1. Ban quản trị diễn diễn ra mục tiêu vì một diễn đàn sạch để hướng tới một mội trường internet sạch, chúng tôi nghiêm cấm tất cả mọi hành vi SPAM trên diễn đàn: post bài không đúng chuyên mục, comment bừa bãi và đăng tải nội dung vi phạm pháp luật. Chúng tôi sẽ không thông báo mà xóa tất cả các bài viết liên quan đồng thời Ban nick vĩnh viễn.
    Dismiss Notice

10 áp dụng tốt nhất về bảo mật ứng dụng Web

Thảo luận trong 'Cần bán' bắt đầu bởi itmapasia, 23 Tháng mười 2020.

  1. itmapasia

    itmapasia New Member

    10 áp dụng tốt nhất về bảo mật ứng dụng Web

    [​IMG]

    Giống như bất kỳ chủ sở hữu trang web có trách nhiệm nào, bạn có thể nhận thức rõ tầm quan trọng của bảo mật trực tuyến, nhưng có thể chưa thực hiện đủ để bảo mật (các) ứng dụng web của bạn.

    Như đã chỉ ra, số lượng các cuộc tấn công DDoS đã liên tục tăng trong vài năm qua và dự kiến sẽ tiếp tục tăng.

    Mặc dù không có cách nào để đảm bảo bảo mật hoàn toàn 100%, nhưng có những phương pháp mà các công ty có thể thực hiện để giúp giảm nguy cơ gặp phải các sự cố bảo mật ứng dụng web. Trong bài đăng này, chúng tôi đã tạo danh sách các phương pháp hay nhất về bảo mật ứng dụng web đặc biệt quan trọng cần lưu ý khi bạn tăng cường bảo mật web của mình.

    1. Tạo bản thiết kế bảo mật ứng dụng web
    Bạn không thể hy vọng luôn cập nhật các phương pháp hay nhất về bảo mật ứng dụng web nếu không có sẵn kế hoạch để thực hiện. Thông thường, các công ty thực hiện một cách tiếp cận tình huống một cách vô tổ chức và cuối cùng chẳng đạt được kết quả gì. Ngồi xuống với nhóm bảo mật CNTT của bạn để phát triển một kế hoạch bảo mật ứng dụng web chi tiết và có thể hành động. Nó phải phác thảo các mục tiêu của tổ chức bạn.

    Mặc dù bản thiết kế bảo mật hoặc danh sách kiểm tra của mỗi công ty sẽ khác nhau tùy thuộc vào cơ sở hạ tầng của họ, nhưng Synopsys đã tạo ra một danh sách kiểm tra bảo mật ứng dụng web 6 bước khá chi tiết mà bạn có thể tham khảo làm điểm khởi đầu.

    2. Thực hiện kiểm kê các ứng dụng web của bạn
    Được tổ chức như thể bạn nghĩ rằng công ty của bạn có thể như vậy, bạn có thể không có một ý tưởng rõ ràng về những ứng dụng mà nó dựa vào hàng ngày. Trên thực tế, hầu hết các tổ chức đều có nhiều ứng dụng giả mạo đang chạy tại bất kỳ thời điểm nào và không bao giờ nhận thấy chúng cho đến khi có sự cố xảy ra. Bạn không thể hy vọng duy trì bảo mật ứng dụng web hiệu quả nếu không biết chính xác ứng dụng nào mà công ty của bạn sử dụng.

    3. Ưu tiên các ứng dụng web của bạn
    Sắp xếp các ứng dụng thành ba loại:

    1. Quan trọng 2. Nghiêm trọng 3. Bình thường

    Các ứng dụng quan trọng chủ yếu là những ứng dụng hướng ra bên ngoài và chứa thông tin khách hàng. Đây là những ứng dụng nên được quản lý đầu tiên, vì chúng có nhiều khả năng bị tin tặc nhắm mục tiêu và khai thác. Các ứng dụng nghiêm trọng có thể là nội bộ hoặc bên ngoài và có thể chứa một số thông tin nhạy cảm. Các ứng dụng bình thường có mức độ tiếp xúc ít hơn nhiều, nhưng chúng nên được đưa vào các thử nghiệm gần đây.

    4. Ưu tiên các lỗ hổng
    Khi bạn xem xét danh sách các ứng dụng web trước khi kiểm tra chúng, bạn cần quyết định xem lỗ hổng nào đáng loại bỏ và lỗ hổng nào không quá đáng lo ngại. Thực tế của vấn đề là hầu hết các ứng dụng web đều có nhiều lỗ hổng. Ví dụ: hãy xem báo cáo các trang web bị tấn công quý 2 của Sucuri, trong đó đã phân tích 9000 trang web bị nhiễm và phân loại chúng theo nền tảng.

    5. Chạy các ứng dụng bằng cách sử dụng ít đặc quyền nhất có thể
    Ngay cả sau khi tất cả các ứng dụng web của bạn đã được đánh giá, kiểm tra và loại bỏ các lỗ hổng có vấn đề nhất, bạn vẫn chưa rõ. Mọi ứng dụng web đều có các đặc quyền cụ thể trên cả máy tính cục bộ và máy tính từ xa. Các đặc quyền này có thể và nên được điều chỉnh để tăng cường bảo mật.

    6. Có bảo vệ tại chỗ trong thời gian tạm thời
    Ngay cả khi bạn điều hành một tổ chức nhỏ và khá đơn giản, có thể mất hàng tuần - hoặc thậm chí hàng tháng - để xem qua danh sách các ứng dụng web và thực hiện các thay đổi cần thiết. Trong thời gian đó, doanh nghiệp của bạn có thể dễ bị tấn công hơn. Do đó, điều quan trọng là phải có các biện pháp bảo vệ khác trong thời gian chờ đợi để tránh các vấn đề lớn. Đối với điều này, bạn có một số lựa chọn:

    1. Xóa một số chức năng khỏi các ứng dụng nhất định. Nếu chức năng làm cho ứng dụng dễ bị tấn công hơn thì có thể đáng để xóa chức năng đã nói trong thời gian chờ đợi.
    2. Sử dụng tường lửa ứng dụng web (WAF) để bảo vệ khỏi các lỗ hổng gây phiền toái nhất.
    [​IMG]

    Trong suốt quá trình, các ứng dụng web hiện có phải được giám sát liên tục để đảm bảo rằng chúng không bị bên thứ ba vi phạm. Nếu công ty hoặc trang web của bạn bị tấn công trong thời gian này, hãy xác định điểm yếu và giải quyết nó trước khi tiếp tục công việc khác. Bạn nên có thói quen ghi chép cẩn thận các lỗ hổng đó và cách chúng được xử lý để những lần xuất hiện trong tương lai có thể được xử lý phù hợp.

    8. Sử dụng cookie một cách an toàn
    Một lĩnh vực khác mà nhiều tổ chức không nghĩ đến khi giải quyết các phương pháp hay nhất về bảo mật ứng dụng web là việc sử dụng cookie. Cookie vô cùng tiện lợi cho các doanh nghiệp cũng như người dùng. Chúng cho phép người dùng được ghi nhớ bởi các trang web mà họ truy cập để các lượt truy cập trong tương lai nhanh hơn và trong nhiều trường hợp, được cá nhân hóa hơn. Tuy nhiên, cookie cũng có thể bị tin tặc thao túng để truy cập vào các khu vực được bảo vệ.

    9. Triển khai các đề xuất bảo mật web
    Bên cạnh những gì đã nêu trong bài đăng này, còn có một số đề xuất bảo mật ứng dụng web "tức thì" khác mà bạn có thể triển khai với tư cách là chủ sở hữu trang web hoặc doanh nghiệp.

    • Triển khai HTTPS và chuyển hướng tất cả lưu lượng HTTP sang HTTPS.
    • Ngăn chặn các cuộc tấn công tập lệnh xuyên trang bằng cách triển khai tiêu đề bảo mật x-xss-protection.
    • Thực hiện chính sách bảo mật nội dung.
    • Giúp ngăn chặn các cuộc tấn công của kẻ trung gian bằng cách kích hoạt các chốt khóa công khai.
    • Áp dụng tính toàn vẹn của nguồn phụ cho các phần tử <script> hoặc <link> của tài nguyên của bạn
    • Sử dụng phiên bản cập nhật của TLS.
    10. Tiến hành đào tạo nâng cao nhận thức về bảo mật ứng dụng web
    Bằng cách hướng dẫn nhân viên, họ sẽ dễ dàng tự phát hiện ra các lỗ hổng bảo mật hơn. Về bản chất, nâng cao tốc độ cho mọi người về bảo mật ứng dụng web là một cách tuyệt vời để khiến mọi người cùng tham gia vào hành động tìm và loại bỏ các lỗ hổng bảo mật. Với lưu ý này, hãy cân nhắc mời một chuyên gia bảo mật ứng dụng web để tiến hành đào tạo nâng cao nhận thức cho nhân viên của bạn.

    [​IMG]

    [​IMG]
    WAPPLES, để có Hiệu suất xử lý HTTPS nhanh nhất
    WAPPLES, sản phẩm tường lửa ứng dụng web của Penta Security, đang tăng thị phần của mình trong các tổ chức công và lĩnh vực tài chính với hiệu suất xử lý HTTPS nhanh chóng. Sản phẩm tường lửa ứng dụng web của Penta Security cung cấp hiệu suất nhanh hơn và bảo mật an toàn hơn so với môi trường giới thiệu thiết bị mà không có thiết bị lưu lượng SSL bổ sung trong môi trường HTTPS. Tìm hiểu thêm về WAPPLES và bắt đầu bảo vệ trang web của bạn ngay hôm nay.

    [​IMG]
    [​IMG]

    ITMAP ASIA - Đối tác của hãng Penta Security tại Việt Nam

    555 Trần Hưng Đạo, P. Cầu Kho, quận 1, TP.HCM

    028 5404 0717 - 5404 0799

    info@itmapasia.com
     

Chia sẻ trang này

Users Viewing Thread (Users: 0, Guests: 0)

XenForo Add-ons by Brivium ™ © 2012-2013 Brivium LLC.