Rethink sikkerhetsadministrasjon på nettstedet: Cybercriminals har allerede

Skurkene skjønte det. Nettsteder er et enkelt merke. Når det er kompromittert, kan et nettsted være et inngangspunkt for back-end-servere. Samtidig kan det være en plattform for å laste ned skadelig programvare.

Bare koble "kompromitterte nettsteder" til enhver søkemotor, så vil du se hvor vellykket denne satsingen er. Toppsporet på Google var en SC Magazine-artikkel som snakket om en Websense-studie:

"Av de 100 mest populære nettstedene på nettet er 70 prosent vertskap for ondsinnet innhold eller inneholder en skjult omdirigering."

Hvis det ikke er ille nok:

"Antallet legitime nettsteder som er kompromittert med skadelig innhold, overstiger mengden av nettsteder som er spesielt opprettet av nettkriminelle for å utføre sine utnyttelser."

Hvorfor?

Det jeg ikke forsto var, hvorfor? Så kom jeg over rapporten, "Sårbarheter fremhever behovet for mer effektiv websikkerhetsadministrasjon" (PDF). Tittelen sier alt. Det er det Department of Homeland Security (DHS) inspektørgeneral Richard Skinner og teamet hans fant etter vurderingen av de ni mest populære nettstedene som drives av DHS:

  • Tollvesen og grensevern (cbp.gov)
  • DHS hovedkvarter (interact.dhs.gov)
  • Federal Emergency Management Agency (fema.gov)
  • Federal Law Enforcement Training Center (fletc.gov)
  • Innvandring og tollhåndhevelse (ice.gov)
  • Direktoratet for nasjonalt vern og programmer (us-cert.gov)
  • Transportation Security Administration (twicprogram.tsa.dhs.gov)
  • USAs kystvakt (uscg.mil)
  • United States Citizenship and Immigration Services (uscis.gov)

Dette er absolutt viktige nettsteder og må være sikre som mulig. Jeg var spesielt interessert i NPPD-nettstedet til National Protection and Programs Directorate (NPPD). Du kan gjenkjenne NPPD som US-CERT eller USAs PC Emergency Readiness Team.

Heldigvis inneholdt US-CERTs nettsted sammen med de som ble kontrollert av USCG og FEMA ingen kritiske sårbarheter, og alle sikkerhetsoppdateringer ble brukt. Mr. Skinner nevnte at:

"Disse komponentenes (websider) sikkerhetspraksis, gjennom periodiske vurderinger, programvare for oppdatering og oppdatering og dokumenterte prosedyrer, er eksemplet på en effektiv forsvarsdypende tilnærming til god IT-systemsikkerhet."

Hva ble testet

En del av vurderingen var å sjekke webserverne. Inspektørene syntes utstyret og operativsystemprogramvaren var mer enn tilstrekkelig sikkerhetsmessig. Det var ikke det jeg forventet. Så kommenterte Mr. Skinner følgende:

"Komponent IT-sikkerhetspersonell utførte disse testene regelmessig på operativsystemer, men bare noen få hadde verktøyene eller opplevde å teste webapplikasjoner for sikkerhetsproblemer. Siden nettstedets innhold blir oppdatert eller endret, kan eksisterende sårbarheter forbli eller nye sårbarheter kan introduseres, og system og data i fare. "

De faktiske sårbarhetene er i rapporten, men ble redigert sammen med annen sensitiv informasjon. Likevel begynte ting å være fornuftig. Kan dette være tilfelle med andre nettsteder?

anbefalinger

Generalinspektøren kom med følgende anbefalinger:

  • Krev periodiske sikkerhetssårbarhetsvurderinger av alle publikumsvendte nettsteder.
  • Krev omgående bruk av sikkerhetsoppdateringer på servere som støtter publikumsvendte nettsteder.
  • Avklar avdelingens policy for sårbarhetsvurdering, og sørg for å adressere trusler som er spesielt knyttet til nettstedet.
  • Lag en oversikt over alle viktige applikasjoner og støttesystemer som brukes av offentlige vender.

Jeg spurte en venn av meg, som er designer på nettstedet, om anbefalingene. Hun følte at de var gode, og nevnte at flere av klientene hennes trenger å implementere dem.

Siste tanker

Rapporten svarte på spørsmålet mitt. Vi må fokusere like mye oppmerksomhet på nettstedsprogrammet som webserveren som er vert for den. Rapporter som DHS Inspector Generals burde få oss til å gå i riktig retning. For det er mange penger som bruker forbrukere som kan stole på nettsteder.

© Copyright 2021 | pepebotifarra.com