في عالم اليوم ، يكاد يكون من المستحيل تخيل عمل تجاري دون أي نوع من الاتصال بالإنترنت - موقع ويب ، بريد إلكتروني ، تدريب الموظفين ، CRM (إدارة علاقات العملاء) ، CMS (نظام إدارة المحتوى) ، إلخ. تعمل على تبسيط وتسريع عملية الطلب ، والبحث عن عملاء جدد ، والبحث عن السجلات وحفظها ، وما إلى ذلك.
تستخدم بعض الشركات حلولًا جاهزة ، بينما تستخدم شركات أخرى مهنيين لإنشاء أدوات خاصة بالشركة ، بينما يختار البعض تطوير البرامج اللازمة لحل مهامهم اليومية بمفردهم. مع مرور الوقت ، لدى كل شخص موقعه على الويب الخاص به ، والبريد الإلكتروني ، ويدخل أول عملائه في قاعدة بيانات ، ويمكن للمدراء تتبع أنشطة الشركة اليومية. لسوء الحظ ، فإن الغالبية العظمى من الشركات تتجاهل تمامًا حقيقة أن كل خادم وكل موقع وكل عنوان بريد إلكتروني هو هدف محتمل للمتسللين. العذر الأكثر استخدامًا هو: أعمالنا صغيرة جدًا ، ومن المحتمل أن يكون مهتمًا ببياناتنا؟ هل هو حقا كذلك؟
رقم هذا النوع من التفكير هو واحد من العديد من الأخطاء التي تجعل الإنترنت الحديثة أكثر عرضة للخطر. لا يضع المجرمون "الرقميون" الحديثون الكثير من التفكير في مهاجمتهم. إنهم لا يهتمون إذا كان لديك متجرك الخاص عبر الإنترنت أو مدونة فيديو عن القطط أو منتدى عشاق الهوكي في ضواحي جنوب فلوريدا.
العذر الشائع الثاني الذي تستخدمه العديد من الشركات لتجاهل نقاط الضعف على شبكة الإنترنت هو: أمن الويب باهظ الثمن! أيضا بيان غير صحيح. تبدأ تكلفة الحفر من 99 دولارًا على شركتنا.
لإظهار مدى ضعف وجود الإنترنت ، قمنا بتثبيت "مصيدة مخترقة الشبكات" (متتبع يقوم بتحليل أنشطة المتسللين وتتبعها) على خادمنا على نطاق فرعي تم إنشاؤه حديثًا. خلال 5 أيام ، سجلنا أكثر من 40 ألف عملية مسح من أكثر من 30 دولة. ما يقرب من ثلث جميع تلك الفحوصات كانت تحاول التسلل. اسمحوا لي أن أذكركم بأن العنوان الذي استخدمناه تم إنشاؤه حديثًا ولم يتم نشره مطلقًا!
دعنا نلقي نظرة على أمثلة حول كيف يمكن أن يحدث هجوم المتسللين وما هو تأثيره على عملك. سوف نتطرق أيضًا إلى الإجراءات التي يجب عليك اتخاذها لمنع الهجوم أو على الأقل التقليل من تعرضك ، بما في ذلك العواقب القانونية (نعم ، يمكن أن يؤدي هجوم المتسللين إلى مشكلات قانونية لك ولعملك).
مثال 1
أنشأت الشركة أ موقع ويب "بطاقة عمل" يحتوي على معلومات حول الشركة ونموذج ملاحظات. طوروا هذا الموقع من تلقاء أنفسهم ، دون إشراك مصممي الويب. نتيجة لذلك ، حدث خطأ في التحقق من صحة البيانات: أرسل الموقع تأكيدًا على عنوان البريد الإلكتروني الذي تم إدخاله مع الرسالة التالية: "السيد. / السيدة X ، شكرا لك على رسالتك "هنا كان النص المقتبس" ". كان المتسللون يستخدمون نفس شكل الرسائل لإرسال روابط إلى مواقع ذات محتوى ضار ، مستخدمين عناوين من قائمة البريد العشوائي كمرسلين. تم حظر النطاق كرسالة بريد مزعج واستغرق الأمر عدة أيام لإلغاء قفل المجال واستبعاده من قوائم البريد العشوائي لخوادم البريد الكبيرة.
تم تحديد المشكلة من قِبل خبرائنا الذين يستخدمون الاختبارات الآلية مقابل 99 دولارًا والتي تضمنت استكشاف الأخطاء وإصلاحها بالتفصيل.
مثال 2
طلبت الشركة B موقعًا إلكترونيًا من فريق مصمم ويب محترف ، واستأجرت خادمًا من مزود خدمة الإنترنت وتثبيته. تم تثبيت برنامج مرخص لنقل البيانات. في وقت لاحق ، تم تقديم شكوى حول فحص غير متناسق يجري تنفيذه من عنوان IP لخادم الشركة هذا. تم حظر موقع الشركة ب على الفور. بعد الاختبار ، اكتشف أن مزود خدمة الإنترنت فشل في تغيير اسم المستخدم وكلمة المرور القياسيين (admin / admin). تمكن المهاجمون من التسلل بسهولة إلى الخادم واستخدام برنامج الشركة B للقيام بأنشطة غير قانونية.
بعد تجريد الخادم وإعادة تعيينه ، سمح المزود بمزيد من الاستخدام للموقع. كانت التكلفة 349 دولار.
مثال 3
طورت الشركة C نظام طلب للعملاء لتحميل البيانات. أثناء إنشاء نقطة وصول ، حدث خطأ تقني سمح للمتسللين بسرقة جميع البيانات من جميع عملائهم باستخدام حقنة SQL. نتيجة لذلك ، تم إيقاف الشركة C لمدة أسبوع ، وتم تعويض الخسائر المالية لعشرات الآلاف من الدولارات. تم اكتشاف الخطأ التقني المذكور أعلاه من قبل شركتنا. كانت التكلفة على المكبوت 2500 دولار.
هذه مجرد أمثلة قليلة. هناك العشرات ، إن لم يكن المئات ، من خيارات الهجوم. كما ترون من هذه الأمثلة ، كان من الممكن أن تكلف هذه الشركات أقل بكثير لمنع هجوم القراصنة من التعامل مع عواقب الاختراق.
اسأل الخبراء عما يجب فعله لتجنب المواقف غير السارة. وتذكر أنه ، للأسف ، لا توجد أنظمة معرضة للخطر.