19 בקרות בסביבות האינטרנט
אבטחת אתרים
אתרי אינטרנט הם יעדים פופולריים להתקפות סייבר. אתרים עם פגיעות יכולים להיות נקודת כניסה לתוקפים, המאפשרת להם להשיג גישה למידע רגיש או לגרום לנזק לארגון.
ישנם מספר פשעי סייבר טיפוסיים שקשורים לאתרי אינטרנט. להלן כמה דוגמאות:
-
חדירה לאתר: חדירה לאתר הוא פשע סייבר שבמסגרתו האקר פועל כדי להשיג גישה בלתי מורשית לאתר אינטרנט. לאחר החדירה, ההאקר יכול להשתמש בו למגוון מטרות, כגון:
-
גניבה של מידע, כגון מידע אישי של משתמשים, או מידע עסקי רגיש.
-
הפיכת האתר לבלתי זמין למשתמשים.
-
הפעלת תוכנות זדוניות באתר, אשר יכולות להזיק למחשבים של משתמשים.
-
-
התקפת DDos: התקפת DDos היא פשעי סייבר שבמסגרתו האקרים משתמשים ברשת של מחשבים נגועים כדי לשלוח כמות גדולה של תנועה לאתר אינטרנט.
-
התקפת DDos יכולה להפוך את האתר לבלתי זמין למשתמשים.
-
הונאה מקוונת: הונאה מקוונת היא פשעי סייבר שבמסגרתו האקרים משתמשים באתרי אינטרנט כדי להונות משתמשים. הונאה מקוונת יכולה להתרחש במגוון דרכים, כגון:
-
פרסום מודעות מתחזות לאתרים לגיטימיים.
-
שליחת דואר אלקטרוני מתחזה.
-
יצירת אתרי אינטרנט מתחזים.
-
-
פישינג: פישינג הוא פשעי סייבר שבמסגרתו האקרים שולחים דואר אלקטרוני מתחזה לארגון או לחברה. הדואר האלקטרוני עשוי להיראות כאילו הוא נשלח מהארגון או מהחברה, והוא עשוי לבקש מהמשתמש למסור מידע אישי, כגון סיסמאות או פרטים חשבון בנק.
-
קידום אתרים עוין: קידום אתרים עוין הוא פשע סייבר שבמסגרתו האקרים משתמשים בטכניקות SEO כדי להוריד את דירוג האתר במנועי חיפוש. קידום אתרים עוין בגלל תחרות עסקית, או נקמה.
-
ישנם מספר גורמים שיכולים להוביל לפגיעות של אתרי אינטרנט, כגון:
-
חולשות אבטחה בקוד: חולשות אבטחה בקוד של אתר אינטרנט יכולות לאפשר לתוקפים לנצל את האתר כדי להשיג גישה לא מורשית.
-
טעויות תכנות: טעויות תכנות בקוד של אתר אינטרנט יכולות לאפשר לתוקפים לנצל את האתר כדי להשיג גישה לא מורשית.
-
שימוש לא נכון באתר: שימוש לא נכון באתר, כגון שימוש בשמות משתמש וסיסמאות חלשים, יכול להוביל לפגיעות של האתר.
אבטחת ענן
העיקרון של ענן המחשוב הוא לאפשר למשתמשים להתחבר לכל שירותי המחשוב להם הם זקוקים באמצעות האינטרנט, ספקים רבים הקימו "סביבת ענן", ובולטים בהם אמזון (AWS), מיקרוסופט (Azure), וגוגל (GDC). לצידן – עננים פרטיים של ארגונים שונים.
אבטחת מחשוב ענן - מתייחסת לתורה ולעשייה הנדרשת כדי להגן על סביבות מחשוב ענן, יישומים, נתונים ומידע. התורה כוללת אבטחת סביבות ענן מפני שימוש ומפני גישה לא מורשים, התקפות DDOS, האקרים, תוכנות זדוניות וסיכונים אחרים. בעוד שאבטחת ענן חלה על אבטחה בסביבות ענן, המונח הקשור, אבטחה מבוססת ענן, מתייחס לתוכנה כמודל אספקת שירות (SaaS) של שירותי אבטחה, המתארחים בענן ולא נפרסים באמצעות חומרה מקומית או תוכנה.
בפרק זה נדבר על סוגי סביבות ענן, סוגי שירותים, ארכיטקטורה, סיכונים וקשיים של אבטחת מידע, וכמובן – עקרונות ושיטות הגנה מומלצות. בין השאר, נדון במונחים VPC ו- CASB (Cloud Access Security Broker), ברגולציות רלבנטיות, ובהיבטים שצריכים להטריד ארגון ולהביאו לפעולה מונעת.
בנוסף לאלו, גם נצלול מעט ספציפית לשלשת הסביבות הקנייניות המובילות שהזכרנו.
ווירטואליזציה
הוירטואליזציה הפכה לחלק בלתי נפרד מעולם המחשוב, אשר מאפשרת ליצור סביבה וירטואלית שבה משאבים פיזיים כגון מעבדים, זיכרון, מקום אחסון וממשקים רשתיים משותפים בין מספר מערכות הפעלה או יישומים.
היתרונות שלה אינם מאפשרים ויתור, אך נתייחס כאן לאתגרי האבטחה הכרוכים בהפעלתה בארגון, מדיניות אבטחה, כלים וטכנולוגיות שיסייעו להגן על הסביבה שלנו, ותרחישים שונים.