بهترین شیوه های امنیت نرم افزار – شماره 4 2023 – نرم افزار iOCO

بسیاری از محصولات نرم‌افزاری و سخت‌افزاری با پیکربندی‌های پیش‌فرض کارخانه‌ای بیش از حد مجاز بیرون می‌آیند تا محصولات را کاربرپسند کرده و زمان عیب‌یابی برای خدمات مشتری را کاهش دهند. با این حال، فعال نگه داشتن این تنظیمات پیش‌فرض کارخانه پس از نصب ممکن است به مهاجمان اجازه سوء استفاده از آنها را بدهد. دستگاه های شبکه نیز اغلب به طور مشابه با هدف ساده سازی استقرار از پیش پیکربندی شده اند. اعتبار پیش فرض ممکن است به صورت فیزیکی بر روی دستگاه برچسب گذاری شده باشد یا حتی به راحتی در اینترنت در دسترس باشد. حفظ این تنظیمات پیش‌فرض فرصت‌هایی برای فعالیت‌های مخرب ایجاد می‌کند، از جمله دسترسی غیرمجاز به اطلاعات و نصب نرم‌افزارهای مخرب. مدافعان شبکه همچنین باید بدانند که همین ملاحظات در مورد گزینه‌های نرم‌افزار اضافی نیز اعمال می‌شود که ممکن است با تنظیمات پیش‌فرض از پیش تنظیم‌شده همراه باشد.

اشتباه نکنید، فروشنده تمام افرادی را که برای انجام درست کار در کوتاه ترین زمان ممکن لازم است شامل می شود. یک پیکربندی نادرست یا استقرار ناایمن می تواند هزینه بسیار بیشتری برای شما داشته باشد. استفاده از پیکربندی‌های پیش‌فرض ارائه‌شده توسط فروشنده یا نام‌های کاربری و گذرواژه‌های ورود پیش‌فرض، دستوری برای فاجعه است، و معمولاً ناامن باقی می‌مانند و به راحتی قابل بهره‌برداری هستند.

در پایان، اگر فناوری جدیدی را در شرکت خود به کار می گیرید، همیشه خدمات حرفه ای فروشنده را برای استقرار اولیه در نظر بگیرید، مگر اینکه دارای گواهینامه و مهارت های داخلی باشید. این خطر استقرار ناامن را در طول دوره های طولانی استقرار خنثی می کند و فرصتی را برای مهندسان شما ایجاد می کند تا روی استقرار سایه بیاندازند و به صورت عملی بیاموزند. به احتمال زیاد در پایان هزینه کمتری برای شما خواهد داشت، تجربه بسیار غنی تر خواهد بود و همچنین منجر به یک رابطه فروشنده سالم در سطح فنی خواهد شد.

خدمات حرفه ای فروشنده

اگر می‌خواهید با خیال راحت فناوری‌های جدید را در هر کسب‌وکاری با خیال راحت بپذیرید، این دومی اساساً تنها گزینه است. البته این نکته نیز وجود دارد که سطح پشتیبانی پس از فروش به کار گرفته شود و با چه هزینه ای.

عوامل تهدید سایبری به طور معمول از پیکربندی‌های امنیتی ضعیف، اعم از پیکربندی نادرست یا ناامن استفاده می‌کنند. کنترل های ضعیف و سایر اقدامات بهداشتی ضعیف سایبری برای دستیابی به دسترسی اولیه یا به عنوان بخشی از تاکتیک های دیگر برای به خطر انداختن سیستم قربانی.

اکثر فروشندگان بهترین راهنماها و آموزش های سطح بالا را از طریق روش های مختلف از جمله استقرار سایه ها ارائه می کنند، اما تکمیل آن به زمان و حداقل سطح دانش موجود نیاز دارد و مطمئناً عرضه با کیفیت یا ایمن را تضمین نمی کند. مخصوصاً با محصولات امنیتی، اصلاح پیکربندی‌های نادرست و نقص‌های امنیتی زمان زیادی طول می‌کشد و اغلب نیاز به بازسازی کامل راه‌حل برای رفع این نقص‌ها دارد. در برخی موارد، راه‌حل ممکن است اصلاً آنطور که انتظار می‌رود عمل نکند، و شناسایی علت زمینه‌ای می‌تواند تمرینی زمان‌بر و پرهزینه باشد که در نهایت شامل پشتیبانی فروشنده یا خدمات حرفه‌ای می‌شود.

از آنجایی که کسب‌وکارها تحت فشار دائمی برای نوآوری، به‌روزرسانی و گسترش هستند، مدیران و مهندسان سیستم زمان لازم برای تحقیق در مورد امنیت و بهترین شیوه‌های فروشنده را ندارند، چه رسد به زمان لازم برای انطباق و پیکربندی این شیوه‌ها برای برآورده کردن الزامات تجاری منحصر به فرد و فناوری اطلاعات. فرآیندهای جریان این می‌تواند منجر به استقرار سریع نرم‌افزار تولیدی شود که آسیب‌پذیری‌های امنیتی کاملاً جدیدی را مستقیماً به شرکت معرفی می‌کند.

اطلاعات بیشتر را در iOCO، +27 11 607 8100، [email protected]،

وام)

منبع: https://www.securitysa.com/19722R

توسط پل مایر، مدیر امنیتی Solutions، iOCO

در نظر بگیرید که وقتی از خدمات حرفه‌ای فروشنده استفاده می‌کنید، توپ مسئولیت را به زمین فروشنده می‌کوبید و هدف آن این است که استقرار سریع، ایمن و مؤثر با جدول زمانی مشخص و نتایج مورد انتظار تکمیل شود. اگرچه ممکن است در ابتدا گران به نظر برسد، به خاطر داشته باشید که این کار فقط یک بار انجام می شود تا یک فروشنده به پایان قرارداد خدمات حرفه ای خود در مورد خدمات حرفه ای عمل کند.

به گفته OWASP CICD-SEC-7، این یک مسئله بسیار بزرگتر از توجهی است که دریافت می کند، “خطر پیکربندی سیستم ناامن ناشی از نقص در تنظیمات امنیتی، پیکربندی و سخت شدن سیستم های مختلف در سراسر خط لوله است که اغلب منجر به میوه های کم آویزان برای مهاجمانی که به دنبال گسترش جای پای خود در محیط هستند.”