Bildo: Pexeloj
Iam, statistikoj pri cibersekureco montris tion pli ol 80,000 ciberatakoj okazas ĉiutage, entute ĉirkaŭ 30 milionoj ĉiujare. Ransomware-okazaĵoj eĉ kreskas ĉirkaŭ 350% ĉiujare.
Ĉi tiuj ciferoj nur devas diri al vi, ke sekurigi retejojn, programojn kaj datumbazojn devas senĉese esti inter la plej signifaj zorgoj de iu interreta aŭ softvara entrepreno.
Bedaŭrinde, kun la ĉiam kreskanta postulo pri programaro, multaj kompanioj kaj programistoj povas preteratenti fortigi la defendojn de siaj programoj kaj retejoj kiam ili kreas ilin. Iam infiltritaj de ciber-aviadilkaperistoj, ĉi tiuj ekspluatitaj iloj povas iĝi la fina kaŭzo de amasaj perdoj kaj konstanta komerca ĉesigo.
Do, kiel vi, kiel entreprenaj programistoj, povas certigi la sekurecon de via programaro en 2021? Rigardu ĉi tiujn kvin strategiojn pri cibersekureco:
1. Konstrui pensmanieron pri cibersekureco ekde la komenco
Havi pensmanieron pri cibersekureco helpas vin integri sekurecajn rimedojn dum via vivociklo. Se vi konscias pri konservado de via retejo aŭ programaro sekure de la komenco, vi povas pli zorge labori por certigi ĝian sekurecon dum kodado, ĝisdatigo kaj disfaldado de ĝi.
Unu maniero krei pensmanieron pri cibersekureco dum vi disvolvas vian programon estas alkutimigante la matricon MITRE ATT & CK.
Ĝi signifas MITRE Kontraŭaj Taktikoj, Teknikoj kaj Komuna Scio kaj estas internacie alirebla, konservita scio-bazo kaj modelo por real-vivaj ciberkrimaj agadoj.
La kadro MITRE ATT & CK montras al vi la specifajn kontraŭajn agojn kaj platformojn ofte celitajn en ĉiu fazo de la ciberataka vojaĝo.
Specife, la kadro malkaŝas la Taktikoj en kolumnoj (vidu tabelon sube). Ĉi tio reprezentas la mallongperspektivajn lertajn antagonismajn celojn en atako.
Aliflanke, la teknikoj en unuopaj ĉeloj prezentas la trompajn metodojn, kiujn ciberkrimuloj uzas por efektivigi siajn celojn.
Bildfonto: McAfee.
Ekzemple, rigardu la Flanka Movado kolumno. Vi rimarkos la ĉelon "Programaro Deployment Tool" sub ĝi. Ni diru, ke vi kreis unu tian ilon por via kompanio, kaj ĝi rezultas vundebla kaj penetras. Ciberkrimuloj povas ekspluati ĝin por akiri flankan movadon en via reto kaj malproksime ekzekuti malican kodon en viaj sistemoj. Poste ĉi tio povas rajtigi ilin regi kaj detrui vian sistemon - kaj la kompanion.
La MITRE ATT & CK similas al la ĉera mortiga ĉeno disvolvita de Lockheed Martin sed estas pli ampleksa. Ĝi ankaŭ moderniĝis, ĉar ĝi inkluzivas nub-indiĝenajn teknikojn kaj taktikojn (kiuj mankas en la ĉina mortiga ĉeno).
Cetere, la MITRE ATT & CK estas konstante ĝisdatigita per industria kontribuaĵo, ekipante vin per la plej novaj tendencoj pri ciberatako por protekti vian programon kontraŭ konstruado aŭ prizorgado de ĝi.
2. Provi vian produktan sekurecon
Provi la defendojn de via retejo aŭ programaro malkovras kaj helpas certigi ĝian fortikecon kontraŭ ciberatakoj. Kiam vi malkovras la partojn, kie la programo aŭ retejo ankoraŭ akceptas, vi povas korekti kaj optimumigi ilin antaŭ ol fini kaj lanĉi vian produkton.
Vi povas labori kun via IT-fako kaj aliaj spertuloj pri cibersekureco, kiujn via kompanio kunportas por testi la sekurecon de via programaro. Unu nuntempa kaj fidinda metodo por tio estas efektivigante atakan simuladon.
Precipe Simula Rompado kaj Atako estas nova strategio pri cibersekureco, kiu aŭtomate reproduktas modernajn, realismajn kontraŭajn penetradajn provojn kaj malkaŝas sekurecajn mankojn en via programaro - kaj eĉ en via tuta IT-ekosistemo.
Ĝi similas al plibonigita penetrotestado kaj aŭtomate, kontinue efektivigitan kombinaĵon de ruĝaj kaj bluaj teamaj metodoj (kiuj ofte estas faritaj permane).
Post kiam vi plenumas ĉi tiun simuladon kaj la BAS-ilo malkovras iujn ajn sekurecajn malfortojn, ĝi listigas la necesajn prioritatajn korektajn rimedojn.
Strategio de BAS ankaŭ funkcias sendepende 24/7. Ĉi tio ebligas al vi altigi vian videblecon pri viaj programaj vundeblecoj, trakti ilin senprokraste kaj pliigi vian produktan sekurecon, precipe se vi havas longan vicon de evoluintaj iloj.
3. Protekti vian kodon
Ju pli via entrepreno dependas de via evoluinta programaro, des pli urĝe vi devas protekti ĝin kaj ĝian kodon. Kial? Ĉar la kodo de via programaro estas la vivsango ne nur de via ilo sed ankaŭ de via tuta organizo. Se ĝi estas hakita, vi povas perdi milojn al milionoj da dolaroj kaj eĉ fermi vian kompanion.
Bonega koda sekureca strategio efektivigas regulajn kodajn sekurkopiojn - eĉ se vi jam konservas vian kodon en deponejoj kiel GitHub kaj GitLab.
Kiel programisto, sciu, ke ĉi tiuj kaj aliaj deponejoj ne estas tute sekuraj kontraŭ retpiratoj, ĉar ili ankaŭ enhavas sekurecajn kaŝpasejojn. Novaĵoj eĉ zorgas pri ĉi tiuj okazaĵoj, kiel ekzemple la supozeble hakis konton de Microsoft GitHub en majo 2020.
Dirite, protektu vian kodon per fortikaj triaj rezervaj iloj specialigitaj pri aŭtomate duobligado de kodaj deponejoj. Kopii volumojn de kodo estas ege ŝarĝa kaj tempopostula, riskante eblajn rezervajn likojn kaj erarojn. Kun ĉi tiuj eksteraj iloj, vi povas plifaciligi kodajn sekurkopiojn kaj pluiri kun viaj ĉefaj programaj devoj.
Eduku vin ankaŭ pri sekura kodigo, kritika paŝo ĉe la komenco de via produkta disvolviĝo. Ĉiu programlingvo havas siajn komplikajn malfortojn kaj kapricojn por atenti - kaj fariĝu pli bona Java aŭ alia programisto en 2021, vi devas konu ilin. Ekzemploj de vundeblecoj por programlingvoj inkluzivas:
- Trans-eja skribado (XSS) aŭ CWE-119 sub la kadro Common Weakness Enumeration (CWE) por C kaj C ++ (kaj retaj programoj skribitaj en Ruby kaj PHP)
- CWE-20 kaŭzante enirajn validigajn problemojn por Python
- XSS, kiu ankaŭ sperteblas por JavaScript.
4. Instali regulajn ĝisdatigojn
Ciberaj kontraŭuloj provantaj infiltriĝi kaj akiri aliron al via programo, datumbazo aŭ retejo ĉiam elektas la vojon kun la plej malmulta rezisto - kaj vi ofte trovas ĉi tion en nesekura, malmoderna programaro.
Ĉi tio faras la regulan instaladon de sekurecaj diakiloj kaj ĝisdatigoj ege kritika. Entreprenaj programistoj ne povas permesi neglekti ilin, ĉar eta softvara vundebleco povas senscie doni al kaperistoj senpagan aliron kontroli kaj infekti la tutan sistemon.
Kune kun ĉi tio, vi ankaŭ devas malŝalti neuzatajn kaj malaktualajn programojn. Kunordigu kun via IT-fako kaj trovu programojn ligitajn al la sistemoj de via kompanio, kiuj delonge estis senutilaj. Lasita sen kontrolo, ĉi tiu programaro ankaŭ povas doni al retpiratoj rapidajn kaj facilajn vojojn al via IT-pejzaĝo.
5. Ĉifrado de konfidencaj klientaj datumoj
Se via kompanio stokas datumojn pri privataj uzantoj, kiel tiuj de viaj klientoj, klientoj, dungitoj kaj estraranoj, nepre ĉifru ilin adekvate.
Konservi neĉifritajn datumajn aktivaĵojn, precipe unufoje eksponitajn al ciberkaptistoj, povas rapide surterigi vian entreprenon en varma akvo. Malsukcesi protekti sentemajn informojn malobservas leĝojn pri privatecaj datumoj kaj kostas ŝarĝojn da financaj, reputaciaj kaj klientaj perdoj.
Uzanta datuma ĉifrado estas eĉ pli kritika se via kompanio uzas komunajn gastigajn mediojn, kie pluraj homoj povas aliri sentemajn dosierojn kaj informojn.
Neniam neglektu ĉi tiujn gvidliniojn pri cibersekureco por programistoj.
En 2021, cibersekureco por viaj programoj, retejoj, programaj kodoj kaj datumbazoj ne plu estas eblo. Memoru, ke necesas nur eta sekureca fendo por ke retpiratoj kontraŭleĝe aliru kaj ekspluatas vian IT-sistemon. Ne lasu ilin penetri eĉ unu colon!
Do, memoru ĉi tiujn gvidliniojn pri cibersekureco kaj neniam neglektu ilin. Kune kun via IT-fako, strategiu vian striktan kaj oftan efektivigon de ili. Tiel fari povas multe malhelpi viajn datumajn aktivaĵojn kaj komercon fariĝi senpacaj celoj por ciberkrimuloj.
