B2B Satış Ortağı Pazarlama Web Siteleri için Güvenlik İpuçları
Yayınlanan: 2021-07-10Bir bağlı kuruluş işletmesi yürütüyor ve web sitenizi güvence altına almak için gerekli tüm adımları atıp atmadığınızı mı merak ediyorsunuz? Bu 12 ipucu, geride hiçbir şey bırakmamanızı sağlayacak.
Pek çok çevrimiçi girişimci ve bağlı web sitesi sahibi, tasarım çılgınlığına, ürün hazırlıklarına, ödeme ağ geçitlerine ve pazarlama stratejilerine kendini fazla kaptırıyor. Güvenlik, herhangi bir bağlı kuruluşun çekirdeği ve temeli olsa bile, koşuşturma içinde genellikle göz ardı edilir.
İçindekiler
- Bağlı Kuruluş Web Siteleri için Web Güvenliği Neden Gereklidir?
- Güvenli Kullanıcı Girişleri ve Şifreli Bağlantılar
- SSL Sertifikaları
- Güvenli bir Web Sunucusu Seçin
- PCI Uyumluluğu
- Web Sunucusu Güvenlik Duvarından (WAF) yararlanın
- DDoS Savunması
- Sıkı Bir Parola Politikası Tutun
- Çok Faktörlü Kimlik Doğrulama
- Sık yedeklemeler
- Sunucularınızı Koruyun
- Güvenlik Yamaları
- Çözüm
Gerçekte, CSBC'ye (ABD'deki Kongre Küçük İşletme Komitesi) göre – çevrimiçi güvenlik ihlallerinin %71'i 100'den az çalışanı olan şirketlere yöneliktir.
Yani, bilgisayar korsanlarının yalnızca büyük oyuncuları hedef aldığını düşünüyorsanız yanılıyorsunuz. Sen, evet - sen, yarın onların hedefi olabilirsin.
Web sitenizin korunmasına dikkat etmediğinizde tüm şirketinizi riske atmış olursunuz. Bu, herhangi bir kilit veya güvenlik kamerası takmadan fiziksel bir mağaza açmaya eşdeğerdir.
Çok sayıda çevrimiçi mağaza, hızlı ve basit ön kapı kilidini tercih eder ve başka yere bakmanıza gerek kalmaz. Ve uzun bir süre, güvenliklerini güncellemediler veya yükseltmediler bile. Peki ya dükkanınız tehlikeye girerse veya bir işlem ters giderse? Gerçekten de, bunlar dikkatli olmanız ve kesinlikle planlamanız gereken şeylerdir.
Bağlı Kuruluş Web Siteleri için Web Güvenliği Neden Gereklidir?
Her 39 saniyede bir internette bir yerde bir siber saldırı olması bekleniyor.
Bu oldukça sık!
Ayrıca, iş liderlerinin yaklaşık %68'i siber güvenlik tehditlerinin arttığı konusunda hemfikir. Kötü amaçlı yazılım çevrimiçi bir web sitesine bulaştığında, kolayca veri toplayabilir ve hatta web sitesinin tüm bilgi işlem kaynaklarını ele geçirebilir.
Başka bir deyişle, saldırganlar hem mevcut hem de yeni site kullanıcılarından gizli veriler toplayabilir. Verilerini çalmanın yanı sıra, otomatik bilgisayar korsanlığı araçları son kullanıcı bilgisayarlarına bulaşabilir. Her gün binlerce yeni kötü amaçlı yazılım üretildiğinden, web sitenizi ve müşterilerinizi her zaman güvende tutmak için oyununuzun zirvesinde kalmanız gerekir.
Web saldırılarının da önemli bir finansal etkisi vardır. Site temizliği yapmak, çevrimiçi varlıkları güvende tutmaktan çok daha maliyetlidir.
Şirketler, büyük miktarda kullanıcı bilgisi risk altında olduğu için siber saldırılar sonucunda büyük miktarlarda para kaybetmeye devam ediyor.
Gerçekte, veri ihlali maliyetlerinin artık bir şirketin ortalama gelirinin %20'sini aştığı tahmin ediliyor. Ayrıca siber suçların 2021'de küresel ekonomiye 6 trilyon dolara mal olacağı tahmin ediliyor. Siber saldırıların neden olduğu finansal ve teknolojik zararı sınırlamayı başarsanız bile müşteri tabanınız zarar görebilir.
Bir veri ihlalini tamamen tersine çevirmek ortalama 314 gün sürer. Bu sürenin büyük bir bölümünde web siteniz kullanılamayacak ve bunun sonucunda müşteri sadakatiniz ve itibarınız zarar görecektir. Bazı şirketler, bu süreç sonucunda müşteri tabanının %20'sine kadarını kaybeder.
Ayrıca okuyun : Satışları artırmak için en iyi bağlı kuruluş pazarlama tüyoları.
Tüm bu hayati faktörler söz konusu olduğunda, yakın ilgi göstermek ve bağlı kuruluşunuzu veya işletme web sitenizi korumak çok önemlidir.
İşletmenizin sorunsuz çalışmasını sağlamak için önerdiğimiz bu web koruma kontrol listesini göz önünde bulundurun.
Koruma kontrol listenize eklemeniz gereken temel öğeler şunlardır:
Güvenli Kullanıcı Girişleri ve Şifreli Bağlantılar
Güvenli bağlantılar, özellikle kayıt veya işlem içeren web siteleri için önemlidir.
Bir SSL sertifikası kullanmak (birazdan tartışacağız) başlamak için iyi bir yerdir. Güvenli Köprü Metni Aktarım Protokolü (HTTPS) uygulayarak sitenizin güvenliğini artırabilirsiniz.
Kimlik doğrulaması gereken sayfaların korunması da en önemli öncelik olmalıdır. Kullanıcıların korumalı kimlik bilgileriyle kaydolmasına olanak tanıyan güçlü bir parola standardı ekleyin.
Web sitenizde şifreleri saklarken iyi şifreleme kullanmak da önemlidir. Bir veri ihlali durumunda, 'bcrpyt' gibi teknolojiler şifrelerin kurtarılmasını zorlaştırır.
Ayrıca, sitenizde otomatik kayda izin veriliyorsa, yalnızca özel, öngörülemeyen kullanıcı adları kullanın. Diğer önemli faktörler arasında OAuth uygulaması ve parola sıfırlama belirteçleri bulunur.
Tüm bunlar, web sitenizin “genel” bir güvenlik katmanına katkıda bulunur. Şimdi biraz daha ayrıntılara girelim.
SSL Sertifikaları
Müşterilerinizin sunucunuz üzerinden satın alacağını varsayıyorsunuz. Bunu sağlamak için, herhangi bir e-ticaret veya bağlı kuruluş sitesinde Güvenli Yuva Katmanı (SSL) doğrulaması olmalıdır.
Bu SSL sertifikası, sunucunuz ile web kullanıcısı arasındaki bağlantının güvenli ve şifreli olmasını sağlar. Sonuç olarak, kimsenin kredi kartı numaraları ve oturum açma kimlik bilgileri gibi kişisel bilgilerini ifşa etmeyeceksiniz. Örneğin 3dcart, size ücretsiz olarak bir "SSL paylaşımı" sağlar, ancak kendi SSL'nizi sağlamak müşterileriniz için daha iyi bir müşteri hizmeti deneyimi sunar.
SSL sertifikaları genellikle web sunucuları tarafından sunulan temel hizmetlerden biri olarak kullanılır.
SSL sertifikaları ücretsiz olarak alınabilir ve ihtiyaçlarınıza göre XXX$'a kadar çıkabilir.
Güvenli bir Web Sunucusu Seçin
Web barındırıcınız, bağlı kuruluş web sitelerinizin güvenliği için ilk koruma hattıdır. Barındırma sağlayıcısı sağlam sunucular ve düzgün yönetilen kümeler kullanmıyorsa, istikrarlı bir iş elde etmek neredeyse imkansızdır.
Bir web barındırıcısı seçerken, seçimlerinizi sunucularını ne kadar iyi idare ettiklerine ve web sitenizi güvence altına almak için hangi kaynaklara sahip olduklarına göre karşılaştırın. Tam sigorta sağlamak neredeyse imkansız olsa da, güvenilir bir sağlayıcı tipik olarak aşağıdakileri sunar:
- İşletim sisteminizin (OS) ve uygulamalarınızın kararlılığını sağlayın.
- Güvenilir işlevselliği yedekleyin ve geri yükleyin
- Endüstri standardı çalışma süresine sahip Kararlı Yuva Katmanı (SSL) protokolü
- Kötü amaçlı yazılım algılama ve kaldırma
- Dağıtılmış Hizmet Reddi (DDoS) saldırılarının azaltılması
- Güvenlik duvarının uygulanması
- Kötü amaçlı yazılım arama yeteneği.
E-ticaret sitesi sahiplerinin, web barındırıcısının Ödeme Kartı Endüstrisi (PCI) güvenlik gereksinimine uygunluğunu kabul etmesi esastır. Bu, her türlü kart ödemesi için müşterilerin ayrıntılarını korur. Barındırıcınız bunu açıkça desteklemiyorsa, diğer PCI uyumlu alışveriş sepeti API sağlayıcılarıyla uyumlu olmalıdır.
PCI Uyumluluğu
Tüm çevrimiçi perakendeciler, Kredi Kartı Sektörü (PCI) yönergelerini ve düzenlemelerini benimsemelidir. Bağlı kuruluş web siteleri, yalnızca ziyaretçiyi "yönlendirdikleri" ve satın alma doğrudan web sitelerinde gerçekleşmediği için gri bir bölgedir.
Bağlı "ağ geçidi" web siteleri dışında, her tüccar, kredi ve banka kartı ödeme işlemlerini kabul eden her tür tüccar için geliştirilmiş olan PCI DSS veya Veri Güvenliği Standardına uymalıdır.
Müşterilerinizin ödeme bilgileri gibi gizli verileri kullanacağınız için, kart sahipleri için maksimum koruma sağlamak ve aynı zamanda müşterilerinizin güvenini kazanmak için PCI uygulaması esastır.
Web Sunucusu Güvenlik Duvarından (WAF) yararlanın
WAF, sizi ve işletmenizi çok fazla zaman ve zahmetten kurtarabilecek kullanışlı bir araçtır. Özellikle otomatik botlar tarafından gerçekleştirilen saldırıları tespit etmek ve önlemek için son derece kullanışlıdır.
Güvenlik duvarının birincil işlevi, güvenlik tehditlerine karşı HTTPS trafiğinden çok daha savunmasız olan Köprü Metni Aktarım Protokolü (HTTP) trafiğini izlemektir.
Güvenlik duvarı, SQL enjeksiyonlarını, Siteler Arası Komut Dosyası Çalıştırmayı (XSS), siteler arası sahteciliği ve diğer tipik saldırıları etkili bir şekilde azaltır.
Bir WAF dağıttığınızda, web'iniz ile internet arasında bir engel oluşturur. Sunucuya ulaşmadan önce, herhangi bir web istemcisi sunucudan geçmelidir. Önceden tanımlanmış kurallar koleksiyonu, kötü niyetli trafiği filtreler ve web sitelerini güvenlik açıklarına karşı korur.
Bu, Scaleo'nun Dolandırıcılıkla Mücadele Mantığının dayandığı ilkelerden biridir. On yıllık veri toplama sayesinde Scaleo, kötü niyetli veya düşük kaliteli trafiği gerçek zamanlı olarak algılayabilir. Bağlı kuruluş web siteleri için bu sağlam algoritma hakkında daha fazla bilgiyi buradan okuyun.
Güvenlik duvarı oluşturmaya gelince, odaklanılması gereken üç alan vardır.
Harici Güvenlik Duvarı: Tipik olarak, bu güvenlik duvarı biçimi bir yönlendirici veya sunucunun parçası olarak bulunur. Şirketinizin ağının dışında yer alır ve her türlü hacker girişiminin cihazınıza erişmesini engeller. Bir tane olup olmadığından emin değilseniz, web barındırıcınıza başvurun ve onlara sorun.
Dahili Güvenlik Duvarı: Bu tür bir güvenlik duvarı, ağınız üzerine kurulmuş bir yazılımdır. Virüsleri, kötü amaçlı yazılımları ve diğer siber saldırıları kontrol etmesi bakımından harici güvenlik duvarına benzer bir amaca hizmet etse de, ağı, virüslerin veya bilgisayar korsanlarının tüm cihaza bulaşmadan önce karantinaya alacağı şekilde bölümlere ayıracak şekilde de tasarlanabilir.
Unutulmaması gereken üçüncü nokta ise evden çalışan ve şirket ağına bağlanan çalışanlardır . Cihazınızın genel koruması, yalnızca en zayıf halkası kadar güçlüdür. Bu gibi durumlarda, güvenlik duvarı güvenliği için ödeme yapmak gönül rahatlığına değer.
Güvenlik duvarları, web sitenizin/ağınızın barındırma yapılandırmasına ayrılmaz bir şekilde bağlıdır. Ayda fazladan birkaç dolar karşılığında, karmaşık güvenlik yapılandırmaları üzerinde size daha fazla güç sağlayan özel bir sunucu veya sanal özel sunucu gibi daha güvenli bir şey için paylaşılan barındırmadan vazgeçmeyi düşünebilirsiniz.
DDoS Savunması
DDoS, e-ticaret sitenizin yakınında görmek istemediğiniz Dağıtılmış Hizmet Reddi'nin kısaltmasıdır. Basitçe söylemek gerekirse, web kullanıcılarının işlevlerinize erişmesini veya işlevlerini kullanmasını engelleyen altyapınıza yönelik bir saldırıyı ifade eder. Onları herhangi bir hizmetten mahrum eder.
Sonuç olarak, mağazanızın DDoS'a karşı yeterince korunduğundan emin olmalısınız.
Web sitenizi DDoS saldırılarına karşı nasıl koruyacağınızdan emin değilseniz, barındırma sağlayıcınıza danışın.
Sıkı Bir Parola Politikası Tutun
Bu yazının başında bahsettiğim, küçük bir işletmenin neden siber güvenlik sorunu yaşayabileceğini anlamanıza yardımcı olacak birkaç istatistik.
- 2016 Verizon anketine göre, veri ihlallerinin %63'ünden kötü, eksik veya çalınmış parolalar sorumludur. Bu bir problem.
- Bir Ponemon Enstitüsü araştırmasına göre, parola politikasına sahip işletmelerin %65'i bu sorunu çözmüyor. Bu çok daha büyük bir sorun.
Nereden başlayacağız?
Evet, işçilerden “12345”ten daha karmaşık şifreler oluşturmalarını ve bunları düzenli olarak değiştirmelerini isterseniz çığlık atacaktır. Ancak, bozuk bir kayıt gibi görünme riski altındayken, daha çok hafif işçi sıkıntısı veya düşmanca ağ ele geçirme ile mi ilgileniyorsunuz?
Bu, sahip olmanız gerektiği anlamına gelir:
- Parolalarınızı her 60 ila 90 günde bir güncelleyin.
- Parolalar en az 8 karakter uzunluğunda olmalıdır, ancak daha uzun olması tercih edilir.
- Büyük ve küçük harfler, sayılar ve özel karakterler içermelidir.
Daha önceki rakama dönecek olursak, iyi bir şifre politikası geliştirme zahmetine girerseniz, bunu takip etmeyen %65'lik kesimden biri olmayın. Bu çok saçma.
Parola Yöneticileri: Bu bölüme parola yöneticilerini dahil etmeseydik dikkatsiz olurduk. Yüklü yazılım, bulut hizmeti ve hatta fiziksel bir bilgisayar olarak sunulan bu uygulamalar, karmaşık şifreler oluşturmanıza ve almanıza yardımcı olur. Adından da anlaşılacağı gibi yapar: parolalarınızı yönetir ve görünüşe göre çoğumuz bu alandaki yardımdan yararlanabilir.
Çok Faktörlü Kimlik Doğrulama
Çok faktörlü kimlik doğrulama (MFA), son yıllarda ağlarının güvenliğinden endişe duyanların radarında parlak bir nokta olarak ortaya çıktı. Evet, biraz zahmetli, ancak oturum açma işlemini korumanın neredeyse hatasız bir yöntemidir. Kesin yöntemde çeşitli varyasyonlar vardır, ancak bir şirketin oturum açmasının nasıl görünebileceği aşağıda açıklanmıştır:
- Kullanıcı geleneksel olarak parolayı sistemin komut istemine yazarak girer.
- İkinci bir tek kullanımlık şifre oluşturulur ve kullanıcının cep telefonuna gönderilir.
- Kullanıcı, kodu bilgisayarından girdiği son oturum açma ekranına yönlendirilir.
- Ağa bağlantı verilir.
MFA'yı dahil etmenin bir başka basit yolu, çalışanın cep telefonu numarasını ikinci şifre olarak kullanmaktır. Varsayım, bir bilgisayar korsanının hem ilk kullanıcı adına hem de cep telefonu numarasına erişme olasılığının çok düşük olacağıdır. Bu ek güvenlik katmanının çoğu sistemde sağlanması nispeten kolaydır ve parola güvenliğini önemli ölçüde artırır.
Bu alandaki temel çalışmaların çoğu, 85.000 kullanıcısından tek bir tanesinin bile Gmail hesabını ele geçirmediği bir yıllık dönemi sona erdiren Google tarafından yapıldı. Bunu, bir USB bağlantı noktasına takılan fiziksel bir güvenlik anahtarı olan Titan'ı kullanarak başardılar. Bu, bir bilgisayar korsanının bir kullanıcı adı ve şifre ile bile, anahtara fiziksel erişimi olmadıkça hesaba daha fazla erişemeyeceği anlamına gelir.
Sık yedeklemeler
Şu ana kadar önerilerimizin her birine uymayı kabul ettiğinizi varsayalım. Artık şirketinizin ağının güvende olduğunu bilerek rahatlayarak nefes verebilirsiniz.
Neden oturmuyorsunuz ve ayaklarınızı uzatıp üst düzey güvenlik önlemlerinizin tadını çıkarmıyorsunuz?
Henüz değil.
Sizin ve tüm personelinizin en iyi çabalarına rağmen, bir bilgisayar korsanının gizlice girip rahatsızlığa neden olma riski her zaman vardır. Daha önce de söylendiği gibi, bu kişiler suç işlemeye kararlı akıllı bir gruptur. İçerideyken, sunucunuzu temizlemek için tam teşekküllü bir bot saldırısı başlatmak için kaynaklarınızı kullanmak için şifre tuş vuruşlarını kaydetmekten her şeyi yapabilirler.
Bu noktada, bilgisayar korsanı olaya dahil olmadan önceki bir zamana cihazı geri yüklemeyi dilersiniz. Yangınlar ve seller meydana geldiğinden beri, tüm aile fotoğraflarınızı sürekli olarak buluta yedekliyor ve hatta harici bir fiziksel sürücüde başka bir kopyasını saklıyorsunuz, değil mi?
Aynı şeyi işiniz için de düşünün.
Belgelerinizi, elektronik tablolarınızı, veritabanlarınızı, mali tablolarınızı, İK raporlarınızı ve henüz yapmadıysanız alacak/borç hesaplarınızı yedekleyin. E-posta listenizden bahsetmiyorum bile!
Bulut depolama hizmetleri her geçen gün daha erişilebilir hale geldiğinden, bir ağ ihlali durumunda cihazınızı kolayca çalışma durumuna geri yüklemenize olanak tanıyan sağlam bir yedekleme planı eklememek için hiçbir neden yoktur (yeniden oluşturmaktan hoşlanmadığınız sürece). bellekten kullandığınız dosya).
Sunucularınızı Koruyun
Web sitesi veritabanı, bilgisayar korsanlarının kolayca manipüle edebileceği başka bir güvenlik açığıdır. Tipik olarak, web uygulamanızın sunucusunda büyük miktarda bilgi (şirketiniz ve müşterileriniz hakkında) depolamanız gerekir. Ancak, yalnızca gerçekten ihtiyacınız olan bilgileri kaydettiğinizden emin olun.
Kredi kartı numaraları, e-posta adresleri ve diğer tanımlayıcı bilgiler gibi kişisel verileri dikkatli kullanın. Yanlış yönetilirse pahalı olabilir. Genel bir kural olarak, kullanıcıları tanımlayan tüm verileri şifrelemeye çalışın.
Amazon'un AWS Aurora'sı gibi kolay şifreleme, dikkate alınması gereken düşük maliyetli bir alternatiftir. Bu, diskteki dosyaları etkili bir şekilde korur. Benzer şekilde, müşteri verilerini depolamak için kullandığınız tüm kaynakların bir listesini derlemek isteyebilirsiniz. Veritabanları, belge yönetim sistemleri, GitHub, Dropbox ve diğer kaynaklar dahil edilebilir.
Siz veya şirketiniz Genel Veri Koruma Yönetmeliği'ne (GDPR) tabiyse, gereksinimlerini tam olarak anlamak ve bunlara uymak için zaman ve para ayırmalısınız. Unutmayın, 2019'da Google bunun sonucunda 57 milyon dolar kaybetti.
Güvenlik Yamaları
Son olarak, güvenlik yamalarını unutmayın. Kullandığınız yazılım veya işletim sistemi için güvenlik yamalarını indirmeden çevrimiçi işinizi kurmayı asla düşünmemeniz bile önemlidir. Saldırılara karşı çok savunmasız olabilecek WordPress, Joomla ve diğer web uygulamalarını sık sık güncellemeye özellikle dikkat etmelisiniz. Bu CMS, bilgisayar korsanlarının favori listesindedir, bu nedenle blogunuzun eski eklentiler, temalar veya WP sürümü ile çalışmasına asla izin vermeyin.
Çözüm
Güvenlik önlemlerini, güvenli bir butikte parmaklıklar veya metal bir kapı, sürgüler ve kapılar, alarm sistemleri, güvenlik kameraları ve şifreli kasalar üzerinde diğer kilitler gibi katmanlara ayırın.
Tek bir savunma biçimi yetersizdir. Güvenlik duvarlarıyla başlayabilir ve ardından güvenli iletişim formlarına, korumalı parolalara vb. geçebilirsiniz. Bu şekilde, siber suçluların sisteminize girmesini ve dijital mağazanıza ve şirketinize zarar vermesini engellemiş olursunuz.
Genel bir kural olarak – daha fazla güvenlik katmanı, daha iyi.
Her işletmenin tüm çevrimiçi platformlarda kârlı olması için birinci sınıf güvenlik, karşılanması gereken önemli bir faktördür.
Bağlı kuruluş web sitenizi veya bağlı kuruluş ağınızı güvence altına almak için aklınızda bulundurmak isteyeceğiniz temel noktalara bir kez daha bakalım:
- Güvenli bir web barındırma seçin
- Alan adınıza SSL sertifikası ekleyin
- Maksimum güvenlik için Scaleo'nun Dolandırıcılıkla Mücadele Mantığını kullanın
- Kötü amaçlı yazılımdan koruma, güvenlik duvarı ve sunucu tarafı güvenlik önlemleri uygulayın
- Bakım: Veritabanınızı sık sık yedeklemeyi ve parolaları sık sık değiştirmeyi unutmayın
- Ödemelerinizin PCI uyumlu olduğundan emin olun
- Mümkün olduğunda çok faktörlü kimlik doğrulama ekleyin
Bu temel güvenlik unsurları, her işletme web sitesi, bağlı kuruluş veya e-ticaret için gereklidir. Ancak, korumanız burada bitmiyor. Evet, özellikle orta ölçekli veya büyük bir çevrimiçi şirketiniz varsa ek araştırma yapmalısınız. Sisteminizin veya müşterilerinizin güvenliğini asla tehlikeye atmayın.