منذ أن أصبحت الهجمات الإلكترونية أكثر تكرارًا في السنوات الأخيرة ، أصبح الموقف القوي للأمن السيبراني جزءًا مهمًا من العلامات التجارية ومنتجات التسويق. ليس من السهل تجاهل الأمن السيبراني مثل تجربة المستخدم (UX) لسهولة الاستخدام أو إمكانية الوصول للمستخدمين المعاقين. إن التذكيرات بأن الهجمات الإلكترونية حقيقية ومتكررة ومدمرة لجميع الضحايا ثابتة ، وأحيانًا إلى درجة تجعلنا غير حساسين تجاه هذا الموضوع.
نرى عبارات “الأمن السيبراني” و “الاختراق” و “أمن المعلومات (INFOSEC)” و “ضمان المعلومات (IA)” بشكل منتظم هذه الأيام.
تم اختراق قاعدة بيانات الشركة السرية لمعلومات التعريف الشخصية (PII) أو المعلومات الصحية الشخصية (PHI).
عدد X من مواقع الويب التي تم إنشاؤها باستخدام هذا الإصدار من Z CMS معرضة لهذا العيب المكتشف حديثًا.
تستخدم أجهزة توجيه المكاتب الصغيرة / المكاتب المنزلية (SOHO) الخاصة بهذه العلامة التجارية برامج ثابتة قديمة للغاية مما يشكل خطرًا كبيرًا على جهود الأمن السيبراني.
عادةً ما أرى “INFOSEC” و “IA” مرتبطين بالحكومة والتدريب ، لكنني أوضحت وجهة نظري. نسمع ونقرأ عنها كثيرا. تتمتع برامجنا الأكثر استخدامًا (مثل متصفحات الويب وعملاء البريد الإلكتروني) بمزيد من ميزات المصادقة والتكامل الأصلية الآن. تقوم أنظمة إدارة المحتوى الشائعة (CMS) بما في ذلك ووردبريس و دروبال بعمل المزيد لتسهيل تأمين المحتوى عبر الإنترنت وحماية الزوار.
لقد غطينا طرقًا لتأمين نشاط الكمبيوتر والويب للمستخدمين المنزليين. لقد غطينا أيضًا أساسيات أمان موقع الويب والطرق الجديدة لتحسين موقع الويب الخاص بك. نغطي أدناه 6 طرق يمكنك من خلالها مواكبة آخر المستجدات في عالم الأمن السيبراني.
جدول المحتوى
مواقع أخبار الأمن السيبراني
في كثير من الأحيان ، ستتضمن التقارير الإخبارية عن الهجمات الإلكترونية معلومات عامة حول ما حدث ومتى وأين. كيف ولماذا ومن يتم حذفه عادة ، أو يتم التغاضي عنه بسرعة ، أو يقترح لدعم الوضع السياسي الحالي. لكن كل جانب من هذه الجوانب له نفس القدر من الأهمية.
كيف تساعدنا على فهم ما يمكننا القيام به لتأمين أنظمتنا وشبكتنا بشكل أفضل. هل هناك بريد إلكتروني تصيد جديد ومقنع نحتاج إلى تدريب المستخدمين على اكتشافه (على سبيل المثال في هذا اليوم …)؟ هل هناك ثغرة جديدة في ووردبريس يتم استغلالها على مواقع قديمة؟
لماذا تخبرنا بمدى احتمالية استهدافنا بنفس الهجوم. هل هو هجوم اختراق البريد الإلكتروني للأعمال (BEC) لتحقيق مكاسب مالية؟ أم كان الهدف هو تخريب سمعة العلامة التجارية لمساعدة أحد المنافسين؟
من يذكرنا بفحص قوائم التحكم في الوصول (ACL) وأن التهديدات الداخلية (مثل المستخدمين الساخطين) يمكن أن يكون لها عواقب وخيمة على المؤسسة.
بعد تجاوز الهجمات الإلكترونية ، من الرائع دائمًا التعرف على أدوات الأمان الجديدة لموقعك على الويب والعمل عبر الإنترنت مثل امتدادات أمان نظام أسماء النطاقات (DNSSEC) و DNS-over-HTTPS (DoH). تمت إضافة هاتين الميزتين إلى متصفح Firefox منذ أشهر ، ولكن لا يمكنك الاستفادة من الوظائف التي لا تعرف أنها موجودة.
للحصول على المزيد من الأخبار والنصائح المفصلة والقابلة للتنفيذ بشأن الأمن السيبراني ، اتبع بعضًا مما يلي عبر وسائل التواصل الاجتماعي وموجزات RSS:
- Dark Reading
- Hacker News
- Krebs on Security
- Scott Helme (SecurityHeaders.com)
- Threatpost
- Troy Hunt (HaveiBeenPwned.com)
تغطي العديد من هذه الأنظمة الأساسية أيضًا الأخبار المتعلقة بانتهاكات معلومات التعريف الشخصية / المعلومات الصحية المحمية وقوانين خصوصية البيانات.
تدريب الأمن السيبراني
المعلومات رائعة. من الأفضل معرفة كيفية استخدام هذه المعلومات بشكل جيد داخل شبكات منزلك وعملك. لا يكفي أن يكون لديك جدار ناري ، واستخدام كلمات مرور قوية ، والنسخ الاحتياطي بانتظام ، والتحديث في الوقت المناسب. هناك أفضل الممارسات وأدلة تقوية للأنظمة ومجموعات البرامج (المزيد عن ذلك لاحقًا). ولا أعتقد أننا نتحدث بشكل كافٍ عن أهمية قراءة السجلات.
التدريب المتكرر على الأمن السيبراني ليس فقط لمتخصصي تكنولوجيا المعلومات والأمن السيبراني. مثل خدمة العملاء ، فإن الأمن السيبراني هو عمل الجميع.
يحتاج كبار المديرين والرؤساء التنفيذيين (المستوى C) إلى فهم سبب وكيفية تأثير دعم تحسينات الأمن السيبراني على عائد الاستثمار (ROI).
يحتاج جميع المستخدمين إلى تدريب ربع سنوي للتوعية بالأمن السيبراني بما في ذلك ممارسات تصفح الويب الآمن وكيفية اكتشاف التصيد الاحتيالي.
العديد من الأماكن التي أوصي بها لتعلم كيفية استخدام Linux (خاصة Cybrary) هي أيضًا مصادر جيدة للتدريب على الأمن السيبراني. يمكن للمحاربين العسكريين المصرين أيضًا استخدام التدريب الافتراضي الفيدرالي (FedVTE) لتطبيق وحدات التعليم المستمر (CEUs) للحصول على شهادات الصناعة مثل CompTIA Security +.
يمكن للمحاربين العسكريين المصرين أيضًا التدريب للحصول على شهادات الصناعة من خلال مبادرة Onward to Opportunity (O2O) من قبل معهد قدامى المحاربين العسكريين (IVMF).
Kali Linux هو نظام تشغيل مجاني مليء باختبار الاختراق (pentesting) ومحتوى تدريب للتعلم أثناء …
اختبر أنظمتك
العديد من أدوات الأمن السيبراني الشائعة للثغرات الأمنية والتحقق من الاختراق مجانية. يجني متخصصو الأمن السيبراني وتكنولوجيا المعلومات بعض المزايا من هذا. في الأساس ، يمكننا اختبار أنظمتنا وإصلاحها قبل أن يتمكن المهاجمون عبر الإنترنت من استغلالها.
يعد Linux Kali واحدًا من قائمة طويلة من برامج اختبار الأمن السيبراني المجانية والشائعة:
- ماسح نقاط الضعف Metasploit
- الماسح الضوئي لمنفذ Nmap
- برنامج Splunk لمعلومات الأمان وإدارة الأحداث (SIEM)
- الماسح الضوئي لموقع الويب WPScan ووردبريس
ومرة أخرى ، لا تنس التحقق من سجلات الخادم وبرامج تحليل بيانات الإنترنت بحثًا عن أي نشاط ضار.
القدرة على الحصول على ما تريد تثبيته فقط هو السبب في أنني أفضل استضافة خادم سحابي بخلاف cPanel.
قراءة سجلات التغيير
توضح Changelogs السبب وراء تحديثات البرامج. عادةً ما تكون مليئة ببيانات مباشرة حول كيفية معالجة كل تحديث للثغرات الأمنية والأخطاء وتحسينات تجربة المستخدم والتوافق مع البرامج الأخرى. يتوفر الكثير من البرامج التي تستخدمها يوميًا بسجلات تغيير متاحة للجمهور عبر الإنترنت: cPanel و ووردبريس و فايرفوكس وما إلى ذلك.
على غرار قراءة أخبار الأمن السيبراني لمتخصصي الأمن السيبراني ، يمكن لسجلات التغيير تنبيهك بالميزات الجديدة التي قد تساعد سير عملك أو وضعك الأمني.
أدلة تقوية الخادم
هناك العديد من الأدلة ذات السمعة الطيبة حول أفضل الممارسات المتعلقة بتأمين الأنظمة للاستخدامات المختلفة. يمكنك البحث عن “أدلة INFOSEC” أو “أدلة IA” في أي محرك بحث للبدء. أنا أفضل DuckDuckGo.
- تساعد المنشورات الخاصة الصادرة عن المعهد الوطني للمعايير والتكنولوجيا (NIST) 800-53 محترفي تكنولوجيا المعلومات العاملين على تأمين شبكات الأعمال.
- معيار أمان بيانات صناعة بطاقات الدفع (PCI-DSS) لأصحاب مواقع التجارة الإلكترونية
- هناك العديد من الأدلة والمكونات الإضافية لتحسين الأمان وكيفية جعل CMSs GDPR و CCPA متوافقًا.
قراءة تقرير التحقيق في خرق البيانات (DBIR) من Verizon
يحلل تقرير التحقيق في خرق البيانات (DBIR) لعام 2022 من Verizon الاختراقات الإلكترونية المبلغ عنها لمساعدتنا على فهم كيفية حماية شبكاتنا بشكل أفضل. إنها قراءة طويلة (أكثر من 120 صفحة) ولكنها تستحق العناء ، حتى لو قمت بقراءة الرسوم البيانية أولاً.
إلى أين تذهب للتعرف على الأمن السيبراني؟ اسمحوا لنا أن نعرف أدناه.
اترك تعليقاً