{"id":17636,"date":"2020-06-29T08:30:10","date_gmt":"2020-06-29T05:30:10","guid":{"rendered":"https:\/\/www.gpec.ro\/blog\/?p=17636"},"modified":"2020-06-28T23:36:39","modified_gmt":"2020-06-28T20:36:39","slug":"frecventa-auditului-de-securitate","status":"publish","type":"post","link":"https:\/\/www.gpec.ro\/blog\/frecventa-auditului-de-securitate","title":{"rendered":"Frecven\u021ba auditului de securitate"},"content":{"rendered":"<div class=\"fcbkbttn_buttons_block\" id=\"fcbkbttn_left\"><div class=\"fcbkbttn_like \"><div class=\"fb-like fb-like-button_count\" data-href=\"https:\/\/www.gpec.ro\/blog\/frecventa-auditului-de-securitate\" data-colorscheme=\"light\" data-layout=\"button_count\" data-action=\"like\"  data-size=\"small\"><\/div><\/div><\/div><p><img loading=\"lazy\" decoding=\"async\" class=\"aligncenter size-full wp-image-17637\" src=\"https:\/\/www.gpec.ro\/blog\/wp-content\/uploads\/2020\/06\/gpec_blog_Cristian-Iosub5.png\" alt=\"\" width=\"2048\" height=\"1172\" srcset=\"https:\/\/www.gpec.ro\/blog\/wp-content\/uploads\/2020\/06\/gpec_blog_Cristian-Iosub5.png 2048w, https:\/\/www.gpec.ro\/blog\/wp-content\/uploads\/2020\/06\/gpec_blog_Cristian-Iosub5-300x172.png 300w, https:\/\/www.gpec.ro\/blog\/wp-content\/uploads\/2020\/06\/gpec_blog_Cristian-Iosub5-1024x586.png 1024w, https:\/\/www.gpec.ro\/blog\/wp-content\/uploads\/2020\/06\/gpec_blog_Cristian-Iosub5-768x440.png 768w, https:\/\/www.gpec.ro\/blog\/wp-content\/uploads\/2020\/06\/gpec_blog_Cristian-Iosub5-1536x879.png 1536w\" sizes=\"auto, (max-width: 2048px) 100vw, 2048px\" \/><\/p>\n<p><strong>Multe magazine online presupun c\u0103 sistemele lor sunt sigure, dar acest lucru este dificil de \u0219tiut f\u0103r\u0103 a efectua periodic audituri aprofundate ale securit\u0103\u021bii magazinului online.<\/strong><\/p>\n<p>Auditurile de securitate sunt complexe, consum\u0103 timp \u0219i apoi datele trebuie interpretate \u0219i aplicate m\u0103suri de corec\u021bie acolo unde este necesar. Totu\u0219i, f\u0103r\u0103 un audit de securitate nu poate fi stabilit gradul de siguran\u021b\u0103 a datelor unui magazin online.<\/p>\n<p><!--more--><\/p>\n<h2><b>Auditul de rutin\u0103<\/b><\/h2>\n<p><span style=\"font-weight: 400;\">Un audit de rutin\u0103 este o metod\u0103 automat\u0103 pentru a efectua activit\u0103\u021bi de audit \u0219i cu implica\u021bii minimale din partea unui specialist \u00een securitate cibernetic\u0103. Se realizeaz\u0103 cu o frecven\u021b\u0103 ridicat\u0103 \u0219i poate fi un scenariu de testare cu software-uri externe \u00een func\u021bie de tipul de informa\u021bii de\u021binute, complexitatea magazinului online, procesele interne de procesare a comenzilor \u0219i interac\u021biunea cu clien\u021bii.<\/span><\/p>\n<p><span style=\"font-weight: 400;\"><strong>C\u00e2t de des trebuie managerii IT s\u0103 efectueze audituri de rutin\u0103?<\/strong> Decizia cu privire la momentul efectu\u0103rii unui audit de rutin\u0103 este de regul\u0103 decizia managerului IT. Ar putea alege s\u0103 le efectueze lunar, trimestrial sau bi-anual. Cu toate acestea, se recomand\u0103 ca aceste audituri s\u0103 fie efectuate cel pu\u021bin de dou\u0103 ori pe an \u0219i de regul\u0103 au loc:<\/span><\/p>\n<ul>\n<li style=\"font-weight: 400;\"><span style=\"font-weight: 400;\">dup\u0103 o actualizare a platformei de e-commerce sau a unui modul instalat pe site<\/span><\/li>\n<li style=\"font-weight: 400;\"><span style=\"font-weight: 400;\">dup\u0103 dezvoltarea unei componente noi (ex: integrarea unui procesator de pl\u0103\u021bi, dezvoltarea unui sistem de calcul al pre\u021bului transportului etc.)<\/span><\/li>\n<\/ul>\n<p><span style=\"font-weight: 400;\">\u00cen unele firme sunt disponibile \u0219i solu\u021bii un pic mai avansate de auditare automat\u0103 a componentelor software cu ajutorul unor aplica\u021bii precum <\/span><a href=\"https:\/\/www.ripstech.com\/\" target=\"_blank\" rel=\"noopener noreferrer\"><span style=\"font-weight: 400;\">RIPS<\/span><\/a><span style=\"font-weight: 400;\"> sau <\/span><a href=\"https:\/\/www.tenable.com\/products\/nessus\" target=\"_blank\" rel=\"noopener noreferrer\"><span style=\"font-weight: 400;\">NESSUS<\/span><\/a><span style=\"font-weight: 400;\">.<\/span><\/p>\n<p><span style=\"font-weight: 400;\">Sunt companii care evit\u0103 din ra\u021biuni financiare acest tip de audit \u0219i prefer\u0103 s\u0103 testeze magazinul online din punct de vedere al unui vizitator pe site, prin analiza navig\u0103rii \u00een website, astfel \u00eenc\u00e2t s\u0103 nu existe pagini de eroare \u00een procesul de achizi\u021bie, analiza disponibilit\u0103\u021bii platformei de e-commerce precum \u0219i multe alte scenarii de navigare automat\u0103 cu ajutorul bo\u021bilor ce pot fi realizate cu u\u0219urin\u021b\u0103 folosind un software numit <\/span><a href=\"https:\/\/www.pingdom.com\/\" target=\"_blank\" rel=\"noopener noreferrer\"><span style=\"font-weight: 400;\">Pingdom<\/span><\/a><span style=\"font-weight: 400;\">. Pingdom \u00eens\u0103 rezolv\u0103 numai problema disponibilit\u0103\u021bii platformei online, nu \u0219i a calit\u0103\u021bii con\u021binutului (ex: dac\u0103 cumva a fost modificat un pre\u021b).<\/span><\/p>\n<p><span style=\"font-weight: 400;\">Ideal ar fi ca auditurile de rutin\u0103 s\u0103 fie conduse de c\u0103tre o persoan\u0103 specializat\u0103 \u00een securitate cibernetic\u0103, nu de c\u0103tre dezvoltatori web, \u0219i s\u0103 intervin\u0103 dincolo de testele automate \u0219i cu o testare manual\u0103 a punctelor critice din arhitectura magazinului online.<\/span><\/p>\n<h2><b>Auditul complet<\/b><\/h2>\n<p><span style=\"font-weight: 400;\">Un audit complet folose\u0219te tehnologia avansat\u0103 \u0219i are scopul de a analiza fiecare component\u0103 ce face parte din ecosistemul site-ului, plec\u00e2nd de la resursa uman\u0103 \u0219i modul \u00een care sunt gestionate datele confiden\u021biale, p\u00e2n\u0103 la resursele software sau hardware. Acest audit ar trebui realizat <strong>anual<\/strong>, \u00eens\u0103 tendin\u021ba companiilor este de a realiza aceste audituri numai c\u00e2nd a fost detectat un incident de securitate prin care a fost afectat\u0103 integritatea \u0219i disponibilitatea datelor confiden\u021biale. <\/span><\/p>\n<p><span style=\"font-weight: 400;\">\u00cen termeni populari, \u00een loc s\u0103 fie realizat proactiv, acest audit este realizat numai dup\u0103 ce a fost hackuit site-ul, <\/span><span style=\"font-weight: 400;\">&#x1f60a;<\/span><span style=\"font-weight: 400;\"> ceea ce este gre\u0219it. Momentul \u00een care informa\u021biile ob\u021binute de c\u0103tre un magazin online au fost compromise este mult prea t\u00e2rziu pentru mai putea ac\u021biona \u00een scop de prevenire, astfel c\u0103 lipsa investi\u021biei la timp \u00een cybersecurity poate costa enorm odat\u0103 ce atacatorul a avut acces la date confiden\u021biale.<\/span><\/p>\n<p><span style=\"font-weight: 400;\">Acest tip de audit asigur\u0103 partenerii magazinului online \u0219i clien\u021bii acestuia c\u0103 toate datele sunt \u00een siguran\u021b\u0103 \u0219i procesul de achizi\u021bie se va putea desf\u0103\u0219ura \u00een condi\u021bii optime.<\/span><\/p>\n<p><img loading=\"lazy\" decoding=\"async\" class=\"aligncenter wp-image-17638\" src=\"https:\/\/www.gpec.ro\/blog\/wp-content\/uploads\/2020\/06\/Security-On-bro.png\" alt=\"\" width=\"770\" height=\"770\" srcset=\"https:\/\/www.gpec.ro\/blog\/wp-content\/uploads\/2020\/06\/Security-On-bro.png 2000w, https:\/\/www.gpec.ro\/blog\/wp-content\/uploads\/2020\/06\/Security-On-bro-300x300.png 300w, https:\/\/www.gpec.ro\/blog\/wp-content\/uploads\/2020\/06\/Security-On-bro-1024x1024.png 1024w, https:\/\/www.gpec.ro\/blog\/wp-content\/uploads\/2020\/06\/Security-On-bro-150x150.png 150w, https:\/\/www.gpec.ro\/blog\/wp-content\/uploads\/2020\/06\/Security-On-bro-768x768.png 768w, https:\/\/www.gpec.ro\/blog\/wp-content\/uploads\/2020\/06\/Security-On-bro-1536x1536.png 1536w\" sizes=\"auto, (max-width: 770px) 100vw, 770px\" \/><\/p>\n<h2><b>Cine ar trebui s\u0103 realizeze auditul de securitate al unui magazin online?<\/b><\/h2>\n<p><span style=\"font-weight: 400;\">\u00cen func\u021bie de arhitectura software \u0219i nivelul de confiden\u021bialitate al informa\u021biilor, auditul poate fi realizat fie de c\u0103tre o <strong>echip\u0103 de securitate<\/strong> din cadrul departamentului IT al magazinului online, fie de c\u0103tre o<strong> companie specializat\u0103<\/strong>, extern\u0103. Cea mai bun\u0103 op\u021biune este, cel mai probabil, o combina\u021bie \u00eentre cele dou\u0103.<\/span><\/p>\n<h2><b>Ce software este disponibil pentru auditul de securitate al unui magazin online?<\/b><\/h2>\n<p><span style=\"font-weight: 400;\">Exist\u0103 c\u00e2teva zeci de programe populare de auditare, toate aduc\u00e2nd o abunden\u021b\u0103 de informa\u021bii utile pentru a \u00eembun\u0103t\u0103\u021bi securitatea magazinului online. Totu\u0219i, rezultatele sunt greu de interpretat de c\u0103tre o persoan\u0103 non tehnic\u0103, iar aici intervine colaborarea dintre departamentul IT al magazinului online, echipa de dezvoltare web \u0219i echipa de audit.<\/span><\/p>\n<p><span style=\"font-weight: 400;\">Pot fi identificate poten\u021biale vulnerabilit\u0103\u021bi ale unui magazin online folosind tehnologii precum Rips, Fortify HP, Nessus sau chiar Acunetix, toate acestea fiind solu\u021bii suficient de scumpe \u00eenc\u00e2t s\u0103 te conving\u0103 s\u0103 profi\u021bi la maxim de ele.<\/span><\/p>\n<p><span style=\"font-weight: 400;\">Nu exist\u0103 \u00eenc\u0103 o baghet\u0103 magic\u0103 prin care s\u0103 ap\u0103s\u0103m un simplu \u201cscan\u201d \u0219i o aplica\u021bie s\u0103 identifice toate zonele de risc ale unui magazin online. Cum spuneam \u0219i mai sus, este obligatorie \u0219i interven\u021bia uman\u0103 dar nu numai pentru a interpreta rezultatele, ci \u0219i pentru a \u00eencerca s\u0103 identifice manual componente vulnerabile la toat\u0103 suita de atacuri posibile.<\/span><\/p>\n<h2><b>Exemplu de vulnerabilitate ce nu poate fi identificat\u0103 cu ajutorul aplica\u021biilor de testare automat\u0103<\/b><\/h2>\n<p><span style=\"font-weight: 400;\">\u00cen istoria e-commerce-ului au ap\u0103rut foarte multe platforme open source de tip CMS ce permit dezvoltatorilor web s\u0103 creeze un magazin online plec\u00e2nd de la componente predefinite. Aici discut\u0103m de CMS-uri de top precum Prestashop, OpenCart, Magento, Woocommerce p\u00e2n\u0103 la platforme mai pu\u021bin utilizate precum Drupal sau Joomla.\u00a0<\/span><\/p>\n<p><span style=\"font-weight: 400;\">Recent am v\u0103zut un site care permitea accesarea link-urilor de confirmare a comenzii chiar \u0219i dup\u0103 ce clientul ie\u0219ea de pe site iar \u00een pagina respectiv\u0103 erau informa\u021biile de livrare \u0219i produsele achizi\u021bionate. P\u00e2n\u0103 aici nu este nimic suspect \u0219i decizia de business de a afi\u0219a informa\u021biile \u00eenainte s\u0103 ape\u0219i pe butonul de finalizare a comenzii este corect\u0103, aceasta fiind chiar o recomandare de UX. Problema intervenea la modul \u00een care erau construite paginile de co\u0219, acestea av\u00e2nd ID-ul scris \u00een text clar, necriptat, f\u0103r\u0103 un timestamp, un hash ceva \u00een URL, iar atacatorul avea o sarcin\u0103 foarte u\u0219oar\u0103 de a schimba ID-ul din URL \u0219i s\u0103 identifice comenzile altor clien\u021bi unde putea s\u0103 vad\u0103 adresa de livrare, telefon, nume \u0219i prenume. Acest tip de vulnerabilitate nu poate fi identificat\u0103 prin tool-uri de scanare automat\u0103 pentru c\u0103 platforma func\u021biona \u00een modul \u00een care a fost proiectat\u0103, \u0219i func\u021biona corect.<\/span><\/p>\n<p><span style=\"font-weight: 400;\">\u00cen acela\u0219i timp exist\u0103 \u0219i platforme de tip SaaS, precum Shopify, Gomag, Blugento, MerchantPro, unde administratorul magazinului online are drepturi limitate \u00een a face modific\u0103ri astfel \u00eenc\u00e2t componenta major\u0103 de securitate este adresat\u0103 administratorilor platformei. Aici lucrurile sunt mult mai u\u0219oare pentru c\u0103, dac\u0103 exista o vulnerabilitate ce ar putea fi exploatat\u0103 pe o plaj\u0103 foarte mare de magazine online \u0219i este raportat\u0103 administratorilor platformelor, update-urile de securitate ar fi instalare for\u021bat pe toate magazinele online, spre deosebire de CMS-urile open source unde dezvoltatorii web trebuie s\u0103 fac\u0103 update-urile manual (\u00een majoritatea cazurilor).<\/span><\/p>\n<h2><b>Concluzie<\/b><span style=\"font-weight: 400;\">\u00a0<\/span><\/h2>\n<p><span style=\"font-weight: 400;\">Indiferent cine a construit magazinul online, dac\u0103 este sau nu open source, dac\u0103 are o echip\u0103 de dezvoltatori ce se ocup\u0103 de mentenan\u021ba sau dac\u0103 serviciile sunt externalizate, auditurile de securitate care s\u0103 aib\u0103 la baz\u0103 cele mai comune vulnerabilit\u0103\u021bi ar trebui desf\u0103\u0219urate cel pu\u021bin de dou\u0103 ori pe an, iar un audit complet de securitate ar trebui desf\u0103\u0219urat anual.<\/span><\/p>\n<p><span style=\"font-weight: 400;\">Exist\u0103 conferin\u021be anuale precum HackTheZone sau DefCamp ce ofer\u0103 posibilitatea speciali\u0219tilor IT s\u0103 intre \u00een contact cu companii de top din domeniul securit\u0103\u021bii cibernetice, dar \u0219i cu companii la \u00eenceput de drum sau consultan\u021bi independen\u021bi.\u00a0<\/span><\/p>\n<p><span style=\"font-weight: 400;\">Fa\u021b\u0103 de alte servicii ce vizeaz\u0103 pia\u021ba de e-commerce, securitatea cibernetic\u0103 este o ni\u0219\u0103 unde trebuie s\u0103 ai o rela\u021bie de \u00eencredere cu auditorul, s\u0103 \u00eel cuno\u0219ti, s\u0103 aliniezi direc\u021bia de business cu viziunea asupra auditurilor ce urmeaz\u0103 a fi desf\u0103\u0219urate. Cred lucrul acesta pentru c\u0103, dac\u0103 ne uit\u0103m la majoritatea componentelor din ecosistemul e-commerce-ului, acestea pot fi m\u0103surate, pot fi identificate rezultate imediate sau \u00eentr-un timp foarte scurt. \u00cen schimb, pe ni\u0219a securit\u0103\u021bii cibernetice un raport de audit \u0219i recomand\u0103rile ulterioare nu garanteaz\u0103 c\u0103 site-ul este bullet proof. Sunt de p\u0103rere c\u0103 <strong>orice site este vulnerabil<\/strong> \u0219i faptul c\u0103 nu a fost identificat\u0103 o vulnerabilitate nu \u00eenseamn\u0103 c\u0103 ea nu exist\u0103, ci nu a fost identificat\u0103 de c\u0103tre auditor, \u00eens\u0103 poate fi identificat\u0103 \u0219i exploatat\u0103 de c\u0103tre un atacator.<\/span><\/p>\n<p>&nbsp;<\/p>\n<hr \/>\n<p><strong><img loading=\"lazy\" decoding=\"async\" class=\" wp-image-16827 alignleft\" src=\"https:\/\/www.gpec.ro\/blog\/wp-content\/uploads\/2020\/02\/cristi-iosub-944x1024.jpg\" sizes=\"auto, (max-width: 212px) 100vw, 212px\" srcset=\"https:\/\/www.gpec.ro\/blog\/wp-content\/uploads\/2020\/02\/cristi-iosub-944x1024.jpg 944w, https:\/\/www.gpec.ro\/blog\/wp-content\/uploads\/2020\/02\/cristi-iosub-277x300.jpg 277w, https:\/\/www.gpec.ro\/blog\/wp-content\/uploads\/2020\/02\/cristi-iosub-768x833.jpg 768w\" alt=\"cristi iosub\" width=\"212\" height=\"229\" \/>Cristian Iosub<\/strong><\/p>\n<p><em><strong>Digital Platforms Manager\u00a0<a href=\"https:\/\/www.conversion.ro\/\">Conversion Marketing<\/a><\/strong><\/em><\/p>\n<p><a href=\"https:\/\/www.linkedin.com\/in\/iosubcristian\/\" target=\"_blank\" rel=\"noopener noreferrer\">Cristian Iosub<\/a>\u00a0este Digital Platforms Manager la Conversion \u0219i are o experien\u021b\u0103 de peste 15 ani \u00een dezvoltare software si auditor pentru sistemul de management al securit\u0103\u021bii informa\u021biei. Cu numeroase proiecte la activ, Cristian a coordonat \u0219i a dezvoltat software pentru peste 100 de clien\u021bi internationali din domenii precum eCommerce, Banking \u0219i Retail.<\/p>\n<p>Pe l\u00e2ng\u0103 proiectele pe care le coordoneaz\u0103, Cristian administreaz\u0103 principalele platforme dezvoltate de Conversion. Mai exact: Profitshare, platforma de marketing afiliat cu cele mai mari v\u00e2nz\u0103ri din Rom\u00e2nia, Conectoo, platforma de email marketing, prin care se trimit lunar in inbox peste 150.000.000 emailuri si CookieBox, platforma de management a cookie-urilor.<\/p>\n<p>&nbsp;<\/p>\n<hr \/>\n<p>Nu rata seria de articole cu con\u021binut #CraftedToInspire semnate de speciali\u0219ti \u00een eCommerce \u0219i Digital Marketing, aboneaz\u0103-te la\u00a0<a href=\"https:\/\/www.gpec.ro\/aboneaza-te-la-newsletter-ul-gpec\/\">Newsletter-ul GPeC<\/a>!<\/p>\n","protected":false},"excerpt":{"rendered":"<div class=\"fcbkbttn_buttons_block\" id=\"fcbkbttn_left\"><div class=\"fcbkbttn_like \"><div class=\"fb-like fb-like-button_count\" data-href=\"https:\/\/www.gpec.ro\/blog\/frecventa-auditului-de-securitate\" data-colorscheme=\"light\" data-layout=\"button_count\" data-action=\"like\"  data-size=\"small\"><\/div><\/div><\/div><p>Multe magazine online presupun c\u0103 sistemele lor sunt sigure, dar acest lucru este dificil de \u0219tiut f\u0103r\u0103 a efectua periodic audituri aprofundate ale securit\u0103\u021bii magazinului online. Auditurile de securitate sunt complexe, consum\u0103 timp \u0219i apoi datele trebuie interpretate \u0219i aplicate m\u0103suri de corec\u021bie acolo unde este necesar. Totu\u0219i, f\u0103r\u0103 un audit de securitate nu poate fi stabilit gradul de siguran\u021b\u0103 a datelor unui magazin online.<\/p>\n","protected":false},"author":27,"featured_media":17637,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[3459],"tags":[437,3461,3463],"class_list":["post-17636","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-security","tag-audit","tag-cristian-iosub","tag-online-security"],"aioseo_notices":[],"_links":{"self":[{"href":"https:\/\/www.gpec.ro\/blog\/wp-json\/wp\/v2\/posts\/17636","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.gpec.ro\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.gpec.ro\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.gpec.ro\/blog\/wp-json\/wp\/v2\/users\/27"}],"replies":[{"embeddable":true,"href":"https:\/\/www.gpec.ro\/blog\/wp-json\/wp\/v2\/comments?post=17636"}],"version-history":[{"count":2,"href":"https:\/\/www.gpec.ro\/blog\/wp-json\/wp\/v2\/posts\/17636\/revisions"}],"predecessor-version":[{"id":17640,"href":"https:\/\/www.gpec.ro\/blog\/wp-json\/wp\/v2\/posts\/17636\/revisions\/17640"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.gpec.ro\/blog\/wp-json\/wp\/v2\/media\/17637"}],"wp:attachment":[{"href":"https:\/\/www.gpec.ro\/blog\/wp-json\/wp\/v2\/media?parent=17636"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.gpec.ro\/blog\/wp-json\/wp\/v2\/categories?post=17636"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.gpec.ro\/blog\/wp-json\/wp\/v2\/tags?post=17636"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}