О‘ZBEKISTON RESPUBLIKASI RAQAMLI TEXNOLOGIYALAR VAZIRLIGI
MUHAMMAD AL-XORAZMIY NOMIDAGI
TOSHKENT AXBOROT TEXNOLOGIYALARI UNIVERSITETI
Mustaqil ish
Bajardi: Rohataliyev Asadbek
Toshkent - 2024
Mavzu: Dasturiy taʼminot xavfsizligini taʼminlashda zaifliklar turlari.
Reja:
Xavfsizlik zaifligi nima?
Xavfsizlik zaifliklarining turlari
Xavfsizlik zaifligini aniqlashning 10 ta eng yaxshi usuli
Xavfsizlik zaifliklarining oldini olish uchun 5 ta eng yaxshi amaliyot
Xavfsizlik zaifligi - bu tasodifiy ta'sir qilish, qasddan hujum yoki yangi tizim komponentlari bilan ziddiyat tufayli yuzaga keladigan noxush hodisa yoki yo'qotish xavfini ko'paytiruvchi hisoblash komponenti yoki tizim konfiguratsiyasining mo'ljallanmagan xarakteristikasi.
O'zining aniq ta'rifiga ko'ra, zaiflik muqarrar bo'lishi mumkin bo'lgan xavfsizlik xavfidan farqli o'laroq, dasturiy ta'minotni tuzatish, qayta konfiguratsiya, foydalanuvchini o'qitish, proshivka yangilash yoki apparatni almashtirish yordamida tuzatilishi mumkin. Raqamli tizimlar rivojlanishi bilan birga, yangi zaifliklar ham paydo bo'ladi. Tizimingiz xavfsizligi va sog'lig'ini oddiy deb hisoblamaslik muhim, bu esa korxonani potentsial kiber tahdidlarga duchor qilishi mumkin .
Buning o'rniga quyidagilar tavsiya etiladi:
Xavfsizlik jarayonlari, dastur kodlari, infratuzilma konfiguratsiyalari va foydalanuvchi xatti-harakatlaridagi zaifliklarni faol ravishda kuzatib boring.
Tashqi xavfsizlik tadqiqotchilari, dasturiy ta'minot provayderlari va infratuzilma sotuvchilari bilan hamkorlikda zaifliklarga ustuvor ahamiyat bering va ularni tuzating, potentsial hujumning jiddiyligini asoslang.
Sud jarayoni xavfini oldini olish uchun zaif tomonlarni nazorat ostida oshkor qiling, shu bilan birga jinoyatchi xabardor bo'ladigan va zaiflikdan foydalanadigan darajada ko'p ma'lumot bermang.
InfoSec global hamjamiyatiga jamoaviy razvedka ma'lumotlaridan foydalanishga yordam berish uchun uchinchi tomon tahdidlar razvedkasi ma'lumotlar tasmalariga zaiflik ma'lumotlarini qo'shing.
Eng muhimi, korxonalar zaifliklarga egalik qilishlari kerak , hatto ular beixtiyor va muqarrar bo'lsa ham. Bu foydalanuvchilar va mijozlarning maʼlumotlar xavfsizligi va maxfiyligini qadrlashingizga ishontiradi.
Xavfsizlik zaifliklari tizimingizga ichki beparvolik va tashqi nazorat orqali kirishining ko'plab usullari mavjud. Bularga quyidagilar kiradi:
Manba kodidagi zaifliklar
Koddagi zaifliklar dasturiy ta'minotni ishlab chiqish vaqtida paydo bo'ladi. Xavfsizlik kamchiliklariga olib keladigan mantiqiy xatolar bo'lishi mumkin - masalan, tajovuzkor o'g'irlashi mumkin bo'lgan kirish imtiyozlarining hayot aylanishini yaratish. Dastur tasodifiy shifrlashsiz maxfiy ma'lumotlarni uzatishi mumkin yoki hatto tasodifiy shifrlash satrlaridan foydalansa ham, ular tasodifiy emas. Ba'zan, agar dasturiy ta'minotni ishlab chiqish muddati juda cho'zilgan bo'lsa, bir nechta ishlab chiquvchilar loyiha ustida ishlaydi va ba'zi funksiyalarning tugallanmagan qolishiga olib kelishi mumkin.
Ideal holda, ushbu zaifliklarning barchasi sinov / QA paytida aniqlanishi va tuzatilishi kerak, ammo ular korxonalarga ta'sir qilish uchun ta'minot zanjirini pastga tushirishi mumkin.
Noto'g'ri tuzilgan tizim komponentlari
Noto'g'ri konfiguratsiyalar korporativ IT tizimlarini o'rnatishda yana bir keng tarqalgan xatodir. Eng oddiy darajada, masalan, administrator dasturiy ta'minotning standart konfiguratsiyasidan o'tishni unutib qo'yishi mumkin, bu esa tizimni zaifliklarga ochiq qoldirishi mumkin.
Noto'g'ri sozlangan bulutli tizimlar, tarmoq noto'g'ri konfiguratsiyasi, Wi-Fi muhitlarini shoshilinch sozlash va hatto ishlamaydigan qurilmalardan foydalanishni cheklab qo'ymaslik ham sizning xavfingizni sezilarli darajada oshirishi mumkin. Yaxshiyamki, bu zaifliklarni tuzatish nisbatan oson - ular odatda ortiqcha yuklangan IT jamoasining natijasi bo'lib, qo'shimcha qo'llarning aralashuvini talab qiladi, yaxshisi boshqariladigan xizmatlar provayderi.
Ishonchli konfiguratsiyalar
Ishonchli konfiguratsiyalar dasturiy ta'minot va apparat tizimlariga va ulardan ma'lumot almashish uchun ajratilgan ruxsatlarga ishora qiladi. Masalan, o'rnatilgan qattiq disk hech qanday qo'shimcha imtiyozlarsiz hisoblash mijozidan maxfiy ma'lumotlarni o'qishi mumkin. Ishonchli aloqalar faol kataloglar va hisob qaydnomalari o'rtasida mavjud bo'lishi mumkin, bu esa doimiy nazorat qilinmaydigan manbalar o'rtasida to'xtovsiz ma'lumotlar oqimiga olib keladi.
Buzg'unchi buzilgan tizimga kirish huquqini qo'lga kiritgandan so'ng, ular asl tizimdan infektsiyani tarqatish va butun IT muhitingizni buzish uchun ushbu ishonch konfiguratsiyasi zaifliklaridan foydalanishi mumkin.
Hisob ma'lumotlarini olishning zaif usullari
Bu iste'molchi va korporativ tizimlardagi zaifliklarning eng keng tarqalgan sabablaridan biri sifatida paydo bo'ldi. Foydalanuvchilar xavfsizlikdan ko'ra foydalanish qulayligini birinchi o'ringa qo'yib, qulay yoki qulay hisob ma'lumotlari amaliyotiga sodiq qolishadi .
Misol uchun, endi (mutaxassis tavsiyalariga qaramay) brauzerning o'rnatilgan parol menejerida parollar va hisob qaydnomalarini saqlash odatiy holdir. Umumiy alfanumerik satrlardan (123456, password va boshqalar) foydalanadigan zaif parollar va sizning ismingiz kabi shaxsiy ma'lumotlardan qayta foydalanish mumkin bo'lgan zaifliklardir.
Ushbu xavfsizlik zaifliklari ikki darajada - foydalanuvchi xabardorligi va parolning amal qilish muddati tugashi kabi majburiy hisobga olish jarayonlari orqali cheklanishi mumkin.
Kuchli shifrlashning yo'qligi
Shifrlanmagan ma'lumotlar oqimi katta xavf hisoblanadi va ma'lumotlarning jiddiy buzilishiga olib kelishi mumkin. Ma'lumotni shifrlash, agar sizning asosiy saqlash platformangiz noto'g'ri qo'llarga tushib qolsa, zararli niyatga ega bo'lgan kishi ma'lumotni shifrdan chiqara olmasligi yoki ma'nosini anglay olmasligini ta'minlaydi.
Afsuski, shifrlash hali ham raqamli transformatsiya va natijada hujjatlarni raqamlashtirish tezligidan orqada qolmoqda. Tadqiqot yangi oyna ochadi Mobil ma'lumotlarni saqlash hozirda shifrlashning asosiy yo'nalishi bo'lsa-da, tashkilotlar hali ham USB flesh-disklar, noutbuklar va portativ qattiq disklardagi ushbu zaiflikni bartaraf eta olmagan. Ideal holda, ma'lumotlar dam olishda ham, harakatda ham to'g'ri shifrlangan bo'lishi kerak.
Insayder tahdidi
Insayder tahdidlardan kelib chiqadigan zaifliklarni aniqlash qiyin va oldini olish yanada qiyinroq, ayniqsa uzoq ish dunyosida. Forrester ma'lumotlariga ko'ra, 2021 yilda har 3 xavfsizlik buzilishining 1 tasi insayder tahdid tufayli sodir bo'ladi, bu o'tgan yilga nisbatan sakkiz foizga o'sadi.
Sizning ishchi kuchingiz ichki tahdidlar bilan bog'liq zaifliklarga duchor bo'lishining ko'plab sabablari bor, ular noto'g'ri o'ylangan ishga qabul qilish amaliyoti va ma'lumotlar tekshiruvidan tortib, tashkilot va geosiyosiy kuchlar ichidagi yomon qonga qadar. Aksariyat xodimlar uydan ishlayotganida, tashkilotingizdagi ichki tahdidni ko'rsatishi mumkin bo'lgan anomal xatti-harakatlarni aniqlash qiyin bo'lishi mumkin.
Psixologik zaiflik
Psixologik zaifliklar ham inson tomonidan yuzaga keladi, lekin ichki tahdidlardan farqli o'laroq, ular beixtiyor va hamma ularga sezgir. Inson sifatida bizni o'zimizni saqlab qolish istagi, tejash/eksklyuziv imtiyozlarga ega bo'lish ishtiyoqi va xavfdan qo'rqish kabi asosiy psixologik omillar turtki qiladi.
Hackerlar odatda ijtimoiy muhandislik orqali ushbu zaifliklardan foydalanadilar . Ular foydalanuvchilarni foydani ochish yoki salbiy vaziyatdan qochish uchun harakat qilishlari kerakligiga ishontirishadi. Oddiy misol - ko'plab foydalanuvchilarni reklama chegirmalarini aldash va zararli dasturlarni o'z tizimlariga yuklab olish haqidagi elektron pochta xabarlarini bosishga olib keladigan psixologik zaiflik.
Autentifikatsiyaning yetarli emasligi
Parollar va hisobga olish ma'lumotlarini tiklash uchun etarli tekshiruvlar va balanslar bo'lmaganida autentifikatsiya zaifliklari paydo bo'ladi. Bu shuni anglatadiki, xaker hisobingizni o'g'irlash va hisobni o'g'irlash (ATO) hujumini boshlash uchun orqa eshikni topish uchun har bir kirish tizimida mavjud bo'lgan "parolni unutdingizmi" opsiyasidan foydalanishi mumkin.
Autentifikatsiya savolini taxmin qilish juda oson bo'lishi mumkin - masalan, ijtimoiy tarmoqlar tufayli hamma uchun ochiq bo'lgan tug'ilgan kuningiz. Yoki tizim ko‘p faktorli autentifikatsiya tartib-qoidalariga rioya qilmasligi mumkin, bunda bitta qurilmaning buzilishi hisob xavfsizligiga ta’sir qila olmaydi.
Inyeksiyaning kamchiliklari
Noto'g'ri sozlangan veb-ilovalar in'ektsiya kamchiliklariga moyil bo'lishi mumkin. Agar ilova foydalanuvchi ma'lumotlarini onlayn shakl orqali qabul qilsa va u ma'lumotlar bazasi, buyruq yoki operatsion tizim chaqiruviga kiritsa, u ilovani SQL, XML yoki LDAP in'ektsiyalari kabi in'ektsion hujumlar uchun ochiq qoldiradi.
Aslida, bu zaiflik xakerlarga veb-ilovaning ma'lumotlar oqimiga orqa eshikni olish va foydalanuvchi ma'lumotlarini qayta yo'naltirish yoki hatto foydalanuvchining roziligisiz dastur foydalanuvchi ma'lumotlarini o'qish, yangilash yoki hatto o'chirishga olib keladigan zararli kodni kiritish imkonini beradi. Injection zaifliklar odatda ma'lumotlarning buzilishi uchun javobgardir.
Nozik ma'lumotlarga ta'sir qilish
Nozik ma'lumotlarga ta'sir qilish bir necha usul bilan sodir bo'lishi mumkin. Insonning beparvoligi ma'lumotlarning ommaviy veb-saytga yoki keng tarqalgan ma'lumotlar bazasiga yuklanishiga olib kelishi mumkin. Noto'g'ri kirish nazorati bitta xodimning katta ma'lumotlar bazasini boshqarishiga olib kelishi mumkin.
Ma'lumotlar buzilishidan farqli o'laroq , bunday stsenariylar ortida har doim ham yomon niyat yo'q. Inson xatolari yoki tizimning notoʻgʻri konfiguratsiyasi maxfiy maʼlumotlarning (intellektual mulk, foydalanuvchi hisob maʼlumotlari, shaxsni identifikatsiyalash mumkin boʻlgan maʼlumotlar, toʻlov tafsilotlari va h.k.) notoʻgʻri joyga tushishiga olib keladi.
Monitoring va jurnallar yetarli emas
Muntazam jurnal tahlili va batafsil jurnal yozuvlari xavfsizlik zaifliklarini cheklash uchun zarurdir. Aks holda, hech kim buni juda kech bo'lmasdan turib, ruxsatsiz shaxs sizning kompyuter landshaftingizga kirishi mumkin.
Odatda, xaker yoki zararli bot log tahlili orqali paydo bo'ladigan g'alati tizim signallari ko'rinishida non bo'laklarini qoldiradi. Noto'g'ri monitoring yoki rejalashtirilgan tahlil faqat kun/hafta/oyning ma'lum bir qismida shubhali xatti-harakatni kuzatuvchi nazoratchi ko'z bo'lmasa, tizimlaringizni hujumlarga qarshi himoyasiz qoldiradi.
Umumiy ijaraga oid zaifliklar
Nihoyat, umumiy ijaradagi zaifliklar bulut davrining muqarrar haqiqatidir. Ommaviy bulutli echimlar ko'p ijarachi modelida ishlaydi, bunda umumiy resurslar to'plami turli tashkilotlarga turli vaqtlarda, ularning resurslarga bo'lgan talablari ko'lamiga qarab ijaraga beriladi.
Agar bitta ijarachi buzilgan bo'lsa, umumiy ijaraga oid zaifliklardan foydalangan holda hujum bulutdagi boshqa tashkilotlarga tarqalishi mumkin. Shuning uchun banklar, maktablar va kasalxonalar kabi nozik ma'lumotlar bilan shug'ullanadigan tashkilotlar o'zlarining eng qimmatli ma'lumotlarini bo'laklarga ajratgan holda ish yuklarini davlat va xususiy ijarachilar o'rtasida taqsimlashni tanlashadi.
Zaifliklarni o'z vaqtida aniqlash - jinoyatchi ulardan foydalanish imkoniyatiga ega bo'lishidan oldin - tashkilotingizni jarimalar, mijozlar ishonchi va korporativ obro'-e'tibor nuqtai nazaridan sezilarli darajada saqlab qolishi mumkin. Ma'lumotlarning o'rtacha buzilishi 3,86 million dollarga tushishini hisobga olsak , xavfsizlik zaifliklarini oldindan aniqlash oqilonaroq fikrdir.
|