Raha jerena ivelany dia "mpiasa ara-teknika" fotsiny ireo injenieran'ny tambajotra izay manorina, manatsara ary mamaha olana amin'ny tambajotra, saingy raha ny marina dia isika no "fiarovana voalohany" amin'ny fiarovana amin'ny aterineto. Nasehon'ny tatitra CrowdStrike tamin'ny taona 2024 fa nitombo 30% ny fanafihana an-tserasera manerantany, ary nihoatra ny 50 miliara yuan ny fatiantoka ho an'ny orinasa sinoa noho ny olana momba ny fiarovana amin'ny aterineto. Tsy miraharaha ny mpanjifa na manam-pahaizana manokana momba ny asa ianao na ny fiarovana; rehefa misy tranga mitranga amin'ny tambajotra, dia ny injeniera no voalohany tompon'andraikitra. Tsy lazaina intsony ny fampiasana miely patrana ny AI, 5G, ary tambajotra rahona, izay nahatonga ny fomba fanafihan'ny mpijirika ho lasa sarotra kokoa. Misy lahatsoratra malaza ao amin'ny Zhihu any Shina: "Ireo injenieran'ny tambajotra izay tsy mianatra momba ny fiarovana dia manapaka ny lalany handosirana!" Na dia henjana aza io fanambarana io, dia marina izany.
Ato amin'ity lahatsoratra ity, dia hanome famakafakana amin'ny antsipiriany momba ny fanafihana tambajotra valo mahazatra aho, manomboka amin'ny foto-kevitra sy ny fanadihadiana tranga ka hatramin'ny paikady fiarovana, mba hitazonana izany ho azo ampiharina araka izay azo atao. Na vao manomboka ianao na efa za-draharaha mitady hampivelatra ny fahaizanao, ity fahalalana ity dia hanome anao fifehezana bebe kokoa amin'ny tetikasanao. Andao hanomboka!
Fanafihana DDoS laharana voalohany
Ny fanafihana Distributed Denial-of-Service (DDoS) dia mandrava ireo mpizara na tambajotra kendrena amin'ny fifamoivoizana sandoka be dia be, ka mahatonga azy ireo tsy ho azon'ireo mpampiasa ara-dalàna idirana. Ny teknika mahazatra dia ahitana ny SYN flooding sy ny UDP flooding. Tamin'ny taona 2024, ny tatitra iray avy amin'ny Cloudflare dia naneho fa ny fanafihana DDoS dia nitentina 40% amin'ny fanafihana tambajotra rehetra.
Tamin'ny taona 2022, nisy sehatra varotra an-tserasera iray niharan'ny fanafihana DDoS talohan'ny Andron'ny Mpitokana, izay nahatratra 1Tbps ny fifamoivoizana be indrindra, ka nahatonga ny tranonkala hianjera nandritra ny adiny roa ary niafara tamin'ny fatiantoka an-tapitrisany yuan. Nisy namako iray niandraikitra ny vonjy taitra ary saika adala noho ny tsindry.
Ahoana no fomba hisorohana izany?
○Fanadiovana mikoriana:Mametraha serivisy fiarovana CDN na DDoS (mety mila Mylinking™ Inline Bypass Tap/Switch ianao) mba hanivanana ny fifamoivoizana manimba.
○Famerenana ny bandwidth:Tehirizo 20%-30% amin'ny bandwidth mba hiatrehana ny fiakaran'ny fifamoivoizana tampoka.
○Fanairana fanaraha-maso:Mampiasà fitaovana (mety mila Mylinking™ Network Packet Broker ianao) mba hanaraha-maso ny fifamoivoizana amin'ny fotoana tena izy sy hampitandrina raha misy tsy fetezana.
○Drafitra vonjy taitraMiaraha miasa amin'ny ISP mba hanovana haingana ny andalana na hanakanana ny loharanon'ny fanafihana.
Tsindrona SQL laharana faha-2
Mampiditra kaody SQL manimba ao amin'ny saha fampidirana tranonkala na URL ireo mpijirika mba hangalarana ny mombamomba ny angon-drakitra na hanimba ny rafitra. Tamin'ny taona 2023, nilaza ny tatitry ny OWASP fa ny SQL injection dia mbola iray amin'ireo fanafihana tranonkala telo lehibe indrindra.
Nisy mpijirika niditra an-keriny tao amin'ny tranonkalan'ny orinasa madinika sy salantsalany iray izay nampiditra ny fanambarana "1=1", ka nahazo mora foana ny tenimiafin'ny mpitantana, satria tsy nahavita nanivana ny fidiran'ny mpampiasa ny tranonkala. Hita taty aoriana fa tsy nampihatra fanamarinana fidirana mihitsy ny ekipa mpamorona.
Ahoana no fomba hisorohana izany?
○Fanontaniana voasokajy:Tokony hampiasa fanambarana voaomana ireo mpamorona backend mba hisorohana ny fampivondronana mivantana ny SQL.
○Departemantan'ny WAF:Afaka manakana ireo fangatahana ratsy ny rindranasa tranonkala (toy ny ModSecurity).
○Fanaraha-maso tsy tapaka:Mampiasà fitaovana (toy ny SQLMap) hijerena ireo lesoka sy hanaovana backup ny tahiry angona alohan'ny hanaovana patch.
○Fanaraha-maso ny fidirana:Tokony homena ireo tombontsoa faran'izay kely indrindra ihany ireo mpampiasa angon-drakitra mba hisorohana ny fahaverezan'ny fifehezana tanteraka.
Fanafihana XSS (Cross-site Scripting) laharana faha-3
Mangalatra cookies, session ID, ary script ratsy hafa amin'ny alàlan'ny fampidirana azy ireo ao amin'ny pejy web ny fanafihana cross-site scripting (XSS). Voasokajy ho fanafihana mifototra amin'ny taratra, voatahiry, ary DOM izy ireo. Tamin'ny taona 2024, ny XSS dia nitentina 25% tamin'ny fanafihana web rehetra.
Tsy nahavita nanivana ny fanehoan-kevitry ny mpampiasa ny sehatra fifanakalozan-kevitra iray, ka namela ireo mpijirika hampiditra kaody script sy hangalatra ny mombamomba ny fidirana amin'ny mpampiasa an'arivony. Nahita tranga aho izay nangalatra ny mpanjifany tamin'ny CNY500,000 yuan noho izany.
Ahoana no fomba hisorohana izany?
○Sivana fidirana: Mandositra ny fidiran'ny mpampiasa (toy ny kaody HTML).
○Tetikadin'ny CSP:Alefaso ny politika fiarovana ny votoaty mba hamerana ny loharanon'ny script.
○Fiarovana amin'ny navigateur:Apetraho hanakana ireo script manimba ny lohatenin'ny HTTP (toy ny X-XSS-Protection).
○Fijerena fitaovana:Ampiasao ny Burp Suite mba hijerena tsy tapaka ny lesoka amin'ny XSS.
Famakiana tenimiafina laharana faha-4
Mahazo ny tenimiafin'ny mpampiasa na ny mpitantana amin'ny alalan'ny fanafihana brute-force, fanafihana dictionary, na social engineering ireo mpijirika. Ny tatitra nataon'ny Verizon tamin'ny taona 2023 dia nanambara fa 80%-n'ny fidirana an-tsokosoko amin'ny aterineto dia mifandraika amin'ny tenimiafina malemy.
Mora tamin'ny mpijirika iray ny nidiran'ny "router"-n'ny orinasa iray, izay nampiasa ny tenimiafina mahazatra hoe "admin", ka nametraka "backdoor" izy. Voaroaka tamin'ny asany ilay injeniera voakasik'izany, ary nampamoahana ny mpitantana ihany koa.
Ahoana no fomba hisorohana izany?
○Tenimiafina sarotra:Terena hampiasa tarehintsoratra 12 na mihoatra, miaraka amin'ny litera sy isa mifangaro.
○Fanamarinana singa maro:Alefaso ny MFA (toy ny kaody fanamarinana SMS) amin'ny fitaovana tena ilaina.
○Fitantanana ny tenimiafina:Mampiasà fitaovana (toy ny LastPass) hitantanana amin'ny fomba foibe ary ovay tsy tapaka izany.
○Fetra amin'ny andrana:Voahidy ny adiresy IP rehefa avy nanandrana fidirana tsy nahomby intelo mba hisorohana ny fanafihana brute-force.
Fanafihana Lehilahy eo Afovoany laharana faha-5 (MITM)
Miditra an-tsehatra eo amin'ny mpampiasa sy ny mpizara ny mpijirika, misambotra na manova ny angona. Fahita matetika izany amin'ny Wi-Fi ho an'ny daholobe na fifandraisana tsy voaaro. Tamin'ny taona 2024, ny fanafihana MITM dia nahatratra 20%-n'ny sniffing tambajotra.
Nisy mpijirika nijirika ny Wi-Fi an'ny toeram-pisotroana kafe iray, ka nahatonga ny mpampiasa azy ireo ho very vola an'aliny dolara rehefa voasakana ny angon-drakitra momba azy ireo nandritra ny fidirana tao amin'ny tranokalan'ny banky iray. Hitan'ireo injeniera taty aoriana fa tsy nampiharina ny HTTPS.
Ahoana no fomba hisorohana izany?
○Terena hampiasa HTTPS:Voaaro amin'ny alalan'ny TLS ny tranonkala sy ny API, ary tsy mandeha ny HTTP.
○Fanamarinana ny Taratasy Fanamarinana:Ampiasao ny HPKP na CAA mba hahazoana antoka fa azo itokisana ny taratasy fanamarinana.
○Fiarovana VPN:Tokony hampiasa VPN ireo asa saro-pady mba hanafenana ny fifamoivoizana.
○Fiarovana ARP:Araho maso ny tabilao ARP mba hisorohana ny famitahana ARP.
Fanafihana Phishing laharana faha-6
Mampiasa mailaka, tranonkala, na hafatra an-tsoratra sandoka ireo mpijirika mba hamitahana ireo mpampiasa mba hampiharihary vaovao na hanindriana rohy manimba. Tamin'ny taona 2023, ny fanafihana phishing no nahatonga ny 35%-n'ny tranga momba ny fiarovana an-tserasera.
Nahazo mailaka avy amin'ny olona iray nilaza ho lehibeny ny mpiasan'ny orinasa iray, nangataka famindrana vola, ary very vola an-tapitrisany. Hita taty aoriana fa sandoka ilay adiresy mailaka; tsy nanamarina izany ilay mpiasa.
Ahoana no fomba hisorohana izany?
○Fiofanana ho an'ny mpiasa:Manaova fiofanana tsy tapaka momba ny fahatsiarovan-tena momba ny fiarovana an-tserasera mba hampianarana ny fomba hamantarana ireo mailaka phishing.
○Fanivanana Mailaka:Mametraha vavahady manohitra ny phishing (toy ny Barracuda).
○Fanamarinana sehatra:Jereo ny sehatry ny mpandefa ary alefaso ny politikan'ny DMARC.
○Fanamafisana indroa:Mila fanamarinana amin'ny alalan'ny telefaona na mivantana ireo asa saro-pady.
Ransomware laharana faha-7
Manafina ny angon-drakitry ny niharam-boina ny Ransomware ary mitaky vola ho takalon'ny famakiana azy. Ny tatitra nataon'ny Sophos tamin'ny taona 2024 dia nanambara fa 50%-n'ny orinasa manerantany no niharan'ny fanafihana ransomware.
Voajirika ny tambajotran'ny hopitaly iray noho ny ransomware LockBit, ka nahatonga ny tsy fahafahan'ny rafitra miasa tsara sy ny fijanonan'ny fandidiana. Nandany herinandro ireo injeniera mba hamerenana ny angon-drakitra, ka niharan'ny fatiantoka goavana.
Ahoana no fomba hisorohana izany?
○Fanamboarana tsy tapaka:Fanaovana backup ivelan'ny toerana ho an'ny angon-drakitra manan-danja sy fitsapana ny fizotran'ny famerenana amin'ny laoniny.
○Fitantanana ny Patch:Havaozy haingana ny rafitra sy ny rindrambaiko mba hanesorana ireo lesoka.
○Fanaraha-maso ny fitondran-tena:Ampiasao ireo fitaovana EDR (toy ny CrowdStrike) mba hamantarana ireo fihetsika tsy mahazatra.
○Tambajotra Fitokana-monina:Fizarazarana ireo rafitra saro-pady mba hisorohana ny fiparitahan'ny viriosy.
Fanafihana andro zero laharana faha-8
Manararaotra ireo fahalemena rindrambaiko tsy fantatra ireo fanafihana zero-day, ka mahatonga azy ireo ho tena sarotra sorohina. Tamin'ny taona 2023, nitatitra ny Google fa nahitana fahalemena zero-day 20 mampidi-doza, izay maro amin'izy ireo no nampiasaina tamin'ny fanafihana tamin'ny rojo famatsiana.
Orinasa iray mampiasa rindrambaiko SolarWinds no tratran'ny olana amin'ny zero-day, izay nisy fiantraikany tamin'ny rojo famatsiana manontolo. Tsy afa-nanoatra ireo injeniera ary tsy afaka niandry afa-tsy ny fanamboarana.
Ahoana no fomba hisorohana izany?
○Fitiliana fidirana an-tsokosoko:Ampidiro ny IDS/IPS (toy ny Snort) mba hanaraha-maso ny fifamoivoizana tsy ara-dalàna.
○Famakafakana ny boaty fasika:Mampiasà "sandbox" mba hanavahana ireo rakitra mampiahiahy sy handinihana ny fitondran-tenany.
○Fampahalalana momba ny fandrahonana:Misoratra anarana amin'ny serivisy (toy ny FireEye) mba hahazoana ny fampahalalana farany momba ny fahalemena.
○Tombontsoa kely indrindra:Fehezo ny fahazoan-dàlana amin'ny rindrambaiko mba hampihenana ny fanafihana.
Ry mpiara-miasa amin'ny tambajotra, karazana fanafihana inona avy no efa sendra anareo? Ary ahoana no fomba niatrehanareo izany? Andeha isika hiara-midinika momba izany ary hiara-hiasa mba hampatanjaka kokoa ny tambajotrantsika!
Fotoana fandefasana: 05 Novambra 2025
