396F42B4A9FFF. И угадайте, что — он все еще мог получить доступ к конфиденциальной информации кредитной карты. Честно говоря, хакеры давно бы нашли эту технику и могли бы выкачать или продать миллионы такой информации на черном рынке.

Это всего лишь один пример того, что возможно в Интернете. Существуют буквально миллионы таких приемов и обходных путей, которые хакеры со злым умыслом используют уже давно. Это объясняет, почему каждая крупная компания, имеющая дело с конфиденциальной информацией, сталкивалась с утечкой информации за последние пять лет или около того. Только в 2016 году было совершено более 500 утечек данных, включая раскрытие 427 миллионов записей из MySpace, 80 миллионов записей из Anthem и 15 миллионов записей из T-Mobile. Ни одна отрасль не застрахована от этих утечек данных, и это привело к судебным искам на миллионы долларов, не говоря уже о запятнанной репутации компаний.

Как вы думаете, почему утечки данных происходят так часто?

Одной из основных причин является отсутствие упреждающего и защитного подхода к устранению уязвимостей безопасности. Для большинства компаний безопасность становится приоритетом только после того, как произошла какая-либо утечка информации, и, к сожалению, только после того, как некоторая конфиденциальная информация попала в руки не тех людей.

Чтобы не попасть в ловушку утечки данных и связанных с этим дорогостоящих последствий, вы можете сделать следующее.

Просмотрите все данные

Внедрение и межсайтовый скриптинг (XSS) — две наиболее распространенные атаки, когда хакеры используют сайты, которые генерируют SQL-запросы или выполняют клиентские скрипты. На этих сайтах информация, введенная пользователями, обрабатывается без проверки достоверности и подлинности данных, поэтому хакеры могут внедрить нужную им информацию. В случае SQL-инъекции хакеры могут отправлять вредоносные SQL-запросы, которые могут повлиять на всю базу данных, и считается, что атака 2011 года на Sony Playstation была SQL-инъекцией. В XSS-атаках хакеры внедряют код в скрипт на стороне клиента, такой как JavaScript, и когда этот код выполняется, он может перенаправить пользователей на вредоносные сайты или просто исказить страницу.

Оба эти вида атак происходят, когда данные не проверяются в разных точках. Чтобы предотвратить эти атаки, ваше приложение должно предполагать, что все данные поступают только из ненадежного источника, независимо от того, поступают ли они из URL-адреса, базы данных или любого другого источника. Таким образом, он будет проверять каждую точку, где обрабатываются или обрабатываются предоставленные пользователем данные, тем самым уменьшая вероятность того, что хакеры внедрит свой собственный код.

Удалить уязвимые приложения

Некоторые приложения представляют большую угрозу безопасности из-за наличия в них определенных уязвимостей или отсутствия поддержки безопасности со стороны разработчиков. Лучше всего удалять такие приложения, так как уязвимости могут быть трудно, а иногда и невозможно исправить. Ниже приведены некоторые примеры приложений, которых вам следует избегать:

Apple QuickTime — это мультимедийная платформа, доступная как для MacOS, так и для Windows. В этом году Apple решила прекратить поддержку QuickTime для Windows, так как в нем есть масса уязвимостей, которые могут позволить потенциальным хакерам получить контроль над всем компьютером.

Хотя Adobe Flash Player используется для расширения возможностей просмотра веб-страниц, у него плохая репутация в плане безопасности. В течение многих лет хакеры использовали его уязвимости, чтобы наблюдать за пользователями через веб-камеру или подслушивать разговоры. Вот почему большинство современных браузеров прекратили поддержку Adobe Flash Player, но он продолжает оставаться ахиллесовой пятой в старых браузерах.

Еще одним продуктом Apple, который плохо работает в Windows, является iTunes. Эта уязвимость связана с тем, что Apple продолжает присылать обновления безопасности и исправления, которые вы должны постоянно устанавливать. Если вы пропустите хотя бы один раз или используете устаревшую версию, то вы настраиваете себя на потенциальную атаку. В общем, лучше удалить его из вашей системы, особенно если вы не следите за обновлениями.

Хотя Java используется в тысячах приложений, к которым обращаются миллиарды пользователей, в нем есть много лазеек в системе безопасности. Вот почему вам нужно постоянно быть в курсе обновлений и исправлений, чтобы убедиться, что все текущие уязвимости исправлены в вашей версии. В то же время важно удалить старые устаревшие версии Java из вашей системы, чтобы снизить вероятность атаки.

Microsoft прекратит поддержку Office 2007 к октябрю 2017 года, а это означает, что больше не будет обновлений безопасности для этого программного обеспечения. Без поддержки Office 2007 станет более уязвимым для атак. Кроме того, его плохие функции безопасности и обмена делают его легким способом для хакеров получить доступ к конфиденциальной информации.

Таким образом, вышеуказанные приложения должны быть занесены в черный список, чтобы обеспечить защиту ваших данных и систем. Если вы не знаете, как это сделать, есть такие компании, как Thycotic, которые специализируются на том, чтобы оставаться в курсе уязвимых приложений, и они даже заносят их в черный список для вас. Программное обеспечение под названием Privilege Manager for Windows, предлагаемое Thycotic, вероятно, является самым простым способом защитить вашу систему от таких уязвимых приложений.

Изображение 10333

Использование таких продуктов, как Privilege Manager для Windows, может значительно повысить безопасность вашей системы.

Избегайте сломанной аутентификации

Аутентификация — один из самых важных, но в то же время один из самых сложных аспектов реализации. Все учетные данные для аутентификации и идентификаторы сеансов должны быть постоянно защищены с помощью шифрования, чтобы предотвратить внедрение кода, XSS и кражу сеансов. Рекомендуется использовать существующие фреймворки для аутентификации, а не создавать их с нуля, чтобы убедиться, что все лазейки закрыты. Также рекомендуется использовать двухфакторную аутентификацию для финансовых и других крупных транзакций.

Улучшите настройки безопасности

Каждая инфраструктура безопасности представляет собой сложную сеть серверов, устройств, брандмауэров, баз данных и систем аутентификации. Каждый из этих элементов должен быть правильно сконфигурирован, чтобы гарантировать, что они хорошо вписываются в более крупную инфраструктуру. Даже одна неправильная конфигурация может поставить под угрозу всю систему, поэтому важно, чтобы обученные и знающие специалисты отвечали за настройку и управление конфигурациями безопасности.

Ограничить раскрытие данных

Ограничение раскрытия конфиденциальных данных, таких как SSN и номера кредитных карт, абсолютно важно. Они всегда должны быть зашифрованы, как во время передачи, так и в состоянии покоя. На самом деле пароли пользователей и информация о кредитных картах никогда и ни по какой причине не должны перемещаться по сети, кроме того, что они постоянно хэшируются.

Короче говоря, в приложениях присутствует много уязвимостей, поэтому при их использовании следует соблюдать осторожность. Когда дело доходит до безопасности, важно иметь упреждающий и защитный подход, поскольку это может иметь большое значение для снижения многих рисков для вас. Некоторые из вещей, которые вы можете сделать для защиты вашей конфиденциальной информации, — это иметь разные точки обзора для обработки пользовательских данных, удалять приложения из черного списка из вашей системы, обращаться за помощью к компаниям, которые следят за уязвимостями безопасности, использовать существующие фреймворки для аутентификации, делать правильные конфигурации безопасности, ограничение раскрытия данных и многое другое. Такой подход обязательно защитит вашу конфиденциальную информацию даже от самых изощренных хакеров.

Загрузите бесплатный инструмент обнаружения приложений конечных точек уже сегодня!

Кибер-безопасность

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Информационная безопасность и системная IT-интеграция
27 Июня, 2024
Брандмауэр в ИТ-системе
15 Апреля, 2023
Почему одного брандмауэра недостаточно? Что такое IDS и почему их стоит иметь?
15 Апреля, 2023
Новые функции безопасности Internet Explorer 6.0 с браузером .NET Server по умолчанию
15 Апреля, 2023
Виртуальная частная сеть
15 Апреля, 2023
Microsoft ISA Server, часть II — функции брандмауэра, правила политики публикации
15 Апреля, 2023
Стратегия Microsoft в отношении .NET
15 Апреля, 2023
SSH
15 Апреля, 2023