Най-големите заплахи за сигурността на сайта през 2022-а

от | ян. 13, 2022 | Блог, Сигурност

Темата за онлайн сигурността става все по-важна с всяка изминала година, правопропорционално на важността на информацията, която се съхранява онлайн. Днес сме в мрежата повече от всякога. Сигурността, докато се подвизаваме в нея, със сигурност трябва да е винаги в главата ни, и все пак: кои са онези опасности, които си струва да имаме предвид, бидейки собственици на уебсайт (или поне хора, които скоро планират да станат такива)?

В блога на ZETTAHOST.bg сигурността е водеща тема. Този път сме събрали за вас на едно място най-големите опасности в тази област, за които си струва да внимаваме днес. Разгледахме реномираните световни класации и обобщихме изводите.

 

1. Софтуер/хора

В този виртуален свят, с все по-съвършени технологии… коя мислите, че е най-голямата потенциална пробойна, заговорим ли за сигурността? Точно така, която най-трудно бихме си представили… хората. Почти винаги те се оказват слабото звено, заради което бива пробита защитата онлайн.

Разбира се, тази критична точка има много подточки. Винаги е възможно да се отвори уязвимост в сигурността заради програмистка грешка. Дали ще става дума за неправилна валидация на попълнените данни, за пропусната защита, или пък просто за използване на библиотека, която има уязвимости, програмистите не са и не могат да бъдат машини. Затова първият съвет за сигурността през 2022 г. е свързан с кадрите. Ако сте голяма компания, не пестете от бюджета за обучения по сигурност и за проверки.

През последните години не по-малък проблем обаче е и социалното инженерство. Всяка липса на бдителност онлайн може да се превърне в проблем, независимо дали идва от генералния директор, или от секретарката му. И тук не говорим само за елементарни опити за лъжа в духа на популярните до неотдавна телефонни измами. Понякога атаките са планирани на изключително високо ниво и е почти невъзможно да бъдат разпознати. Ключовите мерки в тази посока? Информираност. И здравословна доза мнителност към всяко съобщение, което получавате по някой от многобройните канали онлайн.

 

2. Луковица

Тук под някаква форма продължаваме темата за социалното инженерство. В областта на киберсигурността не са чак толкова много на брой различните типове атаки. Те лесно могат да бъдат групирани и определяни, всичко изглежда вече измислено. И все пак, пробивите в сигурността продължават да се случват, дори на най-големите.

Причината? Най-често атаките в съвременния онлайн свят са многопластови, включват по няколко елемента, които в комбинация успяват да се справят със защитата.

Ето защо подобна стратегия все повече се използва и от другата страна – в самата защита. Системите за сигурност са на все повече нива, така че да се „покриват“ в случай на някаква форма на пробив. Защитата обхваща различни посоки и методи, които се допълват във взаимовръзка.

 

3. Едно по едно

И така, продължаваме с конкретните атаки, които се очаква да останат най-опасни и през 2022 г. Безспорно най-авторитетната класация в тази посока е на огромната организация OWASP. Всяка година там са събрани най-разпространените заплахи пред уеб апликациите, като тази класация е много сериозен ориентир за тенденции.

В последното издание на класацията, през миналата 2021-а, на първо място остават заплахите, свързани с пропуски в системата за контрол на достъпа. Само допреди няколко години този тип проблеми бяха много по-рядко срещани според данните на OWASP.

Става дума, най-общо казано, за това, че понякога потребителите имат достъп до ресурси, до които не би трябвало. Този тип проблеми най-често се дължат на човешки грешки – разбира се, не непременно на екипа на конкретния продукт, но също и такива, „наследени“ от използваните външни библиотеки. Така или иначе, отново става дума за риск на сигурността, свързан сериозно с човешкия фактор.

 

security-risks

 

4. Сър Вър

Донякъде учудващо, на второ място идва също проблем със сигурността, който преди е бил доста назад в списъка – атаки чрез криптографски пропуски. Най-вече, очевидно става дума за използването на неактуални криптографски алгоритми (още по темата – тук), които могат да бъдат „пробити“. По този начин у зложелателите попада важна, чувствителна информация. А това, че мястото е толкова предно, е наистина учудващо, най-вече защото днес е много лесно да се провери кои криптографски решения са достатъчно сигурни и кои си струва да бъдат избегнати.

В списъка на OWASP почетната тройка допълва инжектирането на код, което дълги години е на първо място като най-разпространен риск пред сигурността. Става дума за широк кръг техники, част от които са например SQL injection или Cross-site Scripting – още две теми, за които също вече сме ви разказвали подробно. Така или иначе, в атаките от този тип става дума за различни форми на „подпъхване“ на скриптове, на „парчета“ код, които по някакъв начин се изпълняват в браузъра и нанасят щети на потребителите.

 

5. Пет пари в кесия

Заелата четвърто място категория опасности – „небезопасен дизайн“, за първи път е включена в изследването на OWASP. В случая се има предвид дизайнът на компютърните система от гледна точка на архитектурен код. Компаниите да не разполагат с достатъчно добре разработена стратегия за сигурност, да не са планирали достатъчно разумно системите си от тази гледна точка.

А именно: точно това, за което най-често говорим в рубриката за сигурността в блога на ZETTAHOST.bg – нуждата от постоянен и цялостен поглед към темата, независимо дали проектът ви е голям, в каква сфера е, независимо от технологиите, с които работите.

Петата категория често срещани проблеми е свързана с погрешни конфигурации на системите за сигурност. В тази група попадат атаките от типа XXE, за които също сме говорили тук. В тази част от класацията става дума за проблеми, които се появяват заради някаква форма на грешни настройки.

В топ 10 попадат още уязвимите или стари компоненти на системите, проблеми с идентификацията и автентикацията, с интеграцията на данните, мониторирането на системите за сигурност и SSRF атаки.

И така, никога не можем да сме напълно сигурни в темата за сигурността онлайн, но определено си струва винаги да имаме в ума си рисковете. Останете сигурни!

<a href="https://www.zettahost.bg/author/georgik/" target="_self">Георги Караманев</a>

Георги Караманев

Георги е журналист, писател и Front-end програмист – част от екипа на ZETTAHOST.bg. Има повече от 15 години опит в подготвянето на публикации на технологична тематика за Списание 8, в. „24 часа“ и други медии. През 2019 г. и 2021 г. получи наградите в категория „Технологии и иновации“ от конкурса на Dir.bg за чиста журналистика Web Report.
Последвайте ни

Най-нови публикации:

Часовникът TikTok-а. Бърз старт в най-модерната социална мрежа?

След като сте тук, надали сте над 20. Всеки по-млад посетител много добре знае колко яка мрежа е TikTok, едва ли би му се наложило да бъде убеждаван в тази посока. Първата по-мащабна китайска социална мрежа, която успя да надскочи ограниченията на страната си, през...

5 стъпки, с които да започнете да програмирате през 2022-а

Новата година е прекрасен момент човек да се замисли за ново начало, по един или друг начин. Да се мотивира, нахъса, да си обещае сам да промени нещо важно. А същевременно програмирането е прекрасна професия, или пък просто увлекателно хоби, можете да бъдете сигурни....

5 тенденции в уеб дизайна, които идват с 2022-а

Остават броени часове и тя ще е тук! 2022-а година идва с пъстра палитра от възможности и очаквания. Остава да се надяваме, че тя ще ни отърве най-накрая от пандемията, че ще ни върне нормалното. Заедно с това, тя идва и с изцяло нови тенденции. Навлизането на 5G и...

Когато и най-големите се провалиха в защита

Във футбола играта в защита е поне толкова важна, колкото тази в нападение. В живота онлайн играта в защита е всичко. И въпреки това, колкото и да си добре подготвен в областта на превенцията срещу киберпосегателствата, никога, ама никога не можеш да си сигурен, че...

Дядо Коледа си прави сайт

Всички чакаме вдругиден един небезизвестен добър старец да ни навести. И дано този път ни донесе не само прекрасни подаръци – играчки на хлапетата и кой каквото си е пожелал сред възрастните. Но и повече късмет, здраве, така че през 2022-а да успеем най-накрая да...

Личен сайт безплатно!

Регистрирай се безплатно и си направи сайт още днес.

Безплатната хостинг услуга на ZETTAHOST.bg няма скрити такси и изисквания за ползване.

Безплатен хостинг

Pin It on Pinterest

Share This