الكمبيوتر والتكنولوجيا

ما تعلمناه من اختراقات الفيس بوك

1 يناير، 2019
3 دقائق

ما تعلمناه من اختراقات الفيس بوك

تستمر عناوين الأخبار في اختراق البيانات على Facebook.

مختلف تماما عن القرصنة في الموقع حيث تم سرقة معلومات بطاقة الائتمان فقط في متاجر التجزئة الكبرى ،

فإن الشركة المعنية ، كامبردج أناليتيكا ، كان لها الحق في استخدام هذه البيانات بالفعل.

للأسف ، استخدموا هذه المعلومات بدون إذن وبطريقة كانت مخادعة بشكل واضح لكل من مستخدمي Facebook و Facebook نفسها.

تعهد الرئيس التنفيذي لشركة Facebook Mark Zuckerberg بإجراء تغييرات لمنع حدوث هذه الأنواع من إساءة استخدام المعلومات في المستقبل ،

ولكن يبدو أن العديد من تلك التعديلات سيتم إجراؤها داخليًا.

لا يزال المستخدمون الأفراد والشركات بحاجة إلى اتخاذ خطواتهم الخاصة لضمان بقاء معلوماتهم محمية وآمنة قدر الإمكان.

بالنسبة للأفراد ، تعتبر عملية تحسين الحماية عبر الإنترنت عملية بسيطة إلى حد ما. يمكن أن يتراوح هذا من مغادرة المواقع مثل Facebook تمامًا ،

لتجنب ما يسمى بالمواقع المجانية للألعاب والمواقع المسجلة حيث يُطلب منك توفير إمكانية الوصول إلى معلوماتك وإلى معلومات أصدقائك.

نهج منفصل هو توظيف حسابات مختلفة.

يمكن استخدام واحد للوصول إلى المواقع المالية الهامة. يمكن استخدام واحدة أخرى وغيرها لصفحات وسائل الاعلام الاجتماعية.

يمكن أن يؤدي استخدام مجموعة متنوعة من الحسابات إلى إنشاء المزيد من العمل ،

ولكنه يضيف طبقات إضافية لمنع المتسلل من الوصول إلى بيانات المفتاح.

الشركات من ناحية أخرى تحتاج إلى نهج أكثر شمولا. على الرغم من أن جميعهم يستخدمون الجدران النارية

وقوائم التحكم في الوصول وتشفير الحسابات والمزيد لمنع الاختراق، فإن العديد من الشركات تفشل في الحفاظ على الإطار الذي يؤدي إلى البيانات.

أحد الأمثلة على ذلك هو الشركة التي تستخدم حسابات المستخدمين بالقواعد التي تفرض إجراء تغييرات على كلمات المرور بانتظام،

ولكنها تتراخى في تغيير بيانات اعتماد البنية التحتية للجدران النارية أو أجهزة التوجيه أو تبديل كلمات المرور. في الواقع، العديد من هذه، لا تتغير أبدا.

يجب على أولئك الذين يستخدمون خدمات بيانات الويب

أيضًا تغيير كلمات المرور الخاصة بهم. مطلوب اسم المستخدم وكلمة المرور

أو مفتاح API للوصول إليها التي يتم إنشاؤها عند بناء التطبيق، ولكن مرة أخرى نادرا ما يتم تغييرها.

يمكن لموظف سابق يعرف مفتاح أمان واجهة برمجة التطبيقات لبوابة معالجة بطاقة الائتمان الخاصة به

الوصول إلى هذه البيانات حتى إذا لم يعد الموظفون يعملون في ذلك النشاط التجاري.

الأمور يمكن أن تزداد سوءًا. تستخدم العديد من الشركات الكبيرة شركات إضافية للمساعدة في تطوير التطبيقات.

في هذا السيناريو، يتم نسخ البرنامج إلى خوادم الشركات الإضافية

وقد يحتوي على نفس مفاتيح واجهة برمجة التطبيقات أو مجموعات اسم المستخدم / كلمة المرور المستخدمة في تطبيق الإنتاج.

وبما أن معظمها نادرًا ما يتم تغييره، فإن العامل الساخط في شركة طرف ثالث

أصبح لديه الآن إمكانية الوصول إلى جميع المعلومات التي يحتاج إليها للاستيلاء على البيانات.

يجب أيضًا اتخاذ إجراءات إضافية لمنع حدوث خرق البيانات. وتشمل هذه…

  • تحديد جميع الأجهزة المشاركة في الوصول العام لبيانات الشركة بما في ذلك الجدران النارية، وأجهزة التوجيه، والمفاتيح، والخوادم، إلخ.
    تطوير قوائم التحكم في الوصول المفصلة (ACL) لجميع هذه الأجهزة.
    مرة أخرى، قم بتغيير كلمات المرور المستخدمة للوصول إلى هذه الأجهزة بشكل متكرر، وتغييرها عندما يترك أي عضو من أعضاء ACL في هذا المسار الشركة.

  • تحديد جميع كلمات مرور التطبيقات المضمنة التي تصل إلى البيانات.
    هذه كلمات مرور “تم إنشاؤها” في التطبيقات التي تصل إلى البيانات.
    تغيير كلمات المرور هذه بشكل متكرر.
    تغييرها عندما يترك أي شخص يعمل على أي من حزم البرامج هذه الشركة.

  • عند استخدام شركات الطرف الثالث للمساعدة في تطوير التطبيقات، قم بإنشاء أوراق اعتماد منفصلة تابعة لجهة خارجية وقم بتغييرها بشكل متكرر.

  • في حالة استخدام مفتاح واجهة برمجة التطبيقات للوصول إلى خدمات الويب، اطلب مفتاحًا جديدًا عندما يغادر الأشخاص المتورطون في خدمات الويب هذه الشركة.

  • توقع حدوث خرق ووضع خطط لكشفه ووقفه.
    كيف تحمي الشركات من هذا؟ انها معقدة بعض الشيء ولكن ليس بعيد المنال. معظم أنظمة قواعد البيانات لديها تدقيق مدمج فيها،
    وللأسف، لا يتم استخدامها بشكل صحيح أو على الإطلاق.

مثال على ذلك إذا كانت قاعدة البيانات تحتوي على جدول بيانات يحتوي على بيانات العميل أو الموظف.

وباعتباره مطور تطبيق، يتوقع المرء أن يقوم أحد التطبيقات بالوصول إلى هذه البيانات،
ومع ذلك، إذا تم تنفيذ استعلام مخصص استعلم عن جزء كبير من هذه البيانات،
فيجب على أقل تقدير أن يقوم تدقيق قاعدة البيانات المكوَّن بشكل صحيح بتقديم تنبيه بأن هذا يحدث.

  • استخدام إدارة التغيير للتحكم في التغيير. يجب تثبيت برنامج إدارة التغيير لجعل هذا أسهل لإدارة وتتبع. أغلق جميع الحسابات غير الإنتاجية حتى يكون طلب التغيير نشطًا.

  • لا تعتمد على التدقيق الداخلي. عندما تقوم الشركة بتدقيق نفسها، فإنها عادة ما تقلل من العيوب المحتملة. من الأفضل استخدام طرف ثالث لتدقيق أمانك وتدقيق سياساتك.

تقدم العديد من الشركات خدمات التدقيق ولكن مع مرور الوقت وجد هذا الكاتب أن منهج الطب الشرعي يعمل بشكل أفضل.

إن تحليل جميع جوانب الإطار وبناء السياسات ومراقبتها أمر ضروري. نعم إنه لألم تغيير كل الجهاز وكلمات المرور المضمنة، ولكنه أسهل من مواجهة محكمة الرأي العام عند حدوث خرق للبيانات.

1 يناير، 2019
3 دقائق

اترك تعليقاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *

زر الذهاب إلى الأعلى

أنت تستخدم إضافة Adblock

برجاء دعمنا عن طريق تعطيل إضافة Adblock