هر ساله میلیاردها دلار از درآمد حاصل از فروش آنلاین وبسایتهای مختلف کاسته میشود که تمام این ضرر و زیانها به این خاطر است که کاربران از انجام خریدهای آنلاین هراس دارند و آنچه باعث میشود کاربران دست از خرید اینترنتی بکشند چیزی نیست جز ترس از به سرقت رفتن اطلاعات شخصی و مالی آنها توسط صفحههای تقلبی که چنین چیزی اصطلاحاً فیشینگ گفته میشود.
با توجه به اینکه بسیاری از شرکتها از حفرههای امنیتی گستردهای که باعث از دست دادن مشتریان آنها میشود رنج میبرند، این نیاز احساس میگردد تا شرکتهایی که درآمدزایی آنها منوط به حضور آنلاین است به یک رویکرد جامع برای حفاظت از دادهها خود دست یابند. به طور کلی، کسبوکارهای آنلاین میتوانند چند گام سادهٔ زیر را دنبال کنند تا مطمئن شوند که اطلاعات حساس آنها هرگز به دست هکرها نمیافتد و در مواقع بحرانی قابلیت ریکاوری دارند که عبارتند از:
چرخهٔ حیات ایمن توسعهٔ نرمافزار
اپلیکیشنها باید چرخهای به نام SDLC که مخفف واژگان Software Development Life Cycle (چرخهٔ حیات توسعهٔ نرمافزار) است را طی کنند که این چرخه شامل مراحل طراحی، کدنویسی و توسعه است. با این حال، یکی از عمده دلایل استفاده از چنین چرخهای برای طراحی یک نرمافزار، بررسی امنیت آن در هر مرحله از فرایند کدنویسی و توسعه است.
همچنین چرخهٔ S-SDLC که مخفف واژگان Secure Software Development Life Cycle (چرخهٔ حیات ایمن توسعهٔ نرمافزار) است، شامل بررسی مسائل امنیتی اپلیکیشن در تکتک مراحل توسعهٔ نرمافزار میباشد که برخلاف روش تست-دیباگ-تست، به بررسی باگهای امنیتی در مراحل ابتدایی توسعه میپردازد که در نهایت منجر به صرفهجویی در زمان و هزینهها در آینده میگردد.
داشتن تیم امنیتی شبانهروزی از روز اول راهاندازی کسبوکار
به جای اینکه قبل از اجرای پروژه تنها یک بررسی امنیتی روتین داشته باشید، تیم توسعه باید از حضور یک کارشناس امنیت نرمافزار که میتواند تهدیدهای امنیتی در هر سطحی را درک کند و کارهای لازم و ضروری امنیتی را در چرخهٔ توسعه قرار دهد، بهرهمند گردد (در همین راستا توصیه میکنیم به پادکست مصاحبه با مهران طُرِیحی: متخصص امنیت اطلاعات مراجعه نمایید.)
مانند یک هکر فکر کنید
برای شکست دادن یک هکر، باید مانند یک هکر فکر کنید و به همین دلیل است که تکنیکهای مبارزه با هک و اقدامات ارزیابی امنیتی مانند Penetration Testing (تست نفوذ) بسیار حیاتی هستند. تست نفوذ یک حملهٔ شبیهسازی شده به یک سیستم کامپیوتری مشکوک به ضعف امنیتی است که در این تست سعی میشود با استفاده از ابزارهای خاصی به بخشهای مختلف و اطلاعات یک سیستم دست پیدا کرد. به عبارتی، در این تست اطلاعات موجود بررسی میشوند و سپس به منظور دستیابی به اهداف مختلفی که مورد نظر است، اقدامات مختلفی انجام میشود.
تست نفود شامل ارزیابی امنیت فیزیکی سرورها، سیستمها و دیوایسهای شبکه، بررسی آسیبپذیری در برنامههای کلاینت کوچک و بزرگ برای مشخص کردن نقاط ضعف احتمالی میشود و بسته به بزرگی هر پروژهای، سازمانها میتوانند از میان تستهای نفوذ به اصطلاح White Box، Black Box و Gray Box یکی را انتخاب کنند (در همین راستا توصیه میکنیم به مقالهٔ آشنایی با مقولهٔ White Box Testing و Black Box Testing مراجعه نمایید.)
زمان مشخصی را برای تحلیلهای امنیتی اختصاص دهید
همواره یکی از دغدغههای مدیران پروژه، رسیدن به دِدلاین (ضربالعجل) پروژه است و همین عجله در به انجام رساندن پروژه میتواند تیم را در معرض ایجاد حفرههای امنیتی قرار دهد! زمانی که با پروژههایی سروکار داریم که دِدلاینهای زودهنگام دارند، لازم است که اقدامات امنیتی لازم را همواره مد نظر داشته باشیم و این در حالی است که هرچه حجم پروژه بزرگتر گردد، پیچیدگی آن افزایش یافته و نیاز به رعایت مسائل امنیتی دوچندان میگردد.
کار روی بخش امنیتی ارزشش را دارا است
تیمهای امنیتی معمولاً بودجهٔ خود را از جانب مدیران مافوق دریافت میکنند یا اینکه مدیران بالاتر برای خرید تجهیزات و نرمافزارهای امنیتی برای آنها بودجهٔ خاصی در نظر میگیرند. زمانی که قصد دارید دست به چنین سرمایهگذاریهایی بزنید، باید به خاطر داشته باشید در صورتی میتوانید ادعا کنید که از تمام پتانسیل سرمایهگذاری خود استفاده میکنید که تجهیزات امنیتی خریداری شده و تیم امنیتی شما شبانهروزی کار کنند و فعال باشند. محدود کردن این بودجهها، تنها به بخش امنیتی آسیب زده و باعث یک نتیجهٔ ناخوشایند میشود.