منظور از Web Security و Website Security چیست؟

منظور از Web Security و Website Security چیست؟

Web Security  به محافظت از سیستم های کامپیوتری و شبکه در برابر آسیب و یا دسترسی های غیر مجاز به نرم افزار، سخت افزار و داده ها اشاره دارد. Web security مترادف امنیت سایبری (cybersecurity) بوده و مفهوم website security را نیز در بر می گیرد. لازم به ذکر است website security به محافظت از وب سایت ها در برابر تهدیدات سایبری گفته می شود که شامل امنیت کلود و امنیت اپلیکیشن های تحت وب می گردد. محافظت از virtual private network (VPN) نیز در زیرمجموعه ی web security قرار می گیرد.

Web Security برای تجارت هایی که از سیستم های کامپیوتری استفاده می کنند، کاملا ضروری است. چنانچه هکرها موفق شوند به سیستم یا نرم افزارهای یک سازمان دست پیدا کنند، وب سایت و حتی کل شبکه در معرض تهدید قرار گرفته و حتی ممکن است تداوم کسب و کار مختل شود.

عوامل تاثیرگذار بر روی Web Security و Web Protection

متخصصان امنیت به منظور رعایت انطباق با مقررات و استانداردهای Open Web Application Security Project (OWASP) می بایست عوامل مختلفی را در نظر داشته باشند. همگام بودن با استانداردهای OWASP به تیم امنیت کمک می کند تا Web Security را بر اساس به روزترین استانداردهای مربوطه فراهم کنند.

علاوه بر موارد فوق، اقدامات دیگری که باید انجام شود عبارتند از آپدیت نگه داشتن رمزنگاری ها، نظارت بر روی جدیدترین Web Hacking Incident Database (WHID) و مدیریت صحیح کاربران و احراز هویت آن ها. تیم امنیت باید به هنگام مواجهه با آسیب پذیری ها، جدیدترین پچ های آپدیت را نصب کند. تیم توسعه برنامه نویسی نیز برای ایمن سازی داده ها می بایست پروتکل هایی را اجرا کنند که از کدها محافظت گردد.

تکنولوژی های مرتبط با Web Security

فناوری های مختلفی تاکنون برای ایمن سازی وب ارائه شده است؛ مانند فایروال های web application (WAF)، اسکنرهای امنیتی و همچنین ابزارهایی برای password-cracking، fuzzing، black box testing و white box testing.

Web Application Firewalls (WAFs)

یک فایروال WAF با نظارت و فیلتر کردن ترافیک های داخلی که بین اپلیکیشن ها و فضای اینترنت در جریان است، از اپلیکیشن های تحت وب محافظت می کند. به این ترتیب، عملکردی تحت عنوان secure web gateway (SWG) به فایروال های WAF نسبت داده می شود. این فایروال ها قادر به تامین امنیت اپلیکیشن های تحت وب در برابر حملاتی مانند cross-site scripting، cross-site forgery، file inclusion، Structured Query Language (SQL) injection و بسیاری موارد دیگر می باشند.

فایروال های WAF در لایه ی 7 مدل OSI فعالیت می کنند. با این که در برابر بسیاری از تهدیدات، قادر به مقابله هستند، اما اساسا برای دفاع در برابر انواع تهدیدات طراحی نشده اند.

Security or Vulnerability Scanners

Vulnerability scannerها به ابزارهایی گفته می شود که یک سازمان به منظور بررسی خودکار سیستم ها، شبکه ها و اپلیکیشن ها مورد استفاده قرار می دهند تا نقاط ضعف امنیتی را شناسایی کنند. زمانی که یک vulnerability scanner، بررسیِ سیستم مورد نظر را به پایان رساند، تیم امنیت می تواند از نتایج به دست آمده برای برطرف نمودن آسیب پذیری ها استفاده کند.

Password-cracking Tools

ابزار password-cracking به کاربرانی که پسورد خود را فراموش کرده اند و یا نیاز به ریست کردن دارند، اما پسورد اصلی را به خاطر نمی آورند، کمک فراوانی می کند. همچنین اگر پسورد شما توسط فرد دیگری تغییر کرده باشد، می توانید با استفاده از ابزار مذکور، مجددا به سیستم دسترسی پیدا نمایید.

Fuzzing Tools

ابزار Fuzzing برای بررسی خطاهای احتمالی در نرم افزار، شبکه و یا سیستم عامل که ممکن است منجر به تهدیدات امنیتی گردد، مورد استفاده قرار می گیرد. و در تمامی مراحل توسعه ی برنامه نویسی از ارزش بالایی برخوردار می باشد.

Black Box Testing Tools

ابزار Black box testing به بررسی یک سیستم و البته بدون نیاز به دانش مربوط به نحوه عملکرد آن اشاره دارد.  کاربری که تست را انجام می دهد، تنها ورودی و خروجی را مشاهده می کند. غالبا از این ابزار برای بررسی واکنش سیستم به اقدامات غیرمنتظره ی کاربران استفاده می شود. مضاف بر این به تیم امنیت کمک می کند تا زمان مقابله را بررسی کرده و مشکلات موجود در عملکرد نرم افزاری را تشخیص دهند.

White Box Testing Tools

Black box testing توسط کاربری صورت می گیرد که هیچ ایده ای در مورد خودِ کدها ندارد، این در حالی است که تست های white box testing، بینشی در خصوص نحوه عملکرد نرم افزار ارائه می دهد. با استفاده از تست های white box testing، می توان طراحی، کدینگ و ساختارهای داخلی یک نرم افزار را مورد ارزیابی قرار داد. با توجه به این که در طول انجام تست های white box testing، کدها توسط کاربر قابل مشاهده هستند، به این تست clear box testing یا transparent box testing هم گفته می شود.

تهدیدات Web Security

• SQL Injection

تکنیکی است که طی آن از آسیب پذیری های موجود در لایه ی دیتابیس برای نفوذِ هکرها استفاده می شود. در واقع مهاجمان سایبری با استفاده از این تکنیک، علاوه بر این که می توانند به داده ها دسترسی داشته باشند، قادر به ایجاد و یا تغییر میزان دسترسی کاربران می باشند. حتی می توانند داده های مورد نظر خود را تغییر داده و یا کلا از بین ببرند.

• Cross-site Scripting

این آسیب پذیری به مهاجمان امکانِ درج اسکریپت های مورد نظرشان در سیستم کاربر را می دهد. در مرحله ی بعد، دسترسی مستقیم به داده ها میسر می شود. علاوه بر این از XSS، برای جعل هویت و فریب یک کاربر برای افشای اطلاعات نیز استفاده می شود.

• Remote File Inclusion

با استفاده از این روش، کدی بر روی web application اجرا می شود و سپس مهاجم می تواند بدافزار مورد نظر خود را بر روی آن آپلود کند. غالبا به این نوع بدافزارها backdoor shell گفته می شود. همه این فرایندها از یک Uniform Resource Locator (URL) و در دامنه ی جداگانه انجام می گردد.

• Password Breach

تکنیکی رایج در دسترسی به منابع وب است. هکرها به لیستی از اطلاعات نام کاربری و پسوردها دست پیدا کرده و در بسیاری از موارد، مهاجم سایبری از رمز عبوری استفاده می کند که کاربر برای وارد شدن به سایت دیگری استفاده می کرده. گاهی اوقات هکرها از تکنیک spraying برای دستیابی به نام کاربری و پسورد استفاده می کنند. به این ترتیب ابتدا از پسورد های رایج مانند “12345678” و مانند آن شروع کرده و یکی یکی آن ها را تغییر می دهند تا به پسورد مورد نظر دست پیدا کنند. البته تکنیک های دیگری مانند keyloggers  هم  برای این منظور وجود دارند.

• Data Breach

Data Breach به افشا شدن داده ها اشاره دارد. گاها به صورت تصادفی رخ داده، اما غالبا با برنامه ریزی قبلی و توسط هکرها اتفاق می افتد.

• Code Injection

شامل فرایندی است که طی آن مهاجمان سایبری با استفاده از آسیب پذیری های نرم افزاری، کد مخرب خود را اجرا می کنند. سپس نحوه عملکرد نرم افزار و سیستم را مطابق میل خود تغییر می دهند.

بهترین اقدامات امنیتی برای Web Security

• Resource Assignment

توسعه دهندگان وب با استراتژی تخصیص منابع می توانند منابع مورد نیاز را به گونه ای تعیین کنند که در صورت بروز مشکل، نسبت به وجود آن ها آگاه شوند. در ضمن با به روز رسانی های مداوم، می توان پیش از به وقوع پیوستن حملات، آن ها را شناسایی نموده و اقدامات لازم را در پیش گیرند.

• Web Scanning

Web Scanning شامل استفاده از یک اپلیکیشن جهت کراول کردن وب سایت به منظور جستجوی آسیب پذیری هایی می باشد که مسیر را برای botها، spyware، rootkit، Trojan horse و حملات DDoS هموار می کنند. اسکنرها همه ی صفحات وب سایت را بررسی کرده و نموار کاملی ترسیم می کنند که ساختار کلی سایت را نشان می دهد. سپس کل سایت را برای تهدیدات احتمالی، مورد ارزیابی قرار می دهند.

تامین امنیت  توسط Web Security

Web security قادر به محافظت از سازمان ها در برابر برخی از رایج ترین تهدیدات اینترنتی می باشد.

• Stolen Data

مهاجمان سایبری همواره در تلاش هستند با دستیابی به داده ها، به سیستم های پرداخت، اکانت های ایمیل، سایت ها و یا اپلیکیشن هایی که نیاز به احراز هویت دارند، دست پیدا کنند. در برخی از موارد، داده ها در مقابل پرداخت وجه، به فرد دیگری واگذار می شود.

• Phishing Schemes

هکرها با به کار گیری تکنیک phishing، کاربران را فریب داده و آن ها را تشویق به افشای اطلاعات می کنند. این کار با ایمیل و یا راه اندازی سایت هاجعلی انجام می شود.

• Session Hijacking

مهاجمان سایبری با استفاده از این تکنیک، کنترل سیستم کاربر را به دست گرفته و سپس با نام وی، اقداماتی را انجام می دهند.

• Malicious Redirects

Malicious Redirects به فرایندی گفته می شود که طی آن، کاربر به یک سایت مخرب که هرگز قصد بازدید از آن را نداشته، هدایت می شود. پس از آن، سیستم کاربر، به بدافزار آلوده خواهد شد.

• SEO Spam

در حمله SEO Spam، مهاجمان سایبری با قرار دادن لینک ها، کامنت ها و یا صفحات غیر معمول بر روی سایت، کاربر را گمراه نموده تا به بازدید از سایت های مخرب تشویق شود.

تامین امنیت Web Security  و Website Security با فورتی نت

راهکار امنیتی web application فورتی نت به جدیدترین آسیب پذیری ها، الگوی URL های مشکوک، ربات ها، الگوی data-type و بسیاری موارد دیگر دسترسی دارد. در نتیجه کلیه ی اپلیکیشن های تحت وب را از انواع تهدیدات محافظت می کند.

روش های مختلفی در خصوص تشخیص تهدیدات توسط فورتی گارد ارائه شده، مانند antivirus و Internet Protocol (IP) reputation. به این ترتیب سازمان ها با دریافت سریع آپدیت ها، قادر به مسدود سازی جدیدترین تهدیدات بوده، در حالی که مجبور نیستند هزینه های گزافی را متحمل شوند.