Injiniyoyin sadarwa, a zahiri, kawai "ma'aikatan fasaha" ne waɗanda ke ginawa, ingantawa, da kuma magance matsalolin hanyoyin sadarwa, amma a zahiri, mu ne "layin farko na tsaro" a fannin tsaron yanar gizo. Wani rahoto na CrowdStrike na 2024 ya nuna cewa hare-haren yanar gizo na duniya sun karu da kashi 30%, inda kamfanonin China suka yi asarar da ta zarce yuan biliyan 50 saboda matsalolin tsaron yanar gizo. Abokan ciniki ba sa damuwa ko kai ƙwararren mai aiki ne ko kuma ƙwararren tsaro; lokacin da wani lamari ya faru a hanyar sadarwa, injiniyan shine na farko da zai ɗauki alhakin. Ba tare da ambaton yadda aka yi amfani da hanyoyin AI, 5G, da hanyoyin sadarwa na girgije ba, wanda ya sa hanyoyin kai hari na masu kutse suka zama masu inganci. Akwai wani rubutu da aka yi a Zhihu a China: "Injiniyoyin cibiyar sadarwa waɗanda ba su koyi tsaro ba suna yanke hanyar tserewa ta kansu!" Wannan magana, kodayake mai tsauri ce, gaskiya ce.
A cikin wannan labarin, zan bayar da cikakken bayani game da hare-haren hanyoyin sadarwa guda takwas da aka saba kai wa juna, tun daga ka'idojinsu da nazarin shari'o'insu zuwa dabarun tsaro, don haka zai yi aiki gwargwadon iko. Ko kai sabon shiga ne ko kuma gogaggen tsohon soja da ke neman ci gaba da ƙwarewarka, wannan ilimin zai ba ka ƙarin iko kan ayyukanka. Bari mu fara!
Harin DDoS na 1 na 1
Hare-haren da aka rarraba na hana aiki (DDoS) sun mamaye sabar ko hanyoyin sadarwa da aka yi niyya tare da tarin zirga-zirgar bogi, wanda hakan ke sa masu amfani da su ba za su iya shiga ba. Dabaru na yau da kullun sun haɗa da ambaliyar ruwa ta SYN da ambaliyar ruwa ta UDP. A cikin 2024, wani rahoto na Cloudflare ya nuna cewa hare-haren DDoS sun kai kashi 40% na dukkan hare-haren hanyar sadarwa.
A shekarar 2022, wani dandalin kasuwanci ta intanet ya fuskanci harin DDoS kafin Ranar Marasa Aure, inda cunkoson ababen hawa ya kai 1Tbps, wanda ya sa gidan yanar gizon ya faɗi na tsawon awanni biyu kuma ya haifar da asarar dubban miliyoyin yuan. Wani abokina ne ke kula da gaggawar gaggawa kuma matsin lambar ya kusan sa shi hauka.
Yaya za a hana shi?
○Tsaftace Gudawa:Yi amfani da ayyukan kariya na CDN ko DDoS (zaka iya buƙatar Mylinking™ Inline Bypass Tap/Switch) don tace zirga-zirgar da ba ta dace ba.
○Yawan amfani da bandwidth:Ajiye 20%-30% na bandwidth don jure wa cunkoson ababen hawa kwatsam.
○Ƙararrawa ta Kulawa:Yi amfani da kayan aiki (zaka iya buƙatar Mylinking™ Network Packet Broker) don sa ido kan zirga-zirga a ainihin lokaci da kuma faɗakar da duk wani rashin daidaituwa.
○Tsarin Gaggawa: Yi aiki tare da ISPs don sauya layi cikin sauri ko toshe hanyoyin kai hari.
Allurar SQL ta 2
Masu kutse suna saka lambar SQL mai cutarwa a cikin filayen shigar da bayanai ko URL na gidan yanar gizo don satar bayanai ko lalata tsarin bayanai. A cikin 2023, wani rahoto na OWASP ya bayyana cewa allurar SQL ta kasance ɗaya daga cikin manyan hare-haren yanar gizo guda uku.
Wani ɗan kutse ya yi wa gidan yanar gizon wani kamfani mai ƙanana zuwa matsakaici kutse, wanda ya yi amfani da kalmar "1=1", cikin sauƙi, saboda gidan yanar gizon ya kasa tace shigar da mai amfani. Daga baya aka gano cewa ƙungiyar haɓaka ba ta aiwatar da tabbatar da shigarwar ba kwata-kwata.
Yaya za a hana shi?
○Tambayar da aka ƙayyade:Masu haɓaka Backend ya kamata su yi amfani da maganganun da aka shirya don guje wa haɗa SQL kai tsaye.
○Sashen WAF:Tacewar wuta ta aikace-aikacen yanar gizo (kamar ModSecurity) na iya toshe buƙatun cutarwa.
○Binciken Kullum:Yi amfani da kayan aiki (kamar SQLMap) don bincika raunin da ke tattare da shi da kuma adana bayanan kafin a yi faci.
○Sarrafa Shiga:Ya kamata a bai wa masu amfani da rumbun adana bayanai mafi ƙarancin gata kawai don hana cikakken asarar iko.
Harin Rubuce-rubucen Yanar Gizo Mai Lamba ta 3 (XSS)
Hare-haren rubutun yanar gizo (XSS) suna sace kukis ɗin mai amfani, ID na zaman, da sauran rubutun mugunta ta hanyar saka su cikin shafukan yanar gizo. An rarraba su zuwa hare-haren da aka nuna, aka adana, da kuma waɗanda suka dogara da DOM. A cikin 2024, XSS ta kai kashi 25% na duk hare-haren yanar gizo.
Wani dandalin tattaunawa ya kasa tace sharhin masu amfani, wanda hakan ya ba masu kutse damar saka lambar rubutun da kuma satar bayanan shiga daga dubban masu amfani. Na ga lokuta inda aka kwace wa abokan ciniki kuɗi kan yuan CNY 500,000 saboda wannan.
Yaya za a hana shi?
○Matatar shigarwa: Shigar da mai amfani (kamar lambar HTML).
○Tsarin CSP:Kunna manufofin tsaron abun ciki don iyakance tushen rubutun.
○Kariyar burauza:Saita kanun HTTP (kamar X-XSS-Protection) don toshe rubutun da ba su da kyau.
○Duba Kayan Aiki:Yi amfani da Burp Suite don duba raunin XSS akai-akai.
Fashewar Kalmar Sirri ta No.4
Masu kutse suna samun kalmomin shiga na mai amfani ko mai gudanarwa ta hanyar hare-haren ƙarfi, hare-haren ƙamus, ko injiniyan zamantakewa. Wani rahoto na Verizon na 2023 ya nuna cewa kashi 80% na kutsen yanar gizo yana da alaƙa da raunin kalmomin shiga.
Wani ɗan kutse ya shiga cikin na'urar sadarwa ta kamfani, ta amfani da kalmar sirri ta asali "admin," cikin sauƙi, wanda ya sanya ƙofar baya. Daga baya an kori injiniyan da abin ya shafa, kuma an ɗora wa manajan alhakin hakan.
Yaya za a hana shi?
○Kalmomin Sirri Masu Rikici:Tilasta haruffa 12 ko fiye, gauraye haruffa, lambobi, da alamomi.
○Tabbatar da abubuwa da yawa:Kunna MFA (kamar lambar tabbatarwa ta SMS) akan kayan aiki masu mahimmanci.
○Gudanar da Kalmar Sirri:Yi amfani da kayan aiki (kamar LastPass) don sarrafa su a tsakiya kuma canza su akai-akai.
○Ƙoƙarin Iyaka:Adireshin IP ɗin ya kulle bayan an kasa samun nasarar shiga sau uku don hana hare-haren ƙarfi.
Na 5 Harin Mutum a Tsakiya (MITM)
Masu kutse suna shiga tsakani tsakanin masu amfani da sabar, suna katsewa ko kuma yin kutse ga bayanai. Wannan abu ne da ya zama ruwan dare a cikin Wi-Fi na jama'a ko hanyoyin sadarwa marasa ɓoyewa. A shekarar 2024, hare-haren MITM sun kai kashi 20% na sha'awar hanyar sadarwa.
Masu kutse sun yi wa wani shagon kofi satar bayanai ta hanyar amfani da Wi-Fi, wanda hakan ya sa masu amfani suka yi asarar dubban daloli lokacin da aka kama bayanansu yayin da suke shiga gidan yanar gizon banki. Daga baya injiniyoyi sun gano cewa ba a aiwatar da HTTPS ba.
Yaya za a hana shi?
○Tilasta HTTPS:An ɓoye gidan yanar gizon da API ɗin ta amfani da TLS, kuma an kashe HTTP.
○Tabbatar da Takaddun Shaida:Yi amfani da HPKP ko CAA don tabbatar da cewa takardar shaidar abin dogaro ce.
○Kariyar VPN:Ayyukan da suka dace yakamata su yi amfani da VPN don ɓoye zirga-zirgar ababen hawa.
○Kariyar ARP:Kula da teburin ARP don hana yin zamba ta hanyar amfani da ARP.
Na 6 Harin Zamba
Masu kutse suna amfani da imel na bogi, gidajen yanar gizo, ko saƙonnin rubutu don yaudarar masu amfani da su wajen bayyana bayanai ko danna hanyoyin haɗin yanar gizo masu cutarwa. A shekarar 2023, hare-haren phishing sun kai kashi 35% na abubuwan da suka faru a shafukan yanar gizo na intanet.
Wani ma'aikacin wani kamfani ya sami imel daga wani da ke ikirarin cewa shi ne shugabansu, yana neman a tura masa kuɗi, kuma ya yi asarar miliyoyin kuɗi. Daga baya aka gano cewa shafin imel ɗin na bogi ne; ma'aikacin bai tabbatar da hakan ba.
Yaya za a hana shi?
○Horar da Ma'aikata:A riƙa gudanar da horon wayar da kan jama'a game da tsaron yanar gizo akai-akai don koyar da yadda ake gano imel ɗin leƙen asiri.
○Tace Imel:Sanya hanyar hana satar bayanai (kamar Barracuda).
○Tabbatar da Yanki:Duba yankin mai aikawa kuma kunna tsarin DMARC.
○Tabbatarwa Biyu:Ayyukan da suka shafi hankali suna buƙatar tabbatarwa ta waya ko kuma a zahiri.
Na'urar Ransomware ta 7
Ransomware yana ɓoye bayanan waɗanda abin ya shafa kuma yana buƙatar fansa don ɓoye su. Wani rahoto na Sophos na 2024 ya nuna cewa kashi 50% na kasuwanci a duk duniya sun fuskanci hare-haren ransomware.
An yi wa hanyar sadarwa ta asibiti kutse sakamakon LockBit ransomware, wanda ya haifar da gurgunta tsarin da kuma dakatar da tiyata. Injiniyoyi sun shafe mako guda suna dawo da bayanan, inda suka yi asara mai yawa.
Yaya za a hana shi?
○Ajiyayyen Kullum:Ajiye bayanai masu mahimmanci a waje da wurin da kuma gwada tsarin murmurewa.
○Gudanar da Faci:Sabunta tsarin da software cikin sauri don toshe raunin da ke tattare da shi.
○Kulawa da Ɗabi'a:Yi amfani da kayan aikin EDR (kamar CrowdStrike) don gano halayen da ba su da kyau.
○Cibiyar Warewa:Rarraba tsarin da ba shi da illa don hana yaɗuwar ƙwayoyin cuta.
No.8 Harin Sifili na kwana ɗaya
Hare-haren Zero-day suna amfani da raunin software da ba a bayyana ba, wanda hakan ke sa su zama da matuƙar wahala a hana su. A shekarar 2023, Google ta ba da rahoton gano raunin sifili guda 20 masu haɗari, waɗanda da yawa daga cikinsu an yi amfani da su don kai hare-haren sarkar samar da kayayyaki.
Wani kamfani da ke amfani da manhajar SolarWinds ya fuskanci matsala sakamakon raunin da ya shafi tsarin samar da kayayyaki na sifili, wanda ya shafi dukkan tsarin samar da kayayyaki. Injiniyoyi ba su da taimako kuma suna jiran wani gyara ne kawai.
Yaya za a hana shi?
○Gano Kutse:Yi amfani da IDS/IPS (kamar Snort) don sa ido kan zirga-zirgar ababen hawa marasa kyau.
○Binciken Sandbox:Yi amfani da akwatin yadi don ware fayilolin da ake zargi da kuma nazarin halayensu.
○Bayanan Barazana:Yi rijista don ayyuka (kamar FireEye) don samun sabbin bayanai game da raunin da ke tattare da shi.
○Mafi ƙarancin gata:Taƙaita izinin software don rage saman harin.
'Yan uwana 'yan cibiyar sadarwa, waɗanne irin hare-hare kuka fuskanta? Kuma ta yaya kuka shawo kansu? Bari mu tattauna wannan tare mu yi aiki tare don ƙara ƙarfafa hanyoyin sadarwarmu!
Lokacin Saƙo: Nuwamba-05-2025
