Kiberxavfsizlik — kompyuter tarmoqlari va tizimlarini raqamli hujumlardan himoya qilish usuli. Ushbu hujumlar viruslar, zararli dasturlar, fishing firibgarliklari va boshqalar ko‘rinishida bo‘lishi mumkin. Kiberhujumlar jiddiy oqibatlarga olib kelishi mumkin: moliyaviy yo‘qotishlar, ma’lumotlarning buzilishi va hatto jismoniy zarargacha. Shuning uchun o‘zingiz, oilangiz va biznesingiz uchun kiberxavfsizlikni ta’minlash choralarini ko‘rish juda muhimdir.

Kiberxavfsizlik tahdidlari va zaifliklari nima?

Kiberxavfsizlikning eng uchrovchi tahidlaridan biri — zararli dasturlar. Bular kompyuterlarga zarar yetkazish yoki o‘chirish uchun mo‘ljallangan dasturiy ta’minotlar. Bu virus troyan oti, “qurtlar” yoki josuslik dasturidan kelib chiqishi mumkin. Zararli dasturiy ta’minot buzilgan ma’lumotlarni o‘g‘irlash, muhim fayllarni o‘chirish yoki jabrlanuvchining kompyuterini boshqarishda ishlatilishi mumkin.

Yana bir keng tarqalgan tahdid turi — kiberhujum. Bunda xaker ma’lumotlarni o‘g‘irlash yoki operatsiyalarni buzish uchun kompyuter tizimi yoki tarmog‘iga ruxsatsiz kirishga harakat qiladi. Kiberhujumlar juda murakkab va maqsadli yoki nisbatan sodda va beg‘araz bo‘lishi ham mumkin.

Boshqa tomondan, tizim zaifliklari kiberjinoyatchilar foydalanishi mumkin bo‘lgan tahdid turidir. Bu kompyuter tizimi yoki tarmog‘idagi zaif tomonlar bo‘lib, ular ruxsatsiz kirish yoki zarar yetkazish uchun ishlatilishi mumkin. Keng tarqalgan zaifliklar qatoriga tuzatilmagan dasturiy ta’minot, zaif parollar va ochiq portlar kiradi.

Kiberxavfsizlik tahdidlarining turlari

Kiberxavfsizlikda turli hujumlar mavjud va ular har xil manbalardan kelib chiqishi mumkin. Eng keng tarqalgan viruslar, zararli dasturlar, fishing firibgarliklari va Xizmatni rad etish (DoS) hujumlari. Kiberxavfsizlik tahdidlari moliyaviy zarar yetkazishdan tortib, maxfiy ma’lumotlarni buzishgacha bo‘lgan turli ta’sirlarga ega bo‘lishi mumkin. Kiberxavfsizlik tahdidlari ba’zi hollarda tajovuzkorlarga muhim infratuzilma yoki qurilmalarni nazorat qilish imkonini bersa, boshqa bir holatlarda jismoniy xavfsizlikka tahdid solishi mumkin.

Kiberxavfsizlikning eng ommalashgan yettita tahdidi

1. Zararli dastur

Zararli dastur bu — viruslar, “qurtlar”, troyan otlari va josuslik dasturlari kabi ko‘plab shakllarda bo‘lishi mumkin bo‘lgan kiberxavfsizlik tahdididir. Zararli dastur kompyuterga zarar yetkazishi yoki o‘chirib qo‘yishi, ma’lumotni o‘g‘irlashi yoki maxfiy ma’lumotlarga kirish huquqiga ega bo‘lishi mumkin. Ba’zi hollarda zararli dastur hatto qurbonning kompyuterini nazorat qilish uchun ham ishlatilishi mumkin.

Troyan virusi: zararli dasturiy ta’minot turi, foydalanuvchilar fayl zararli bo‘lsa ham, sog‘lom faylni yuklab olyapman deb o‘ylashadi. Fayl bajarilgandan so‘ng, troyan virusi tajovuzkorga jabrlanuvchining tizimiga kirish huquqini berib, ularga ma’lumotlarni o‘g‘irlash yoki ko‘proq zararli dasturlarni o‘rnatish kabi zararli harakatlarni amalga oshirish imkonini beradi.

Worm (qurt): o‘zini ko‘paytirish va boshqa tizimlarga yuborish orqali o‘zini tarqatish uchun mo‘ljallangan zararli dastur turi. Qurtlar juda ko‘p zarar yetkazishi mumkin, chunki ular tez tarqalib, juda ko‘p resurslarni sarflashi mumkin, bu esa tizimlarni ishdan chiqarishi mumkin.

Ransomware: ushbu turdagi zararli dastur jabrlanuvchining fayllarini shifrlaydi, so‘ngra fayllar shifrini ochish uchun to‘lovni talab qiladi. Bu jabrlanuvchi uchun juda qimmatga tushadigan hujum bo‘lishi mumkin, chunki ular to‘lovni to‘lamaguncha o‘zlarining asosiy fayllariga kira olmasligi mumkin.

Spyware: jabrlanuvchilar haqida ulardan yashirincha ma’lumotlarni to‘plash uchun mo‘ljallangan zararli dastur. Ushbu ma’lumotlar jabrlanuvchini kuzatish yoki uning shaxsini o‘g‘irlash uchun ishlatilishi mumkin.

Wiper zararli dasturi: fayllarni o‘chirish yoki tizimni ishlamay qoldirish uchun mo‘ljallangan zararli dastur. Ushbu turdagi zararli dasturlar ko‘pincha tajovuzkor, imkon qadar ko‘proq zarar yetkazmoqchi bo‘lgan hujumlarda qo‘llaniladi.

Oldini olish bo‘yicha maslahatlar

Nufuzli antivirus/antimalware dasturlaridan foydalaning va ularni muntazam yangilab turing! 

2. Ijtimoiy muhandislik hujumlari

Ijtimoiy muhandislik hujumi — tajovuzkor qurbonni aldash uchun odamlarning o‘zaro ta’siridan foydalangan holda, ularning xavfsizligini xavf ostiga qo‘yadigan har qanday hujumdir. Bular kiberxavfsizlik tahdidlari bo‘lib, odamlarni aldash yo‘li bilan maxfiy ma’lumotlarni oshkor qilish yoki odatda bajarilmaydigan harakatlarni amalga oshirish uchun ishlatadi.

Fishing: standart ijtimoiy muhandislik hujumi bo‘lib, u qurbonlarni shaxsiy ma’lumotlarni oshkor qilishga yoki zararli havolani bosishga jalb qilish uchun soxta elektron pochta yoki veb-saytlardan foydalanadi.

Notogrey ad: buzg‘unchi veb-saytga zararli kodni joylashtirish uchun onlayn reklamadan foydalanadigan ijtimoiy muhandislik hujumining yana bir turi bo‘lib, u tashrif buyuruvchilarni zararli dastur bilan zararlangan saytga yo‘naltiradi yoki zararli dasturlarni ularning tizimiga yuklab oladi. 

Baiting: ijtimoiy muhandislik hujumi bo‘lib, buzg‘unchi USB diskini yoki zararli dasturlarni o‘z ichiga olgan boshqa turdagi ommaviy axborot vositalarini kommentlarda qoldirib, kimdir uni topib, kompyuterga ulashishiga umid qiladi. 

Oldini olish bo‘yicha maslahatlar

Keraksiz elektron pochta xabarlari va telefon qo‘ng‘iroqlaridan ehtiyot bo‘ling, agar manbaga ishonchingiz 100 foiz komil bo‘lmasa, havolalarni bosmang yoki shaxsiy ma’lumotlarni bermang!

3. Taqsimlangan rad etish (DDoS)

Taqsimlangan rad etish (DDoS) hujumi kiberxavfsizlikka tahdid bo‘lib, bunda tajovuzkor tarmoq yoki serverni bir nechta kompyuterlardan so‘rovlar bilan to‘ldirib, uni ishlamay qoldirishga harakat qiladi.

Botnetlar: DDoS hujumlari ko‘pincha botnetlar tomonidan amalga oshiriladi, bu zararli paketlar tomonidan boshqariladigan zararlangan kompyuterlar tarmoqlari. Botnet maqsadga ko‘plab so‘rovlarni yuborishi mumkin, natijada maqsad haddan tashqari ko‘payadi va aniq so‘rovlarga javob bera olmaydi.

Smurf attack: Smurf hujumida tajovuzkor maqsadning IP manzilini so‘rovlar bilan to‘ldirish uchun soxtalashtiradi.

TCP SYN toshqin hujumi: tajovuzkor nishonga ko‘plab SYN so‘rovlarini yuboradi, oqibatda nishonning resurslari tugaydi.

UDP flood hujumi: DDoS hujumining bir turi bo‘lib, tajovuzkor nishonga ko‘plab UDP paketlarini yuboradi, oqibatda maqsad resurslari tugaydi.

Oldini olish bo‘yicha maslahatlar

Xavfsizlik devori firewall waflardan foydalaning va iloji bo‘lsa, ma’lum IP manzillarga kiruvchi ulanishlarni cheklang!

4. Dasturiy ta’minot, ta’minot zanjiriga hujumlar

Buzg‘unchi dasturiy ta’minotni yetkazib berish zanjiriga hujum qilishning ko‘plab usullari mavjud.

Dasturiy ta’minot ishlab chiqaruvchisi hisobini buzish va keyin ular ishlayotgan dasturiy ta’minotga zararli kodni kiritish.

GitHub kabi dasturiy ta’minot omborini nishonga olish va qonuniy loyihaga zararli kodni kiritish. Buni soxta hisob yaratish va zararli kod bilan tortib olish so‘rovini yuborish yoki xizmat ko‘rsatuvchining hisobiga kirish va kodni to‘g‘ridann-to‘g‘ri omborga surish orqali amalga oshirish mumkin.

Jabrlanuvchining tizimini nazorat qilish, undan keyingi hujumlarni amalga oshirish yoki nozik ma’lumotlarga kirish uchun foydalanish mumkin.

Oldini olish bo‘yicha maslahatlar

Dasturiy ta’minotingizni yangilab turing va dasturlarni faqat ishonchli manbalardan yuklab oling!

5. Saytlararo skript yaratish (XSS)

Cross-Site Scripting (XSS) — veb-sahifaga zararli kodni kiritishni o‘z ichiga olgan kiberxavfsizlik tahdidining bir turi. Buni veb-ilovadagi zaifliklardan foydalanish yoki foydalanuvchini aldash orqali zararli havolani bosish orqali amalga oshirish mumkin.

XSS foydalanuvchidan cookie yoki seans ma’lumotlari kabilarni o‘g‘irlashi mumkin. Bundan tashqari, u veb-sahifaga zararli kodni kiritishda, foydalanuvchini zararli veb-saytga yo‘naltirish yoki reklamalarni ko‘rsatishda ishlatilishi mumkin.

XSS hujumlariga misollar:

• Zararli kodni veb-sahifaga kiritish, keyinchalik foydalanuvchi brauzeri tomonidan bajariladi.
• Foydalanuvchini zararli veb-saytga yo‘naltirish.
• Veb-sahifada reklamalarni ko‘rsatish.
• Kukilar yoki seans ma’lumotlari kabi foydalanuvchi ma’lumotlarini o‘g‘irlash.
• XSS hujumlarining ikki turi mavjud:

Reflected XSS: bu hujum tajovuzkor foydalanuvchini aks ettiruvchi veb-sahifaga zararli kodni kiritganda sodir bo‘ladi. Bu veb-sahifa foydalanuvchi ma’lumotlarini qabul qilganda va uni avval sanitarizatsiya qilmasdan ko‘rsatganda sodir bo‘lishi mumkin.

Saqlangan XSS: saqlangan XSS tajovuzkor serverda saqlangan veb-sahifaga zararli kodni kiritganda yuzaga keladi. Bu veb-sahifani saqlashdan oldin foydalanuvchi ma’lumotlarini to‘g‘ri tozalash kerak bo‘lganda sodir bo‘lishi mumkin.

Oldini olish bo‘yicha maslahatlar

Firefox uchun NoScript kabi zararli skriptlarni filtrlaydigan veb-brauzer kengaytmasi yoki plaginidan foydalaning! 

6. SQL Injection

SQL Injection — kiberxavfsizlik tahdidining bir turi bo‘lib, tajovuzkorlarga ma’lumotlar bazasida zararli SQL kodini bajarishga imkon beradi. Bu xavfsizlik boshqaruvlarini chetlab o‘tishi, nozik ma’lumotlarga kirishi yoki hatto ma’lumotlarni o‘chirib tashlashi mumkin. SQL Injection ma’lumotlar bazalariga eng ko‘p uchraydigan hujumlardan biri bo‘lib, uni aniqlash va oldini olish juda qiyin bo‘lishi mumkin. 

SQL Injection hujumlarining ko‘p turlari mavjud, ammo ulardan eng keng tarqalganlari quyidagilardan iborat:

Blind SQL Injection: foydalanuvchi kiritgan ma’lumotlarni to‘g‘ri tasdiqlamaydigan veb-ilovadagi zaifliklardan foydalanadi. Bu tajovuzkorlarga o‘z harakatlarining natijalarini ko‘ra olmasdan SQL kodini bajarishga ruxsat berishi mumkin.

Xatoga asoslangan SQL Injection: SQL so‘rovi bajarilganda veb-ilova tomonidan qaytarilgan xatolardan foydalanadi. Kirishni manipulyasiya qilish orqali tajovuzkorlar ilovani o‘z foydalari uchun foydalanishi mumkin bo‘lgan nozik ma’lumotlarni qaytarishiga olib kelishi mumkin.

To the union ga asoslangan SQL Injection: ikki yoki undan ortiq SQL so‘rovlari natijalarini birlashtirish uchun UNION SQL operatoridan foydalanadi. U aks holda kirish imkoni bo‘lmagan ma’lumotlarga kirish uchun ishlatilishi mumkin.

Oldini olish bo‘yicha maslahatlar

Hech qachon foydalanuvchi ma’lumotlarini bevosita SQL so‘rovlaringizga kiritmang. Buning o‘rniga har doim parametrlangan so‘rovlar yoki tayyorlangan bayonotlardan foydalaning. Bu sizning so‘rovlaringiz doimo to‘g‘ri ma’lumotlar bilan bajarilishini va ularga hech qanday zararli kod kiritilmasligini ta’minlashga yordam beradi. 

7. Parol hujumlari

Parolli hujum — kiberxavfsizlik tahdidi, tajovuzkor parolni taxmin qilish orqali kompyuter tizimi yoki tarmoqqa kirishga harakat qiladi.

Parolni qo‘pol kuch bilan taxmin qilish: bu holatda tajovuzkor to‘g‘ri parolni topmaguncha belgilarning har qanday kombinatsiyasini sinab ko‘radi. 

Pass-the-hesh hujumi: Pass-the-hesh hujumida tajovuzkor xeshlangan parolni oladi va undan haqiqiy parolni bilmasdan turib ham tizimga kirish uchun foydalanadi. 

Dictionary hujumi: tajovuzkor parol sifatida ishlatilishi mumkin bo‘lgan umumiy so‘z va iboralarni sinab ko‘radigan parol hujumining yana bir turi.

Oldini olish bo‘yicha maslahatlar

Taxmin qilish qiyin bo‘lgan kuchli parollardan foydalaning. Bundan tashqari, hech qachon turli hisoblarda parollarni qayta ishlatmang va ularni kuzatib borish uchun parol menejeridan foydalaning!

Kiberxavfsizlik tahdidlari va ularning yechimlari

Ko‘pgina kiberxavfsizlik tahdidlari jismoniy shaxslar, korxonalar va hukumatlarning xavfsizligi va xavfsizligini buzishi mumkin. Eng keng tarqalgan xavf-xatarlarga viruslar, josuslik dasturlari va fishing hujumlari kiradi. Ushbu tahdidlar maxfiy ma’lumotlarning o‘g‘irlanishi, ma’lumotlarning yo‘q qilinishi, tizimlar va tarmoqlarning buzilishiga olib kelishi mumkin.

Antivirus va josuslarga qarshi dasturlar, xavfsizlik devorlari va shifrlashni o‘z ichiga olgan kiber tahdid monitoringi yordamida ushbu tahdidlardan himoyalanishning bir qancha usullari mavjud. Bundan tashqari, tizimlar va dasturiy ta’minotni yangilab turish va foydalanuvchilarni potensial tahdidlarni aniqlash va oldini olish bo‘yicha o‘rgatish muhimdir.

Xulosa

Xulosa qilib aytganda, kiberxavfsizlik tahdidlari zamonaviy dunyoda haqiqiy va hozirgi xavf hisoblanadi. Texnologiya va internetga bo‘lgan ishonch ortib borayotgan bir paytda, xavflardan xabardor bo‘lish va ularning oldini olish choralarini ko‘rish har qachongidan ham muhimroqdir. Bundan tashqari, kiberxavfsizlikni yaxshilash uchun ko‘plab choralar ko‘rish mumkin va xavflarni yodda tutish va o‘zingizni va ma’lumotingizni himoya qilish uchun choralar ko‘rish juda muhimdir.

Orifjon Dusyarov,
“Texnoprosistem” loyihalar bajarilishini
nazorat va tahlil qilish bo‘limi yetakchi mutaxassisi