المفاهيم و العناوين الرئيسيه حول اختراق البيانات على Facebook
المتميزalmutamayiz تختلف تمامًا عن عمليات اختراق الموقع حيث سُرقت معلومات بطاقة الائتمان من كبار تجار التجزئة ، فإن الشركة المعنية ، Cambridge Analytica ، لديها الحق في استخدام هذه البيانات بالفعل.
لسوء الحظ ، استخدموا هذه المعلومات بدون إذن وبطريقة كانت مخادعة بشكل علني لكل من مستخدمي Facebook و Facebook نفسه.
تعهد مارك زوكربيرج
الرئيس التنفيذي لشركة Facebook ، بإجراء تغييرات لمنع حدوث هذه الأنواع من إساءة استخدام المعلومات في المستقبل ، ولكن يبدو أن العديد من هذه التعديلات سيتم إجراؤها داخليًا.
لا يزال يتعين على المستخدمين الأفراد والشركات اتخاذ خطواتهم الخاصة لضمان بقاء معلوماتهم محمية وآمنة قدر الإمكان.
بالنسبة للأفراد ، فإن عملية تعزيز الحماية عبر الإنترنت بسيطة إلى حد ما. يمكن أن يتراوح هذا من ترك مواقع مثل Facebook تمامًا ، إلى تجنب ما يسمى بمواقع الألعاب والاختبارات المجانية حيث يُطلب منك توفير الوصول إلى معلوماتك ومعلومات أصدقائك.
نهج منفصل هو استخدام حسابات مختلفة. يمكن استخدام أحدها للوصول إلى المواقع المالية الهامة. يمكن استخدام الثانية وغيرها لصفحات وسائل التواصل الاجتماعي. يمكن أن يؤدي استخدام مجموعة متنوعة من الحسابات إلى إنشاء المزيد من العمل ، ولكنه يضيف طبقات إضافية لإبقاء المتسلل بعيدًا عن بياناتك الرئيسية.
من ناحية أخرى ، تحتاج الشركات إلى نهج أكثر شمولاً. بينما تستخدم جميعها تقريبًا جدران الحماية وقوائم التحكم في الوصول وتشفير الحسابات والمزيد لمنع الاختراق ، تفشل العديد من الشركات في الحفاظ على الإطار الذي يؤدي إلى البيانات.
أحد الأمثلة على ذلك هو شركة تستخدم حسابات مستخدمين بقواعد تفرض تغييرات على كلمات المرور بانتظام ، ولكنها تتراخى في تغيير بيانات اعتماد جهاز البنية التحتية الخاصة بها لجدران الحماية أو أجهزة التوجيه أو تبديل كلمات المرور. في الواقع ، العديد من هؤلاء لا يتغيرون أبدًا.
يجب على أولئك الذين يستخدمون خدمات بيانات الويب أيضًا تغيير كلمات المرور الخاصة بهم. مطلوب اسم مستخدم وكلمة مرور أو مفتاح API للوصول إليها والتي يتم إنشاؤها عند إنشاء التطبيق ، ولكن نادرًا ما يتم تغييرها مرة أخرى. يمكن للموظف السابق الذي يعرف مفتاح أمان API لبوابة معالجة بطاقة الائتمان الخاصة به الوصول إلى تلك البيانات حتى لو لم يعد يعمل في هذا العمل.
يمكن أن تسوء الأمور. تستخدم العديد من الشركات الكبيرة شركات إضافية للمساعدة في تطوير التطبيقات. في هذا السيناريو ، يتم نسخ البرنامج إلى خوادم الشركات الإضافية وقد يحتوي على نفس مفاتيح واجهة برمجة التطبيقات أو مجموعات اسم المستخدم / كلمة المرور المستخدمة في تطبيق الإنتاج. نظرًا لأن معظمها نادرًا ما يتم تغييره ، أصبح بإمكان العامل الساخط في شركة تابعة لجهة خارجية الآن الوصول إلى جميع المعلومات التي يحتاجونها للحصول على البيانات.
يجب أيضًا اتخاذ عمليات إضافية لمنع حدوث خرق للبيانات. وتشمل هذه...
• تحديد جميع الأجهزة المشاركة في الوصول العام لبيانات الشركة
بما في ذلك جدران الحماية وأجهزة التوجيه والمحولات والخوادم وما إلى ذلك. قم بتطوير قوائم التحكم في الوصول التفصيلية (ACLs) لجميع هذه الأجهزة. مرة أخرى ، قم بتغيير كلمات المرور المستخدمة للوصول إلى هذه الأجهزة بشكل متكرر ، وقم بتغييرها عندما يغادر أي عضو في أي ACL في هذا المسار الشركة.
• تحديد جميع كلمات مرور التطبيقات المضمنة التي تصل إلى البيانات. هذه كلمات مرور "مضمنة" في التطبيقات التي تصل إلى البيانات. قم بتغيير كلمات المرور هذه بشكل متكرر. قم بتغييرها عندما يغادر أي شخص يعمل على أي من حزم البرامج هذه الشركة.
• عند استخدام شركات خارجية للمساعدة في تطوير التطبيقات ، قم بإنشاء بيانات اعتماد منفصلة لطرف ثالث وقم بتغييرها بشكل متكرر.
• في حالة استخدام مفتاح API للوصول إلى خدمات الويب
اطلب مفتاحًا جديدًا عندما يغادر الأشخاص المشاركون في خدمات الويب هذه الشركة.
• توقع حدوث خرق ووضع خطط لاكتشافه وإيقافه. كيف تحمي الشركات من هذا؟ إنه معقد بعض الشيء ولكنه ليس بعيد المنال. تحتوي معظم أنظمة قواعد البيانات على تدقيق مدمج فيها ، وللأسف ، لا يتم استخدامه بشكل صحيح أو على الإطلاق.
على سبيل المثال ، إذا كانت قاعدة البيانات تحتوي على جدول بيانات يحتوي على بيانات العميل أو الموظف. بصفتك مطورًا للتطبيق ، قد يتوقع المرء أن يصل تطبيق ما إلى هذه البيانات ، ومع ذلك ، إذا تم إجراء استعلام مخصص يستفسر عن جزء كبير من هذه البيانات ، يجب أن يوفر تدقيق قاعدة البيانات المكوّن بشكل صحيح ، على الأقل ، تنبيهًا بحدوث ذلك .
• الاستفادة من إدارة التغيير للتحكم في التغيير.
يجب تثبيت برنامج إدارة التغيير لتسهيل إدارته وتتبعه. قفل جميع الحسابات غير الإنتاجية حتى يتم تنشيط "طلب التغيير".
• لا تعتمد على التدقيق الداخلي.
عندما تقوم الشركة بتدقيق نفسها ، فإنها عادة ما تقلل من العيوب المحتملة. من الأفضل الاستعانة بطرف ثالث لتدقيق أمنك وتدقيق سياساتك.
تقدم العديد من الشركات خدمات التدقيق ولكن بمرور الوقت وجد هذا الكاتب أن نهج الطب الشرعي يعمل بشكل أفضل. تحليل جميع جوانب إطار العمل ، وبناء السياسات ومراقبتها أمر ضروري. نعم ، من الصعب تغيير جميع كلمات المرور للجهاز وكلمات المرور المضمنة ، ولكنه أسهل من مواجهة محكمة الرأي العام عند حدوث خرق للبيانات.