Най-големите заплахи за сигурността на сайта през 2022-а

от | ян. 13, 2022 | Сигурност

Темата за онлайн сигурността става все по-важна с всяка изминала година, правопропорционално на важността на информацията, която се съхранява онлайн. Днес сме в мрежата повече от всякога. Сигурността, докато се подвизаваме в нея, със сигурност трябва да е винаги в главата ни, и все пак: кои са онези опасности, които си струва да имаме предвид, бидейки собственици на уебсайт (или поне хора, които скоро планират да станат такива)?

В блога на ZETTAHOST.bg сигурността е водеща тема. Този път сме събрали за вас на едно място най-големите опасности в тази област, за които си струва да внимаваме днес. Разгледахме реномираните световни класации и обобщихме изводите.

 

1. Софтуер/хора

В този виртуален свят, с все по-съвършени технологии… коя мислите, че е най-голямата потенциална пробойна, заговорим ли за сигурността? Точно така, която най-трудно бихме си представили… хората. Почти винаги те се оказват слабото звено, заради което бива пробита защитата онлайн.

Разбира се, тази критична точка има много подточки. Винаги е възможно да се отвори уязвимост в сигурността заради програмистка грешка. Дали ще става дума за неправилна валидация на попълнените данни, за пропусната защита, или пък просто за използване на библиотека, която има уязвимости, програмистите не са и не могат да бъдат машини. Затова първият съвет за сигурността през 2022 г. е свързан с кадрите. Ако сте голяма компания, не пестете от бюджета за обучения по сигурност и за проверки.

През последните години не по-малък проблем обаче е и социалното инженерство. Всяка липса на бдителност онлайн може да се превърне в проблем, независимо дали идва от генералния директор, или от секретарката му. И тук не говорим само за елементарни опити за лъжа в духа на популярните до неотдавна телефонни измами. Понякога атаките са планирани на изключително високо ниво и е почти невъзможно да бъдат разпознати. Ключовите мерки в тази посока? Информираност. И здравословна доза мнителност към всяко съобщение, което получавате по някой от многобройните канали онлайн.

 

2. Луковица

Тук под някаква форма продължаваме темата за социалното инженерство. В областта на киберсигурността не са чак толкова много на брой различните типове атаки. Те лесно могат да бъдат групирани и определяни, всичко изглежда вече измислено. И все пак, пробивите в сигурността продължават да се случват, дори на най-големите.

Причината? Най-често атаките в съвременния онлайн свят са многопластови, включват по няколко елемента, които в комбинация успяват да се справят със защитата.

Ето защо подобна стратегия все повече се използва и от другата страна – в самата защита. Системите за сигурност са на все повече нива, така че да се „покриват“ в случай на някаква форма на пробив. Защитата обхваща различни посоки и методи, които се допълват във взаимовръзка.

 

3. Едно по едно

И така, продължаваме с конкретните атаки, които се очаква да останат най-опасни и през 2022 г. Безспорно най-авторитетната класация в тази посока е на огромната организация OWASP. Всяка година там са събрани най-разпространените заплахи пред уеб апликациите, като тази класация е много сериозен ориентир за тенденции.

В последното издание на класацията, през миналата 2021-а, на първо място остават заплахите, свързани с пропуски в системата за контрол на достъпа. Само допреди няколко години този тип проблеми бяха много по-рядко срещани според данните на OWASP.

Става дума, най-общо казано, за това, че понякога потребителите имат достъп до ресурси, до които не би трябвало. Този тип проблеми най-често се дължат на човешки грешки – разбира се, не непременно на екипа на конкретния продукт, но също и такива, „наследени“ от използваните външни библиотеки. Така или иначе, отново става дума за риск на сигурността, свързан сериозно с човешкия фактор.

 

security-risks

 

4. Сър Вър

Донякъде учудващо, на второ място идва също проблем със сигурността, който преди е бил доста назад в списъка – атаки чрез криптографски пропуски. Най-вече, очевидно става дума за използването на неактуални криптографски алгоритми (още по темата – тук), които могат да бъдат „пробити“. По този начин у зложелателите попада важна, чувствителна информация. А това, че мястото е толкова предно, е наистина учудващо, най-вече защото днес е много лесно да се провери кои криптографски решения са достатъчно сигурни и кои си струва да бъдат избегнати.

В списъка на OWASP почетната тройка допълва инжектирането на код, което дълги години е на първо място като най-разпространен риск пред сигурността. Става дума за широк кръг техники, част от които са например SQL injection или Cross-site Scripting – още две теми, за които също вече сме ви разказвали подробно. Така или иначе, в атаките от този тип става дума за различни форми на „подпъхване“ на скриптове, на „парчета“ код, които по някакъв начин се изпълняват в браузъра и нанасят щети на потребителите.

 

5. Пет пари в кесия

Заелата четвърто място категория опасности – „небезопасен дизайн“, за първи път е включена в изследването на OWASP. В случая се има предвид дизайнът на компютърните система от гледна точка на архитектурен код. Компаниите да не разполагат с достатъчно добре разработена стратегия за сигурност, да не са планирали достатъчно разумно системите си от тази гледна точка.

А именно: точно това, за което най-често говорим в рубриката за сигурността в блога на ZETTAHOST.bg – нуждата от постоянен и цялостен поглед към темата, независимо дали проектът ви е голям, в каква сфера е, независимо от технологиите, с които работите.

Петата категория често срещани проблеми е свързана с погрешни конфигурации на системите за сигурност. В тази група попадат атаките от типа XXE, за които също сме говорили тук. В тази част от класацията става дума за проблеми, които се появяват заради някаква форма на грешни настройки.

В топ 10 попадат още уязвимите или стари компоненти на системите, проблеми с идентификацията и автентикацията, с интеграцията на данните, мониторирането на системите за сигурност и SSRF атаки.

И така, никога не можем да сме напълно сигурни в темата за сигурността онлайн, но определено си струва винаги да имаме в ума си рисковете. Останете сигурни!

<a href="https://www.zettahost.bg/author/georgik/" target="_self">Георги Караманев</a>

Георги Караманев

Георги е журналист, писател и Front-end програмист – част от екипа на ZETTAHOST.bg. Има повече от 15 години опит в подготвянето на публикации на технологична тематика за Списание 8, в. „24 часа“ и други медии. През 2019 г. и 2021 г. получи наградите в категория „Технологии и иновации“ от конкурса на Dir.bg за чиста журналистика Web Report.
Последвайте ни

Най-нови публикации:

ChatGPT: 6 ползи от изкуствения интелект за онлайн бизнеса

ChatGPT може да се превърне в тайното оръжие за вашия онлайн бизнес. От изготвянето на съдържание за сайта, през анализа на данни до съставянето на бизнес план, платформата предлага различни решения, а ние ви представихме 6 от основните ползи на изкуствения интелект.

Личен сайт безплатно!

Регистрирай се безплатно и си направи сайт още днес.

Безплатната хостинг услуга на ZETTAHOST.bg няма скрити такси и изисквания за ползване.

Безплатен хостинг

Pin It on Pinterest

Share This