2

امنیت در اینترنت و شبکه

سازمان‌هایی در سطح جهان دریافته‌اند که امنیت سایبری می تواند، و باید، ابزاری قدرتمند زمینه ساز کسب و کار باشد: آنها استراتژی امنیت سایبری خود را با استراتژی مجموعه شرکت‌ها هماهنگ کرده‌اند، آنها این کار را با فرهنگ صحیح و تکنولوژی حمایت می کنند، آنها کارآیی آن را با دقت می‌سنجند، و آنها می دانند که کارآیی در حیطه ارزش‌های کسب و کار و بازگشت سرمایه گذاری است.
چیزی که آنها انجام نمی‌دهند، قبول یک اشتباه است، که یک اندازه مناسب برای تمام رویکرد امنیت سایبری نمی‌تواند به درستی خطرات مورد ادعا ومورد نظر را کاهش دهد، مانند اعمال نفو Investigatory Powers (IPA) و اظهار نظر اخیر Amber Rudd مبنی بر تصویب قانون منع رمزنگاری قوی.این هزینه بالای چکشکاری‌های منسوخی است که ادعای تنظیم و بهبود قابلیت‌های نظارتی را دارند. آنها نه تنها قادر به بهبود امنیت نیستند، بلکه حریم خصوصی و امنیت شهروندان و کسب و کارها را نیز دچار آسیب نموده‌اند.
سازمان‌هایی که می‌خواهند امنیت سایبری را به دارایی کسب و کار خود بدل نمایند، میتوانند از نقاط ضعف تلاش‌های پی‌در‌پی دولت برای وضع قوانین مقابله با خطرات امنیت سایبری، یاد بگیرند. به نظر من، چهار ستون اصلی استراتژی امنیت سایبری موثر وجود دارد که یک کسب و کار را قادر می‌سازد تا عملکردی ایمن و موفق داشته باشد.

1. امنیت سایبری را بخش جدایی ناپذیر از استراتژی شرکت قرار دهید

سازمان های موفق به امنیت سایبری به عنوان یک پی‌آمد آی‌تی نگاه نمی‌کنند: آنها آن را به عنوان یکی از ریسک‌های کسب و کار پذیرفته‌اند و آن را مانند هیئت مدیره به عنوان یکی دیگر ریسک‌‌های کسب و کار، نیازمند توجه و هدایت می‌دانند. آنها تکنولوژی مورد نیاز برای امنیت دارائی‌های اطلاعاتی را به عنوان زیان کسب و کار به شمار نمی‌آورند، بلکه به عنوان وسیله ای برای حمایت از رشد از آن استفاده می‌کنند.
امنیت سایبری گران است و سازمان علیرغم میزان هزینه‌هایی که در این زمینه متحمل شده‌اند، هنوز هم می‌توانند در معرض خطر باشند، اما با کار با سهام‌ داران تمام کسب و کار برای تعریف واضح خطرات خاص و سپس اولویت بندی آنها، سازمان هدف هزینه‌های خود را به طور دقیق پیدا می‌کند. تنها روش عاقلانه برای برقراری امنیت این است که پیش از پیاده سازی، برای امنیت طرحی آماده کنیم.
سازمانها همچنین باید به دقت به تاثیر کنترل های امنیتی خود توجه داشته باشند. مسدوود کردن یک خطر ممکن است به سادگی تهدیدی را متوجه جای دیگری بنماید. چگونه کارهای رمزگذاری است محرمانه نیستند: برای اطمینان از امنیت و اثربخشی، ریاضیات پشت الگوریتم‌های عمومی به طور گسترده ای برای بازبینی منتشر شده اند. نظر Amber Rudd برای محدود کردن برنامه‌هایی که رمزگذاری قوی end-to-end فراهم می‌کنند، نمی‌تواند مانع از از دانلود و کامپایل کتابخانه‌های رمزگذاری بازمتن که آزادانه در دسترس هستند، شود، و یا حتی مانع این شود که آنها برنامه‌های رمزگذاری خود را بنویسند و پیاده سازی کنند که به سادگی کپی الگوریتم‌های ریاضی در دسترس عموم می‌باشند.

۲. ایجاد فرهنگ امنیت سایبری و امکان کمک برای راهبری موفق کسب و کار

هیچ جایگاه امنی برای سازمان‌های پر کار وجود ندارد: امنیت سایبری مسئولیت همه است. طرح هایی همچون اطلاع رسانی و آموزش کاربر، کمک به کارکنان ناآشنا به IT برای شناسایی تهدیدات بالقوه و پرسش از فرآیندهای ناامن کسب و کار همراه با تشویق کادر فنی برای تعامل با همکاران خود، کمک می کند تا زمینه‌های امنیت داخلی توسعه یابد و درک عمیق‌تری از مسائل پرورش پیدا کند.همچنین مهم است به خاطر داشته باشیم که برخی از نیازهای امنیتی خاص ممکن است نیازمند تخصص متخصصین خارجی باشد.
CISO یکی از جایگاه‌های استراتژیک است. CISO کسی است که بر استراتژی کسب و کار و تعامل با سهامداران ارشد متمرکز است تا بتواند راهکارهای فنی را با نیازهای کسب و کار هماهنگ سازد.
عملکردهای امنیت سایبری در سطح جهان، شامل توانمندی بالا و تیم مجربی است که فرهنگ امنیت سایبری قدرتمندی بوجود آورند و همواره در پی یافتن راه‌های اجرای بهتر کسب و کار باشند.

۳. تمرکز بر حوزه‌های کلیدی فن آوری

سازمان‌های پیشرو در صنعت به روشنی می‌دانند که برای محافظت از دپارتمان IT کسب و کار، چه چیزی مورد نیاز است، به ویژه کسانی که در بزرگترین خطرات را در کنار بالاترین سودها معرفی می‌کنند.
آنها می دانند که چگونه از مزایای خدمات ابری بهره‌مند شوند و همزمان کنترل خود را بر دارایی‌های اطلاعاتی‌شان حفظ نمایند. آنها می توانند دستگاه های کاربر نهایی را در برابر تهدیدات هدفمند محافظت کنند و همزمان با کنترل آوردن دستگاه شخصی (BYOD)، روش‌های انعطاف پذیری برای کار ایجاد کنند.
کسب و کارهای موفق با دقت بر دارایی فناوری خود نظارت می‌کنند تا نقاط آسیب پذیری و نفوذ بالقوه را شناسایی کنند.

۴- ارزیابی دقیق عملکرد امنیت سایبری

سازمان ها باید دقیقا بدانند که امنیت سایبری آنها چگونه مؤثر تر خواهد بود، موجب می‌شود تا اندازه گیری دقیق بسیار حیاتی باشد. اقدامات سنتی اندازه گیری اثربخشی امنیت سایبری در دسترس، به اندازه کافی خوب نیست. گزاره تاریخی “چیزی نشده” رویکردی است که هیچ گونه اطلاعات مفیدی ارائه نمی‌کند مبنی بر اینکه در کدام گروه می‌توان استراتژی امنیت سایبر را بنا نمود، در عین حال که ظرفیت و انطباق معیارها تنها بخشی از داستان هستند.
این ترکیب می تواند یک حس امنیت کاذب ایجاد کند که این امر می تواند بسیار مخرب‌تر از اعترافی ساده مبنی بر عدم درک میزان اثربخشی، باشد.
دانستن تعداد ویروس‌های حذف شده و یا ایمیل‌های اسپم مسدود شده، و نیز زمان صرف شده برای شناسایی شاخص نفوذ، تنها نشان می‌دهد که چگونه سازمان به خوبی به تهدیدات واکنش نشان می‌دهد. به رغم تطابق با چک لیست‌های کنترل بهتر امنیت سایبری، هیچ تضمینی در برابر حوادث امنیتی وجود ندارد.
همچنین سازمانها باید به معیارهای سنجش هماهنگ با استراتژی توجه کنند: ارزیابی ریسک، شایستگی آنها در پیش بینی و دفاع در برابر حملات و توانایی آنها برای شناسایی و رفع علل ریشه ای پیدایش مشکلات.
از جمله معیارهای کسب و کار در ارزیابی، هیئت مدیره، درک کاملتری از عملکرد امنیتی سایبری را ارائه می دهد. ارزیابی رخدادهای امنیت سایبری از نظر هزینه و آسیب به روند کسب و کار، و نشان دادن محل افزایش عملکرد ابتکارات امنیت سایبری و یا پیشگیری از ظهور تهدیدات، نشان دهنده ارزش استراتژی کسب و کار است.
از نظر امنیت سایبری برای کسب و کار، درس های IPA و جریان خودکار و سریع تقاضا برای ممنوعیت رمزگذاری روشن است: منابع بزرگ را برای اجرای استراتژی‌هایی که متناسب با هدف نیستند و نمی‌توانند به درستی نیازمندی‌ها را بسنجند، هدر ندهید. حق داشتن امنیت سایبری شغل کارشناسان اسن و نه آماتورها.

جهت ایجاد امنیت در اینترنت و شبکه، با نمایندگی تجهیزات شبکه متصاکو در تماس باشید.

3

فایروال ها

دیر زمانی بود که، بسیاری از سازمان‌ها، فایروال‌ های معمولی را در شبکه های خود مورد استفاده قرار می‌دادند، و مدیریت آنها نسبتا ساده بود. اولین فایروالی که از لیست های دستیابی بدون تابعیت استفاده کرد، نیازمند این بود که کاربران به صراحت قوانین هر دو ترافیک خروجی و بازگشتی را، در جایی که زیربنای امنیت شبکه های اولیه بود، پیکربندی کنند – برخی از لیست های دسترسی بدون تابعیت امروزه هنوز در روترها استفاده می شوند.
با این حال، فایروال به طور چشمگیری نسبت به گذشته تکامل یافته، و با هر مرحله از تکامل، اضافه شدن ویژگی های امنیتی پیچیده تر منجر به پیچیدگی بیشتر مدیریت فایروال‌ها شده است.
اولین تکامل فایروال stateful، که می تواند جریان های ترافیکی دو جهته را باهم فیلتر کند، نیازمند آن است که کاربران سیاست‌ها را تنها برای ترافیک خروجی تنظیم کنند.این ویژگی توسط فایروال نسل جدید (NGFW)، که علاوه‌ بر پروتکل های شبکه و شماره پورت، دارای پشتیبانی از فیلتر‌های جزئی‌تر و بازرسی بسته عمیق‌تری برای شناسایی ترافیک نرم افزارهای خاص بود، دنبال شد.
تصویب مجازی سازی در مرکز داده ها، منجر به توسعه از فایروال مجازی و اضافه شدن ابزارهای مدیریتی بیشتر و درنتیجه تغییرات بیشتری گردید. در حال حاضر با حرکت به سوی سیستم‌های ابری خصوصی و عمومی، هنوز کنترل‌های امنیتی بسیاری در دسترس هستند: فایروال‌های ابر تجاری، کنترل‌های مختص ارائه دهندگان ابر، و یا فایروال‌های مبتنی بر میزبان.
همانطور که این امور با شتاب در سازمان‌های در حال گسترش و شبکه های ترکیبی مستقر می‌شوند، همچنین موجب شده‌است تا پیچیدگی مدیریت دستگاه های مختلف، و دست زدن به فرایند تغییرات در سراسر این محیط‌ های ترکیبی چند برابر شود.

نمایندگی تجهیزات شبکه متصاکو ارائه دهنده فایروال فورتی گیت، فایروال سایبروم، فایروال سوفوس و فایروال جونیپر است.

مشکلات ترجمه دستورات فایروال‌ها برای فایروال‌های دیگر

در حال حاضر واقعیت این است که سازمان‌ها به طور معمول دارای محیط های بسیار پیچیده‌ای هستند: ترکیبی از نسل‌های گوناگون فایروال، فن آوری، و فروشندگان مختلف. مدیریت چنین ترکیبی به دلیل وجود هر نسل از فایروال، و محصولات هر فروشنده، استفاده از دستور و مفاهیم مختلف برای ایجاد سیاست های امنیتی، چالش بزرگی است.
به عنوان مثال، اجازه دهید شبکه سازمانی را که از هر دو نوع فایروال‌های سنتی و NGFWs استفاده کرده است را بررسی کنیم. به عنوان مثال ممکن است سیاست سازمانی مسدود کردن دسترسی به سایت های رسانه های اجتماعی در گستره‌ی شرکت باشد. بخش بازاریابی آن باید قادر به دسترسی به فیس بوک باشد.ترافیک فیس بوک از طریق هر دو نوع فایروال عبور می کند که این به‌ این معنی است که سیاست های امنیتی جدید، نیازمند تعیین هردو این سیاست‌ها در موترد مذکور می‌باشد.
برای NGFW، این ساده و مشهود است. فیس بوک می تواند از پیش در قوانین فایروال به‌عنوان نرم‌افزار مجاز تعریف شود، در حالی که دسترسی به دیگر سایت های رسانه های اجتماعی، و از بخش های دیگر، مسدود شده است. با این حال، دیوار آتش سنتی نمی‌تواند محدوده فیس بوک را درک کند: که نیازمند “منبع”، “مقصد”، “خدمات” به‌صورت پیش‌فرض است و پروتکل‌های ‘اقدام’ که برای استفاده از http و https به فیس بوک داده می شود.
پس در واقع ایجاد تغییر در سیاست‌های امنیتی NGFW و فایروال سنتی شامل مراحل گوناگون و زبان‌های بسیار متفاوتی است. مهندسان پیکربندی دستگاه ها باید به وضوح نگاشت میان برنامه های کاربردی را (همانطور که آنها در NGFW تعریف شده‌اند)، و خدمات مربوطه، پروتکل ها و پورت‌های آنها را (همان‌گونه که در فایروال سنتی تعریف شده‌اند)، درک نماید، به طوری که قوانین و سیاست های به درستی تنظیم در هر دو محیط قابل پیاده‌سازی و تنطیم باشند.
هر گونه اشتباه و یا خطا در ترجمه میان محصولات، در هنگام تعیین این سیاست ها و یا ایجاد تغییرات شبکه پتانسیل آن را دارد که باعث قطع غیر منتظره خروجی برنامه یا پیدایش حفره های امنیتی گردد، همچنین پیدایش آن می‌تواند به دلیل مسدود شدن ناخواسته ترافیک بسیار مهم، و یا باز شدن تصادفی ترافیک های دیگر باشد. ده ها یا حتی صدها فایروال شبکه در سراسر سازمان‌های معمولی را نیز بر موارد قبلی اضافه کنید، این دستور‌العملی برای یک خوراک داغ است.

پیچیدگی‌های ابر

هنگامی که این فرایند ها تا استقرار ابر توسعه می‌یابد، بسته به کنترل های امنیتی ابر مورد استفاده، تیم های IT با چالش های بیشتری روبرو می شوند. ارائه دهنده ابر ممکن است پیشنهاد داشتن گروه‌های متعدد امنیتی را که با یک سرور حاص ارتباط دارند را ارائه دهد؛ در حالی که دیگری ممکن است تنها گروه‌های امنیتی محدودی را ارائه دهد که علاوه بر آن ممکن است اجازه دهد گروه‌های امنیتی با تمام سرورهای یک VLAN ارتباط داشته باشند.
در سطح بالا، شما ممکن است قادر به شناسایی پایین ترین مخرج مشترک برای فیلترینگ ترافیک اساسی است، اما هنگامی که شما می خواهید با دقت بیشتری فیلترینگ جزئی مورد نیاز شبکه های سازمانی را پیاده‌سازی کنید، برخی از ارائه دهندگان به این منظور قابلیت‌های خاصی ارائه می‌کنند و برخی نیز ارائه نمی‌دهند.
هر ارائه دهنده یک مدل معنایی متفاوت از آنچه شما می توانید فیلترکنید، و در کجا آن کنترل‌ها استفاده می شوند ارائه می‌کند. همچنین این با فایروال‌های پیش فرض موجود در محل سازمان متفاوت خواهد بود.
این زبان‌های مختلف به این معنی است که انتخاب سیاست امنیتی یک سازمان و اعمال آن بر همه انواع مختلف فایروال در سراسر یک شبکه ناهمگن، بسیار پیچیده است – به این معنی که حتی ایجاد تغییرات ظاهرا ساده (مانند فعال‌سازی دسترسی فیس بوک یا یوتیوب برای یک بخش در این شرکت ) مملو از خطر است.

شکستن موانع زبانی در فایروال ها

پس چگونه شما خطر تغییراتی را که باید به‌سادگی انجام شوند، کاهش می‌دهید، و تغییرات کسب و کار منجر به سیاست های امنیتی – و کاهش نیاز به تیم های IT برای تعامل با زبان‌های متعدد فایروال ها، را فراهم می‌سازید؟آنچه که نیازمندیم راهی میان دستورات و عبارات متفاوت است که هر نوع از کنترل امنیتی را – چه در سیستم‌های ابری باشد یا سیستم پیش‌فرض، که برای ایجاد قوانین و سیاست ها مورد استفاده قرار می‌گیرد را ترجمه نماید به طوری که تیم های IT بتوانند ابزارهای امنیتی خود را قادر به درک زبان مورد استفاده در کسب و کارشان نمایند.
برای دستیابی به فراتر از موانع زبانی و بهینه سازی مؤثر و مدیریت امنیت در سراسر یک محیط مرکب از یک کنسول واحد با مجموعه‌ای از دستورات، شما به یک راه حل مدیریت خودکار با چهار قابلیت کلیدی نیاز دارید:
دید و کنترل: شما باید قادر باشید همه فایروال ها، دروازه ها و کنترل های امنیتی کل شبکه خود را تنها در یک قاب شیشه ای زیر نظر داشته باشید.
مدیریت تغییرات طبیعی: شما باید قادر باشید تا این محصولات امنیتی را با نگرشی کلی به‌عنوان بخشی از یک عملیات متعارف روزانه پیکربندی و مدیریت نمایید. بنابراین راه حلی را که شما انتخاب می کنید باید قادر به ترجمه و تفسیر منطق و دستورات مختلف مورد استفاده تمام کنترل های امنیتی گوناگون باشد، و به صورت خودکار و بی‌وقفه به اجرای تغییرات سیاست‌های امنیتی بپردازد. راه حل همچنین باید تمام این تغییرات را مستند کند.
مدیریت تغییرات بزرگتر: همچنین تغییرات معماری شبکه های بزرگ در مدیریت سیاست‌های امنیتی خواسته بزرگی است. شما باید قادر باشید تا به طور خودکار سیاست های امنیتی خود را در زمان مهاجرت مراکز داده یا برنامه های کاربردی به ابر، به عنوان مثال، و یا زمانی که یک تیم از یک فروشنده به دیگری روی می‌اورد، در سراسر محیطی ناهمگن تنظیم کنید.
اثبات انطباق: امنیت شبکه، ناحیه کلیدی مورد نیاز شما است تا قادر به اثبات انطباق به ممیزان و تنظیم کننده‌ها باشید. راهکاری که به صورت خودکار همه فرآیندها و تغییرات را رهگیری می‌کند، ارزیابی خطر فعالانه‌ای داشته و حاوی گزارشاتی خارج از چهارچوب حسابرسی فراهم می کند، و می‌تواند به آمادگی برای حسابرسی و حفظ پیوسته انطباق کمک کند.

یک زبان مشترک برای همه فایروال ها

با راهکار مناسب، سازمان ها می توانند در هر دو زمینه هم‌زبانی و کسب نیازمندی‌های امنیتی عمومی از فایروال‌ها، بدون توجه به جایی که آنها مستقر هستند، اطمینان حاصل نمایند.
این مسئله سیاست‌ها را قادر می سازد تا به طور مداوم اعمال شوند، بدون، فرآیندهای دستی و وقت گیر و مستعد خطا و تضمین ترافیک شبکه می تواند با امنیت در سراسر هر دو شبکه پیش‌فرض و ابر خصوصی و یا عمومی جریان پیدا کند.پس از همه اینها، امنیت و انطباق کسب و کار شما مواردی هستند که شما نمی توانید هزینه ازدست دادن آنها را در ترجمه پرداخت نمایید.

01

امنیت سرور و وب سایت ها

امنیت سرور و وب سایت ها از اهمیت بسیار بالایی برخوردار است. در این پست راهکارهایی را برای حفظ و افزایش امنیت وبسایت و سرور به شما آموزش داده می شود.

شش گام عالی برای امنیت وب سرور

برای امنیت وب سرور دنبال چک لیست می‌گردید؟ شما خوش شانسید. در این راهنما، مایک چپل شش اقدام ساده را بیان می‌کند که شما را در امن‌تر کردن وب سرور‌تان کمک می‌کند.

اطمینان از امنیت وب سرور یکی از مهم‌ترین وظایف مسئولین امنیت اطلاعات در بحث امنیت در اینترنت و شبکه است. شما باید تعادل را حفظ کنید …
صدور اجاره دسترسی قانونی به منابع وب برای عموم، همزمان با تلاش برای اجتناب از ورود افراد بد، نقشی متضاد است. شما حتی ممکن است پیاده سازی احراز هویت مبتنی بر دو عامل، مانند RSA SecurID را نیز در نظر بگیرید تا اطمینان بالایی در سیستم احراز هویت خود داشته باشید، اما توزیع توکن‌ها برای تمام کاربران وب سایت شما عملی و یا مقرون به صرفه نخواهد بود.با وجود چنین اهداف متضادی، اینجا شش تاکتیک را شرح می‌دهیم که می توانند به قفل کردن سرورهای وب شما کمک کنند. لازم است این اصول را در تمام محصولات شبکه از جمله سوفوس و سایبروم مدنظر داشته باشید.

  • برای برنامه‌های داخلی و خارجی از سرورهای جداگانه استفاده کنید.
    می‌دانیم که سازمانها معمولا دارای دو گونه مجزا از برنامه‌های کاربردی وب هستند، بخشی از آنها که به کاربران داخلی خدمات می‌دهند و بخشی که به کاربران خارجی خدمات می دهند، جانب احتیاط آن است که این برنامه ها در سرورهای مختلف قرار گیرند. انجام این کار خطرات کاربران مخرب را در نفوذ به سرور خارجی جهت دسترسی به اطلاعات حساس داخلی، کاهش دهد.اگر منابع لازم برای اجرای این مدل را در اختیار ندارید، باید حداقل از کنترل های فنی (مانند جدا سازی فرآیند) استفاده کنید تا مانع از تعامل برنامه های داخلی و خارجی با یکدیگر شوید.
  • برای تست و اشکال زدایی برنامه‌ها از سرور توسعه جداگانه‌ای استفاده کنید.
    قرار دادن برنامه های کاربردی تست در سرور مستقل وب معقول تر به نظر می رسد — و این درست‌ است! متأسفانه، بسیاری از سازمان ها این اصل اساسی را رعایت نمی‌کنند و به جای آن به توسعه دهندگان اجازه می دهند که در سرور کاری، کدنویسی کنند و یا به تولید برنامه‌های جدید بپردازند. این ایده برای امنیت و قابلیت اطمینان بسیار وحشتناک است. کدهای آزمایشی در سیستم های تولید می‌تواند موجب ناکامی تجربه کاربری کاربران شود (به دلیل احتمال قطع کامل) و نیز می‌تواند موجب ایجاد آسیب پذیری‌های امنیتی گردد، زیرا برنامه نویسان کدهایی را منتشر می‌کنند که هنوز امتحان نشده‌اند و ممکن است آسیب پذیر باشند.اکثر سیستم های کنترل مدرن نسخه (مانند ویژوال SourceSafe مایکروسافت) می توانند به خودکارسازی فرآیند برنامه نویسی، تست و اشکال زدایی کمک کنند.
    دیگر منابع تأمین امنیت وب سرورهای
    فراگیری چگونگی راه‌اندازی ایمن وب سرور DMZ
    سرور خود را از حملات هک محافظت کنید
    اطلاع از مورد چگونگی اعمال بهترین شیوه های امنیتی Apache برای وب سرورها
  •  فعالیت های وب سایت را بررسی کنید و لاگ‌های مربوطه را در محل امنی ذخیره نمایید.
    هر متخصص حرفه ای امنیت از اهمیت نگهداری لاگ‌های مربوط به فعالیت‌های سرور آگاه است.از آنجایی که بیشتر وب سرورها در معرض دید عموم هستند، بسیار حیاتی است که این کار را برای تمام سرویسهای مبتنی بر اینترنت انجام دهید. این بررسی‌های مکرر به شما کمک می کند تا حملات را شناسایی و واکنش نشان دهید و شما را قادر می‌سازد تا مشکلات مربوط به عملکرد سرور را رفع کنید. در محیط های بسیار امن، اطمینان حاصل کنید که لاگ‌های شما در محلی که به‌لحاظ فیزیکی امن است ذخیره میشوند – ایمن ترین (اما پر زحمت‌ترین) روش این است که یک چاپگر خطی داشته باشید که ورودی رکورد را همزمان با لاگ چاپ کند، بنابراین یک سند کاغذی دائمی ایجاد می شود که توسط افراد مزاحمی که دسترسی فیزیکی به محل را ندارد، قابل تغییر نخواهد بود.همچنین شما می‌توانید استفاده معادل الکترونیکی آن را بخواهید، مانند قرار دادن لاگ‌ها در به یک میزبان امن که با رمزگذاری به صوورت امضاهای دیجیتالی ایمن شده تا از تجسس و تغییر آن پیشگیری کند.
  • شیوه‌های کد نویسی امن را به برنامه نویسان بیاموزید.
    توسعه دهندگان نرم افزار، بر ایجاد برنامه‌های کاربردی تمرکز دارند که نیاز کسب و کارها می‌باشند، و اغلب این نکته نادیده گرفته می‌شود که مهم‌ترین نیاز حیاتی کسب و کارها، امنیت اطلاعات است.به عنوان یک متخصص امنیت، این وظیفه شما است که به توسعه دهندگان در باره مسائل امنیتی تأثیر گذار بر وب سرورها، آموطش دهند. شما باید توسعه دهندگان را از مکانیزم های امنیتی موجود در شبکه خود مطلع سازید تا اطمینان حاصل کنید که نرم افزارهایی که ایجاد می کنند از این مکانیسم‌ها دور نیست. همچنین در باره مفاهیمی نظیر حملات سرریز بافر و ایزوله سازی فرآیندها آموزش‌هایی ارائه کنید. این همه مسیری طولانی است تا از شیوه‌های برنامه نویسی صحیح که به تولید برنامه‌های امن منتهی می‌شوند اطمینان حاصل کنیم.
  • سیستم عامل و سرور وب خود را پچ کنید.
    یکی دیگر از موتردی که عقل سلیم به آن حکم می‌کند آن است که اغلب اشتباهات زمانی رخ می‌دهند که مدیران شبکه بیش‌از حد سرگرم انجام وظایف دیگر شده باشند. بولتن های امنیتی، مانند آنهایی که توسط CERT یا مایکروسافت صادر شده اند، مدام یادآوری می‌کنند که چگونه اغلب فروشندگان نرم افزار تکه‌هایی را برای اصلاح آسیب پذیری های امنیتی خاص منتشر می‌کنند.این مهم است که وب سرورهای خود را برای رفع اشکالات امنیتی فعلی پچ کنید. ابزارهایی مانند سرویس به روز رسانی نرم افزار مایکروسافت (SUS) وسرویس RedHat’s up2date می‌نواند به خودکار سازی این کار کمک کند.در نهایت، هنگامی که یک نقص آشکار شد، اگر شما آن را حل نکنید، بالاخره کسی آن را پیدا می‌کند و آن را مورد بهره برداری قرار می‌دهد.
  • از اسکنر اپلیکیشن استفاده کنید.
    اگر مقرون به صرفه باشد، ممکن است بخواهید برای اعتبار سنجی توسعه کد داخلی خود از یک اسکنر اپلیکیشن استفاده کنید. ابزارهایی مانند Watchfire’s AppScan می توانند اطمینان حاصل کنند که کد قابل بهره‌برداری، شکافی ندارد و در محیط کار شکسته نمی‌شود.
    این را به یاد داشته باشید که امنیت یک حالت ذهنی است! طراحی خوب معماری وب سرور باید بر اصول امنیتی صحیح استوار باشد. پیاده سازی این شش گام به شما کمک می کند تا یک پایه قوی ایجاد کنید.
    درباره نویسنده:
    مایک چپل ، Ph.D.، CISA، CISSP، مدیر ارشد ارائه خدمات فناوری اطلاعات در دانشگاه نوتردام است.او قبلا به عنوان محقق امنیت اطلاعات با آژانس امنیت ملی و نیروی هوایی ایالات متحده همکاری داشته است.