کدخبر :318300 پرینت
27 فروردین 1404 - 14:46

اقدامات امنیتی برای طراحی نرم افزارها و اپلیکیشن های تحت وب

ایروانی پور، محقق و ‌مدرس فناوری و امنیت سایبری، گفت: با توجه به گسترش روزافزون تهدیدات و حملات سایبری و نفوذ به نرم افزارها و اپ های وب و موبایلی و نشر پایگاه های داده در اغلب موارد، ضرورت تقویت و بهره گیری از راهکارها و مکانیزم های امنیتی بهینه شده بیش از پیش الزامی و از ابتدای طراحی محصول پیشنهاد می گردد.

اپلیکیشن
متن خبر

فرشید ایروانی پور، محقق و ‌مدرس فناوری و امنیت سایبری در یادداشت ارسالی برای سیتنا و به نقل از MobiDev و NIST آورده است:

با توجه به گسترش روزافزون تهدیدات و حملات سایبری و نفوذ به نرم افزارها و اپ های وب و موبایلی و نشر پایگاه های داده در اغلب موارد، ضرورت تقویت و بهره گیری از راهکارها و مکانیزم های امنیتی بهینه شده بیش از پیش الزامی و از ابتدای طراحی محصول پیشنهاد می گردد، لذا موارد و چک لیست مطروحه، پیشنهادی جهت استفاده و بهره برداری طراحان  و پیمانکاران نرم افزاری مرتبط و اتخاذ تدابیر لازم برای این فعالان و متخصصان عزیز خواهد بود.

1.شیوه های توسعه ایمن:

  • ایمن  همزمان با طراحی:

    ملاحظات امنیتی را از مرحله طراحی اولیه نرم افزار یکپارچه کنید، نه به عنوان یک راهکار بعدی.

  • اعتبار سنجی و پاکسازی ورودی:

    از حملات تزریق (SQL، XSS) با اعتبارسنجی و پاکسازی تمام ورودی‌های کاربر جلوگیری کنید.

  • روش های کدگذاری امن:


    استانداردهای کدگذاری امن را دنبال کنید و از کتابخانه ها/چارچوب های امن استفاده کنید.

  • بررسی کدهای منظم:

    برای شناسایی آسیب‌پذیری‌های احتمالی، بررسی‌های همتا و ممیزی کد انجام دهید.

  • مدیریت پیکربندی امن:

    پیکربندی های ایمن را برای وب سرورها، پایگاه های داده و سایر مؤلفه ها پیاده سازی کنید.

2.احراز هویت و مجوز احراز هویت قوی:

  • احراز هویت قوی

    اجرای سیاست های رمز عبور قوی، احراز هویت چند عاملی (MFA) و ذخیره سازی رمز عبور ایمن با استفاده از الگوریتم های رمزگذاری مدرن

  • مجوز:

    اعمال کنترل دسترسی بر اساس نقش‌ها و مجوزهای کاربر، محدود کردن دسترسی به داده‌ها و قابلیت‌های حساس.

  • مدیریت جلسه:

    جلسات کاربر را با وقفه های زمانی مناسب و محافظت در برابر ربودن جلسه مدیریت ایمن کنید.

3.حفاظت از داده ها و حریم خصوصی:

  • رمزگذاری داده ها:

    داده های حساس را در حالت سکون یا بدون تغییرات (در صورت نیاز) و در حین انتقال با استفاده از الگوریتم های رمزگذاری قوی رمزگذاری کنید.

  • پوشش داده ها:

    برای جلوگیری از دسترسی غیرمجاز، داده‌های حساس را در گزارش‌ها و سایر خروجی‌ها و تراکنش ها پنهان سازی کنید.

  • حریم خصوصی بر اساس طراحی:

    اصول حفظ حریم خصوصی داده ها را در فرآیند طراحی و توسعه اپلیکیشن ادغام کنید.

  • رعایت مقررات:

    به مقررات مربوط به حریم خصوصی داده ها (به عنوان مثال، GDPR، CCPA) پایبند باشید.

4.مدیریت آسیب پذیری:

  • اسکن منظم آسیب پذیری:

    اسکن آسیب‌پذیری‌ها را با استفاده از ابزارهای خودکار برای شناسایی نقاط ضعف احتمالی انجام دهید.

  • مدیریت پچ:

    برای رفع آسیب پذیری های شناخته شده، وصله های امنیتی را به سرعت اعمال کنید.

  • تست نفوذ:

    برای شبیه‌سازی حملات دنیای واقعی و شناسایی آسیب‌پذیری‌های قابل بهره‌برداری، کارشناسان امنیتی را برای آزمایش نفوذ جذب کنید.

5.نظارت بر امنیت و واکنش به حوادث:

  • نظارت بر امنیت:

    پیاده سازی ابزارهای نظارتی امنیتی مانند: Log Management ,DLP, PAM, EDR/AVو ... برای شناسایی، جلوگیری و تحلیل فعالیت های مشکوک و تهدیدات احتمالی از طریق پایش مداوم آنها تهیه گردد.

  • تجزیه و تحلیل گزارش و لاگ ها:

    گزارش‌ها و لاگ های امنیتی را با کمک ابزار Log Managment برای شناسایی الگوها و ناهنجاری‌هایی که می‌توانند حملات را تشخیص یا نشان دهند، پایش و تجزیه و تحلیل کنید.

  • طرح واکنش به حوادث:

    یک طرح جامع واکنش به حادثه برای رسیدگی موثر به نقض های امنیتی ایجاد کنید و هر حادثه ای را مستند و سپس تحلیل نمایید.

6.اقدامات امنیتی تکمیلی مهم:

  • فایروال برنامه های وب (WAF):

    یک WAF برای فیلتر کردن ترافیک مخرب و محافظت در برابر حملات رایج وب تهیه کنید. این تجهیز قدرتمند معمولا از برنامه‌ها و اپلیکیشن های وب در برابر حملاتی مانند جعل بین سایتی CSRF، اسکریپت بین سایتی XSS، File Inclusion  ،SQL Injection  ، DDOS و… محافظت می‌کند، البته به شرطی که بدرستی بهینه سازی و بکارگرفته شود. اغلب سازمان ها این تجهیز را تهیه اما بهره برداری صحیح و مناسب نمی نمایند.

  • اطلاعات امنیتی و مدیریت رویدادها (SIEM):

    از یک SIEM برای متمرکز کردن و مدیریت گزارش‌های دارایی های سازمان، رویدادهای امنیتی و هشدارها جهت تجزیه و تحلیل بهتر و پاسخ به رویداد و تهدیدات استفاده کنید. مدیریت لاگ ها اقدام بسیار موثری در تشخیص و اقدامات موثر در برابر حوادث و حملات احتمالی ایفا کرده و خط دفاعی اولیه برای اقدامات مدیریت تهدیدات ایجاد می نماید.

  • آموزش آگاهی از امنیت:

    آموزش کارکنان در مورد بهترین شیوه های امنیتی و نحوه شناسایی و گزارش تهدیدات بالقوه.

7.بهبود مستمر امنیت:

  • ایجاد الزامات و ارزیابی های امنیتی منظم: 

   ارزیابی های امنیتی منظم را برای ارزیابی اثربخشی اقدامات امنیتی انجام دهید.

  • ممیزی های امنیتی:

    حسابرسان امنیتی مستقل را برای ارزیابی وضعیت امنیتی کلی برنامه درگیر کنید.

  • به روز بمانید:

    از تهدیدات و آسیب پذیری های امنیتی در حال ظهور مطلع باشید و استراتژی های امنیتی را بر این اساس تطبیق دهید.

انتهای پیام

برچسب ها

نظرات خود را با ما درمیان بگذارید
مطالب مرتبط
حملات سایبری
نگران غرب از حملات هکرهای وابسته به سازمان اطلاعات نظامی روسیه
سامانه پارسیان
گزارش تصویری سیتنا؛ رونمایی از سامانه پارس وام بانک پارسیان
سامانه پارس وام
رونمایی بانک پارسیان از سامانه پارس وام؛ امکان ارائه تسهیلات غیرحضوری
مکالمه تلفنی
۵۶ ساعت مکالمه تلفنی بدون توقف در لتونی!

افزودن دیدگاه جدید

کپچا
CAPTCHA ی تصویری
کاراکترهای نمایش داده شده در تصویر را وارد کنید.

پایگاه خبری سیتنا - مرجع تخصصی اخبار فاوا

پایگاه اطلاع رسانی اینترنتی "سیتنا" دارای مجوز انتشار از وزارت فرهنگ و ارشاد اسلامی حاصل اندیشه و برآیند دیدگاهی است که می کوشد گامی موثر در اطلاع رسانی حوزه فناوری اطلاعات و ارتباطات بردارد. در این راستا "سیتنا" به عنوان پایگاه تخصصی در حوزه‎ی ICT با ساختار خصوصی علاوه بر انعکاس اخبار، رخدادها و رویدادهای این حوزه با ایجاد وبگاهی تعاملی امکان انتشار نقطه نظرات، یادداشت ها، مقاله‎ها و مطالب دریافتی از سوی مخاطبان را فراهم نموده است.

بیشتر...
لوگو سیتنا

AsiaTech

حمایت شده توسط ابر آسیاتک

تمام حقوق مادی و معنوی سازمان خبری فناوری اطلاعات و ارتباطات (سیتنا) محفوظ می باشد و انعکاس مطالب این پایگاه تنها با ذکر منبع مجاز است.