في 9 فبراير يُحتفل بـ اليوم العالمي لإنترنت أكثر أمانًا (Safer Internet Day). ويواجه مطورو البرمجيات ومستخدمو الإنترنت حول العالم تحديات مستمرة تتعلق بالأمان الرقمي. ومع قيود جائحة COVID-19 وانتقال معظم الأنشطة إلى المنصات الرقمية، أصبحت هذه القضية أكثر أهمية من أي وقت مضى.
وبمناسبة هذا اليوم، قام متخصصو STDev بإعداد قائمة من النصائح والإرشادات لجعل عام 2021 أكثر أعوامك أمانًا على الإنترنت. هذه هي نفس الممارسات والأساليب التي نعتمدها في STDev لضمان أمان وسلامة منتجاتنا. هذا العام، ركّز الفريق على أمن الخوادم (Server Security).
1. يجب أن تكون صلاحية الوصول إلى الخادم محدودة قدر الإمكان
في أي شركة، بغض النظر عن حجمها، يجب تقييد الوصول إلى الخوادم. أي أن فقط الموظفين الذين يحتاجون فعليًا إلى هذا الوصول يجب أن يمتلكوه. وإذا احتاج شخص خارج هذه القائمة إلى الوصول لأي سبب، فيجب اتباع سلسلة اعتماد رسمية تمر عبر قسم تقنية المعلومات. هذا يضمن بقاء الوصول محصورًا ضمن مجموعة موثوقة ومحدودة.
ومن النصائح المهمة أيضًا السماح فقط لعناوين IP الموثوقة بالاتصال. وإذا لم يكن ذلك ممكنًا، فيجب استخدام مفاتيح خاصة بدلًا من الاعتماد على كلمات المرور وحدها.
2. تحديث جميع تطبيقات الخادم باستمرار
يجب تحديث جميع تطبيقات الخادم فور توفر الإصدارات الجديدة. فكلما كانت التطبيقات أقدم، زادت احتمالية تعرض الشركة لثغرات أمنية.
3. استخدام برنامج Fail2Ban
يُعد Fail2Ban برنامجًا يقوم بتحديث قواعد الجدار الناري (Firewall) لحظر عناوين IP لفترة زمنية محددة. وبشكل أبسط، هو إطار عمل لمنع التسلل يحمي الخوادم من هجمات التخمين القسري لكلمات المرور (Brute-force attacks)، مما يوفر حماية إضافية ضد المخترقين.
4. إغلاق جميع منافذ الخادم باستثناء منافذ الويب
يجب إغلاق جميع المنافذ على الخادم باستثناء منافذ خادم الويب (ما لم يُذكر خلاف ذلك) أمام الوصول الخارجي. هذا الإجراء يقلل من نقاط الدخول المحتملة إلى الخادم منذ البداية.
5. اتخاذ تدابير حماية لخوادم البريد الإلكتروني
إذا كان لديك خادم بريد إلكتروني يعمل على نفس الخادم الرئيسي، فيجب استخدام Fail2Ban أيضًا لمراقبة منافذ البريد، لمنع محاولات تخمين كلمات المرور.
6. إدارة نظام أسماء النطاقات (DNS)
برمجيات إدارة DNS تتحكم في مجموعات خوادم نظام أسماء النطاقات. عادة ما يتم توزيع بيانات DNS على عدة خوادم فعلية. في هذا السياق، نوصي باستخدام Cloudflare، لما يوفره من حماية ضد هجمات حجب الخدمة (DDoS)، بالإضافة إلى التخزين المؤقت عالي الجودة، وشهادة SSL مجانية عند الحاجة.
7. الحذر عند رفع الملفات
إذا كان نظامك يسمح برفع الملفات إلى الخادم، فيجب أن تكون هذه العملية مقيدة قدر الإمكان. على فريق تقنية المعلومات التحقق من أنواع الملفات المسموح بها (مثل السماح بالصور فقط ومنع ملفات مثل .exe أو .bat). لأن رفع الملفات قد يكون بابًا خطيرًا للهجمات إذا لم يتم التحكم به بشكل صارم.
8. التحقق من البيانات الواردة
يمكن أن تكون البيانات الواردة من المستخدمين ضارة أيضًا. لذلك يجب فحصها ضد هجمات مثل SQL Injection وXSS وCSRF، لضمان حماية النظام من الثغرات الشائعة.
9. يجب استخدام رمز التحقق (Captcha) في جميع نماذج المصادقة
إذا كانت منتجاتك تحتوي على نماذج تسجيل دخول أو مصادقة، فيجب إضافة Captcha أو الأفضل من ذلك Captcha غير مرئي، لحماية النظام من الروبوتات ومحاولات الدخول الآلي.
10. كلمات المرور، كلمات المرور، كلمات المرور
بطبيعة الحال، يجب استخدام كلمات مرور في كل مكان، سواء للمستخدمين أو خاصة للمشرفين، لمنع محاولات التخمين الآلي. وكما يُفضل استخدام المفاتيح الخاصة (Private Keys) بدلًا من كلمات المرور كلما كان ذلك ممكنًا.
الخلاصة
كما توجد العديد من المخاطر في عالم الإنترنت، توجد أيضًا العديد من الطرق لحماية نفسك وأنظمتك. وإذا لم تكن متأكدًا من الحلول الأنسب لحالتك، يمكنك التواصل مع فريق STDev وسنكون سعداء بتقديم استشارة لمساعدتك في اختيار أفضل الحلول.
نتمنى لكم يوم إنترنت أكثر أمانًا!