ارائه ی خدمات مجازی

طی چند سال گذشته، تعداد وب‌سایت‌های تجارت الکترونیکی که هک می‌شوند و داده‌های مشتریان خود را از دست می‌دهند - از جمله اطلاعات شناسایی شخصی (معروف به PII)، اعتبارنامه‌ها (نام کاربری و رمز عبور) و اطلاعات کارت اعتباری، پیوسته افزایش یافته است.

"افزایش مداوم" در تجارت آنلاین هک شده ممکن است توصیف درستی نباشد - در واقع امسال، تیم پزشکی قانونی ما افزایش شش برابری در تعداد تحقیقات پزشکی قانونی در مورد مشاغل هک شده را در مقایسه با اعداد ما در سال 2013 پیش بینی کرده است - اگرچه تیم این کار را انجام داد. در آن سال چندین پرونده بزرگ را کار کنید.

این یک کابوس است که باید با این واقعیت روبرو شوید که کسب و کار شما غارت شده و تمام اطلاعات ارزشمند مشتری به سرقت رفته است. برخی از عواقبی که ممکن است مجبور باشید با آنها دست و پنجه نرم کنید عبارتند از:

هویت های دزدیده شده - اگر اطلاعات شخصی قابل شناسایی زیادی را ذخیره کرده اید، مجرمان ممکن است بتوانند از آن اطلاعات برای سرقت هویت مشتری شما استفاده کنند - یک مشکل بزرگ برای مشتریان شما.

کلاهبرداری - داده های کارت اعتباری سرقت شده به راحتی از طریق تراکنش های تقلبی یا فروش داده ها به مجرم دیگر به پول نقد منتقل می شود. بسیاری از ما شماره کارت اعتباری خود را دزدیده‌ایم - در بهترین حالت ناخوشایند است، می‌تواند به عنوان بدترین حالت با کنسل شدن کارت‌ها، مشکل مهمی ایجاد کند. قرارداد شما با بانکتان در مورد حفاظت از داده های کارت چه می گوید - آیا شما مسئول این کلاهبرداری خواهید بود؟

شهرت - برای ایجاد یک شهرت قوی، کار بسیار سخت، ساعت های طولانی محصول عالی و خدمات عالی لازم است. یک شهرت خوب می تواند به سرعت از طریق مشتریان ناراضی که متوجه می شوند وب سایت شما اطلاعات آنها را به سرعت ذخیره نمی کند، به شدت خدشه دار شود. تنها به چند شکایت در رسانه های اجتماعی در مورد تراکنش های غیرمجاز کارت نیاز است تا بر شهرت شما تأثیر بگذارد.

11 گام برای بهبود امنیت وب سایت شما

دفاع از کسب و کار شما در برابر مهاجمان دیجیتال/سایبری برای موفقیت کسب و کار شما مهم است. خبر خوب این است که می توان آن را به راحتی انجام داد. ما به استراتژی «دفاع در عمق» اعتقاد داریم – داشتن چندین لایه دفاعی در اطراف وب سایت شما بهترین شانس را برای تشخیص زودهنگام حمله و دفاع موثر به شما می دهد. در زیر 11 مرحله برای بهبود امنیت وب سایت خود و کاهش خطر تبدیل شدن به یک آمار پزشکی قانونی وجود دارد. شما همچنین می توانید اینفوگرافیک را از اینجا دانلود کنید.

1. نرم افزار خود را به روز کنید.

در سال های اخیر، اکثریت قریب به اتفاق کسب و کارهای بزرگ و کوچک، از پلتفرم هایی مانند مجنتو، دروپال، تجارت سیستم عامل، وردپرس، جوملا استفاده می کنند! و خیلی های دیگر. آنها این کار را به دلایل خوبی انجام می دهند - این چارچوب ها ساخت و نگهداری یک تجارت الکترونیک بسیار موثر را بسیار آسان تر از ساخت سفارشی یا سفارشی می کنند. نکته کلیدی در استفاده از این پلتفرم‌ها این است که باید مطمئن شوید که از به‌روزترین نسخه استفاده می‌کنید – و به محض انتشار یک پچ جدید، وب‌سایت خود را به‌روزرسانی کنید. روزانه تعداد زیادی از وب سایت ها فقط به این دلیل که از نسخه های قدیمی نرم افزار در وب سایت خود استفاده می کنند هک می شوند. علاوه بر این، استفاده از فایروال برنامه وب تضمین می کند که اگرچه ممکن است در ارائه آخرین به روز رسانی سریع نباشید، فایروال برنامه وب از وب سایت شما مانند یک "وصله مجازی" محافظت می کند.

2. یک مسیر مدیریت سفارشی ایجاد کنید

مهاجمان بسیاری از حملات خود را با استفاده از تکنیک‌های خودکار شروع می‌کنند که به دنبال پیکربندی‌های استاندارد در وب‌سایت‌ها می‌گردند تا سپس حملات brute force را بر روی ترکیب نام کاربری/رمز عبور آغاز کنند. با تغییر مسیر مدیریت خود از yourwebsite.com/store/admin به yourwebsite.com/store/alskdj (یا هر چیزی که می خواهید)، مهاجمان باید برای یافتن صفحه مدیریت شما برای حمله بیشتر تلاش کنند.

3. رمزهای عبور

مدیر پزشکی قانونی ما، جیمز آلمن تالبوت، یک مقاله عالی در مورد رمزهای عبور نوشت. ما به شدت توصیه می کنیم توصیه های او را دنبال کنید و یک رمز عبور بسیار قوی، پیچیده و منحصر به فرد برای دسترسی به رابط مدیریت وب سایت خود ایجاد کنید.

اکثر مشتریان از ما می پرسند که چگونه باید رمزهای عبور طولانی و منحصر به فرد و پیچیده را به خاطر بسپارند - توصیه می کنیم از یکی از مدیران رمز عبور (LastPass، 1Password، KeePass) استفاده کنید، که مدیریت رمز عبور شما را بسیار آسان تر و موثرتر می کند.

بله، این راه حل ها ایمن نیستند - LastPass اخیراً یک نقض امنیتی را اعلام کرده است. با این حال، آنها روش بسیار موثرتری برای مدیریت رمزهای عبور زیادی که همه ما باید به صورت روزانه استفاده کنیم ارائه می دهند - و اگر رمز عبوری را که برای مدیریت رمز عبور خود استفاده می کنید بچرخانید، خطر به خطر افتادن گذرواژه های شما در یکی از این مدیران رمز عبور وجود دارد. به میزان قابل توجهی کاهش می یابد.

4. نظارت بر تغییر فایل

یکی از اولین نشانه هایی که نشان می دهد یک وب سایت به خطر افتاده است زمانی است که فایل ها شروع به معرفی، تغییر یا حذف می کنند. متأسفانه در مدیریت روزانه یک وب‌سایت شلوغ، تغییرات کوچک فایل مهاجم بدون فناوری نظارت بر تغییرات به راحتی از دست می‌رود.

تغییرات ایجاد شده توسط توسعه دهندگان وب شما = خوب است.
تغییراتی که توسط توسعه دهندگان وب شما ایجاد نشده است = فعالیت مهاجم احتمالی.
نظارت بر تغییرات در حال وقوع در وب سایت شما یک گام اساسی در طراحی است

شناسایی فعالیت های مخرب و می تواند بسیار موثر انجام شود.

5. بدافزار

بدافزار مخفف "نرم افزار مخرب" است - اصطلاحی برای انواع نرم افزارهایی که برای فعالیت های مجرمانه استفاده می شوند. از بین تمام وب‌سایت‌هایی که به دنبال نقض به آنها کمک می‌کنیم، حدود 90 درصد بدافزارهایی را به وب‌سایت خود معرفی کرده‌اند تا:

یک درب پشتی برای دسترسی بعدی فراهم کنید.
سایر نرم افزارهای مخرب را بارگیری کنید.
شناسایی مخفیانه را فعال کنید.
دسترسی تعاملی را برای مهاجمان فراهم کنید.
سرقت اطلاعات کارت اعتباری
سرقت اطلاعات شخصی
یا همه ی آنچه در بالاست…
برخی از بدافزارها با انجام یک اسکن خارجی قابل شناسایی هستند (نگاهی به اسکنرهای مجنتو و وردپرس رایگان ما بیندازید) با این حال، بیشتر بدافزارهایی که با آنها مواجه شده‌ایم به خوبی در یک وب‌سایت پنهان شده‌اند - حتی برخی از هوشیارترین مدیران وب از شناسایی آنها طفره می‌روند.

ما بررسی روزانه با استفاده از یک راه حل پیشرفته تشخیص بدافزار را به عنوان دفاعی بسیار مؤثر در برابر حملات بدافزار توصیه می کنیم.

6. کاربران خود را مدیریت کنید

اگر چندین بار ورود به وب سایت خود دارید، این برای شما صدق می کند. بسیار مهم است که شما:

شناخت هر کاربر؛ و
مجوزهای مناسب را برای نقش آنها در تجارت شما به آنها اختصاص دهید.
مدیریت فعال کاربران شما ابزار مهمی برای دفاع در برابر حساب های در معرض خطر است.
به عنوان مثال، اگر نیاز دارید که امتیازات افزایش یافته را به صورت لحظه ای به کاربر اعطا کنید، مطمئن شوید که پس از اتمام کار، امتیازات او را کاهش داده اید.

به اشتراک گذاری اکانت ها اجازه ندهید – باید مطمئن شوید که دقیقاً متوجه می شوید چه کسی در وب سایت شما چه کاری انجام می دهد. استفاده از حساب‌های مشترک به این معنی است که اگر یکی از «اشتراک‌گذاران» تغییری ایجاد کند، چگونه می‌دانید که چه کسی مسئول بوده است؟

نظارت بر فعالیت غیرمعمول کاربر به شما هشدار می دهد که ممکن است به خطر بیفتد.

7. نظارت بر فعالیت وب سایت

نظارت، بررسی و ذخیره گزارشی از تمام فعالیت‌ها در وب‌سایت شما کلید شناسایی حملات و قادر ساختن شما به دفاع از خود است. شما باید این داده ها را (حداقل) روزانه تجزیه و تحلیل کنید تا تهدیدات را شناسایی کنید - بهتر است در زمان نزدیک به شما هشدار داده شود. اگر تراکنش‌های کارت اعتباری/دبیت را انجام می‌دهید، باید حداقل 12 ماه از داده‌های گزارش امنیتی خود را ذخیره کنید تا الزامات استاندارد امنیت داده صنعت کارت پرداخت (PCI DSS) را برآورده کنید.

8. نظارت بر داده های محافظت نشده دارنده کارت اعتباری

اکثر وب‌سایت‌های تجارت الکترونیک به درستی تنظیم شده‌اند تا داده‌های تراکنش را به صورت ایمن مدیریت کنند - اغلب با استفاده از یک سرویس پرداخت امن از یک ارائه‌دهنده خدمات پرداخت. با این حال، با توجه به اینکه داده های دارنده کارت پرداخت برای یک مجرم بسیار ارزشمند است، بسیاری از وب سایت ها همچنان قربانی سرقت داده های دارنده کارت پرداخت می شوند.

این حملات معمولاً شامل بدافزار، تغییرات در یک وب سایت و رفتار غیرعادی سیستم است - که همه آنها باید با لایه های دیگر شناسایی و دفاع شناسایی شوند، مانند مواردی که در بالا مشخص شده است. اما اگر مهاجمان موفق شوند تا جایی که بتوانند داده های تراکنش را استخراج کنند از شناسایی فرار کنند، معمولاً آن داده ها را در یک فایل در جایی در وب سایت شما ذخیره می کنند تا بعداً برداشت شوند. اغلب اوقات این داده های کارت پرداخت در انتظار استخراج رمزگذاری نمی شوند.

یک "پان اسکن" معمولی از سیستم فایل وب سایت و پایگاه های داده برای اطلاعات محافظت نشده دارنده کارت اعتباری، این فایل ها را که برای استخراج آماده هستند شناسایی کرده و به شما در مورد مشکل هشدار می دهد.

9. از فایروال برنامه کاربردی وب پیشرفته استفاده کنید

تحقیقات ما در انجام تحقیقات قانونی در مورد مشاغل آنلاین در دهه گذشته نشان داده است که در بیش از 95٪ از تمام مشاغل تجارت الکترونیک هک شده که توسط تیم ما در یک دوره 10 ساله بررسی شده است قربانی یکی از این سه تهدید اصلی شده اند:

تزریق SQL
سوء استفاده از آسیب پذیری برنامه
کد تزریق شده (بدافزار)
یک فایروال برنامه وب که به درستی پیکربندی و مدیریت شده باشد، از وب سایت شما در برابر این حملات محافظت می کند. نه تنها این، یک فایروال برنامه کاربردی وب سایتی را با "وصله مجازی" هنگامی که یک آسیب پذیری روز صفر منتشر می شود، ارائه می دهد. این محافظت یک مدیر وب برای آزمایش پچ خریداری می کند و سپس سیستم را در زمان خودش به روز می کند، با دانستن اینکه وب سایت محافظت می شود.

10. تست و دوباره تست کنید
اینترنت موجودی پویا و در حال تحول است و وب سایت شما نیز ثابت نخواهد ماند. این بدان معناست که برای کنترل هر گونه آسیب پذیری جدیدی که می تواند ایجاد شود، نیاز به آزمایش امنیتی منظم دارد.

دو روش پیشنهادی برای تست امنیتی وجود دارد:

اسکن آسیب پذیری - این (به طور کلی) یک روش غیر نفوذی است که شامل ارسال ترافیک، پرس و جو و درخواست های خاص به وب سایت برای آزمایش وجود آسیب پذیری است. این باید حداقل یک بار در هر سه ماه انجام شود، ارزان است و می تواند خودکار باشد.
تست نفوذ - این یک فرآیند آزمایش عمیق تر از اسکن آسیب پذیری است که توسط یک شرکت متخصص انجام می شود که رفتار مهاجم را تقلید یا تقلید می کند. توصیه می‌شود که تست نفوذ حداقل سالیانه انجام شود، و اگرچه گران‌تر از اسکن آسیب‌پذیری است، اثربخشی کلی آن باعث می‌شود که ارزش سرمایه‌گذاری را حتی برای مشاغل کوچک داشته باشد.

11. یک شریک امنیتی با تجربه پیدا کنید که بتوانید به او اعتماد کنید

یکی از بزرگترین چالش های ما

ببینید کسب و کارهای آنلاین سعی می کنند همه کارها را خودشان انجام دهند. به طور کلی، همه ما مهارت‌های تخصصی خود را داریم که در کسب و کار روزانه خود به کار می‌گیریم – اکثر ما بازارهایی را که در آن کار می‌کنیم، درک می‌کنیم و می‌دانیم که برای رقابت مؤثر چه چیزی لازم است.

وقتی صحبت از امنیت کسب و کار شما می شود، درک تهدیدات و مهارت های دشمنان شما در تعریف استراتژی دفاعی شما بسیار مهم است.

سطح مهارتی که روزانه شاهد به کارگیری مهاجمان هستیم، نشان می دهد که آنها متخصصانی هستند که از مهارت های خود برای سرقت داده ها از قربانیان کمتر ماهر استفاده می کنند.

قیاسی که اخیراً برای نشان دادن آن استفاده کرده‌ایم، مقایسه مهارت‌های امنیتی در یک کسب‌وکار آنلاین متوسط با مهارت‌های یک مهاجم معمولی است، مانند مقایسه مهارت‌های تیم فوتبال سن آیوز زیر 10 سال با منچستریونایتد.

عدم تطابق مهارت های قابل توجهی در سراسر صنعت وجود دارد - متخصصان امنیتی ماهر زیادی برای استخدام در دسترس نیستند و آنهایی که در دسترس هستند ارزان نیستند.

برگرفته از دوره افزایش امنیت وردپرس؛ WordPress Confinity

نکته مهم: 

با دوره کانفینیتی یاد میگیرید که چگونه انواع وبسایت های وردپرسی را به سپری در برابر حملات امنیتی تبدیل کنید و با استفاده از این دانش تخصصی درآمدی پایدار و پربار را به دست آورید. دوره کانفینیتی مناسب برای افراد هوشمندیست که می‌خواهند امنیت وبسایت خود یا مشتریان شان را تقویت کنند و درآمد پایداری داشته باشند.