هل يمكن لمستخدمي موقع WordPress الخاص بك إتلاف عملك؟
نشرت: 2021-03-23هل يمكن لموظفيك أن يشكلوا تهديدا؟ نعم ، من المحتمل جدا ، ولكن بشكل رئيسي عن غير قصد.
كتبت مؤخرًا عن الإحصائيات التي تسلط الضوء على أكبر مصدر لثغرات WordPress.
ومع ذلك ، هناك جزء مكوِّن كبير آخر من بنيتك التحتية معرض للخطر بنفس القدر ، إن لم يكن أكثر من ذلك ، والذي غالبًا ما نتغاضى عنه - مستخدمينا - الذين يتم استهدافهم مباشرة من قبل الجهات السيئة هناك.
جدول المحتويات
- دروس يمكن أن نتعلمها من وكالة المخابرات المركزية
- لماذا الهجمات؟ ماذا يأتى بعد ذلك؟
- من أين وكيف يتم الوصول إليهم؟
- ماذا يمكنني أن أفعل حيال كل هذا؟
- ما الذي يمكن أن نتعلمه من نهج وكالة المخابرات المركزية؟
- سرية
- ابدأ بتعزيز عملية تسجيل الدخول
- فرض سياسات وأمن كلمات المرور القوية
- تحديد وتصنيف البيانات المخزنة على أساس سمات الخصوصية الخاصة بهم
- نزاهة
- الحد من الأذونات والامتيازات
- احتفظ بسجل لتغييرات المستخدم
- التوفر
- النسخ الاحتياطي لبياناتك
- التخطيط للفشل
- التهديدات الأمنية لتوافر البيانات الخاصة بك
- الصيانة الوقائية
- سرية
- التعليم والتدريب
- الوجبات الجاهزة
دروس يمكن أن نتعلمها من وكالة المخابرات المركزية
يعتبر التصيد الاحتيالي وإرسال الرسائل النصية من أكثر الأساليب تفضيلاً التي يستخدمها مجرمو الإنترنت. تغري هذه الهجمات الاجتماعية المستخدمين لديك بالتخلي عن بيانات اعتماد تسجيل الدخول الخاصة بهم إلى جانب المعلومات الشخصية الأخرى. تُستخدم هذه التفاصيل بعد ذلك في هجمات القرصنة ، وخرق دفاعاتك الأمنية ، والوصول إلى تطبيقات الويب الخاصة بك ، وأنظمتك ، وبياناتك.
فقط اسأل Twitter أو T-Mobile أو Marriot أو Amtrak أو فندق Ritz ، من بين مجموعة كاملة من الآخرين. في حين أن العلامات التجارية المعروفة هي التي تحصل على كل العناوين الرئيسية والاهتمام ، فمن المثير للقلق ملاحظة أن أكثر من واحد من كل أربعة (28٪) من الشركات الصغيرة مستهدفة بشكل مباشر وتم اختراقها بنجاح.
هذه بعض الأفكار التي ستخرج من بحث Verizon. يلقي تقرير التحقيقات في خرق البيانات (DBIR) لعام 2020 ضوءًا كشافًا مفصلاً للطب الشرعي حول الكذب والدوافع وأساليب الجهات الخبيثة. من الواضح أنهم بعد شيء واحد - بياناتك.
لكنه يمنحنا أيضًا فهمًا لكيفية تخطيطنا لدفاعاتنا للتخفيف من مثل هذه الانتهاكات للأمن السيبراني.
لماذا الهجمات؟ ماذا يأتى بعد ذلك؟
الجواب البسيط هو أن المهاجمين يريدون شيئًا لديك ، ويكون ذا قيمة - بيانات. تقريبًا واحد من كل تسعة (86٪) من خروقات النظام الناجحة مدفوعة بمكاسب مالية. ومن بين هؤلاء ، فإن الغالبية (55٪) منخرطة في جماعات الجريمة المنظمة ، والتي تم تعريفها في التقرير على أنها "مجرم ذو عملية ، وليس عصابات مافيا".
"86٪ من الانتهاكات كانت بدوافع مالية"
"الجماعات الإجرامية المنظمة كانت وراء 55٪ من جميع الانتهاكات"
"70٪ ارتكبتها جهات خارجية"
"30٪ من المشاركين الداخليين"
كما هو الحال مع الآخرين ، يحتفظ عملك ببيانات مختلفة يتم تقديمها لك بحسن نية من قبل العملاء والموردين والشركاء والموظفين ، وما إلى ذلك لتسهيل معالجة الأعمال الإلكترونية بسلاسة. الكثير من هذه البيانات ، بالطبع ، خاصة وحساسة.
بطاقة الائتمان وتفاصيل الدفع الأخرى ، ومعلومات التعريف الشخصية مثل تفاصيل الضمان الاجتماعي ، وعناوين البريد الإلكتروني ، وأرقام الهواتف ، وعناوين المنازل ، وما إلى ذلك ، يمكن حصادها واستخدامها وتحقيق الدخل منها. تذكر أن هذه ليست لعبة بالنسبة لهم.
عليك واجب التأكد من أن هذه البيانات تظل خاصة ومحمية. لديك أيضًا تشريعات الخصوصية والتزامات الامتثال التنظيمي للصناعة ، مثل اللائحة العامة لحماية البيانات (GDPR) ، والتي تتطلب منك بشكل واضح اتخاذ جميع التدابير الممكنة لحماية البيانات.
لذلك ، يجب أن تركز أي خطة استجابة أمنية موضوعة على حماية البيانات.
من أين وكيف يتم الوصول إليهم؟
يعرف الفاعلون الإجراميون أنه إذا تمكنوا من الحصول على بيانات اعتماد المستخدمين لديك ، فسيكون عملهم أسهل كثيرًا. لذلك ، لا ينبغي أن يكون مفاجئًا أنهم يبذلون جهدًا كبيرًا في المزيد من هجمات التصيد والذرائع المعقدة ، في محاولة لدفع المستخدمين لديك إلى التخلي عن تفاصيل تسجيل الدخول إلى النظام وغيرها من المعلومات الشخصية.
"يمثل التصيد الاحتيالي 22٪ من جميع عمليات اختراق البيانات الناجحة"
"الهجمات الاجتماعية:" وصلت الإجراءات الاجتماعية عبر البريد الإلكتروني بنسبة 96٪ من الوقت. "
تطبيقات الويب الخاصة بك على الإنترنت هي أكثر ناقلات الهجوم شيوعًا ، ويحصل المهاجمون على الدخول باستخدام بيانات اعتماد تسجيل دخول المستخدم المفقودة أو المسروقة ، أو هجمات القوة الغاشمة (استغلال كلمات المرور الضعيفة).
"تم استهداف تطبيقات الويب الخاصة بك على وجه التحديد في أكثر من 90٪ من الهجمات - أكثر من 80٪ من الانتهاكات داخل القرصنة تتضمن القوة الغاشمة أو استخدام بيانات الاعتماد المفقودة أو المسروقة."
ماذا يمكنني أن أفعل حيال كل هذا؟
بفضل Verizon ، الذي أجرى التحليل لنا ، نحن في وضع أفضل لفهم التهديدات والأساليب. يمكننا الآن البدء في اتباع نهج مستنير ومدروس ومنطقي لتعزيز استجاباتنا الأمنية وإحباط هذه الهجمات وتخفيف أي ضرر.
ما الذي يمكن أن نتعلمه من نهج وكالة المخابرات المركزية؟
للأسف ، نحن لا نتحدث عن بعض التقنيات الجديدة التي تضرب العالم والتي توفرها وكالة المخابرات المركزية هنا ، والتي يمكننا استخدامها للتغلب على الأشرار. نحن نتحدث عن إطار عمل أنيق ومرن يمكنك استخدامه يركز على حماية الأصول الرئيسية المهددة ، وبياناتك ، وهو ما يدور حوله كل هذا.
يشتمل إطار عمل CIA على ثلاثة مبادئ أساسية أساسية مصممة للتخفيف من الوصول العرضي والضار إلى بياناتك وتعديلها ، وهي:
- سرية
- نزاهة
- التوفر
سرية
تطلب السرية منا التدابير التي يمكنك اتخاذها لضمان أمان البيانات التي تحتفظ بها - حيث يتم تقييد وصول الموظفين إلى المعلومات المطلوبة فقط لتمكينهم من أداء أدوارهم.
تذكر أن أكثر من 80٪ من عمليات الاختراق الناجحة استخدمت إما بيانات اعتماد المستخدم المفقودة أو المسروقة ، أو هجوم القوة الغاشمة لاستغلال كلمات المرور الضعيفة مثل "admin / admin" ، "user / password" ، "user / 12345678" ، إلخ.
هناك العديد من الإجراءات التي يمكنك اتخاذها لضمان سرية بياناتك:
ابدأ بتعزيز عملية تسجيل الدخول
تنفيذ المصادقة ذات العاملين. تضيف المصادقة الثنائية طبقة أمان إضافية من خلال دمج جهاز مادي في عملية تسجيل الدخول إلى حساب المستخدم.
ستكون هناك حاجة إلى رقم تعريف شخصي فريد ومحدود زمنيًا ومرة واحدة من خلال عملية تسجيل الدخول ، بالإضافة إلى بيانات اعتماد اسم المستخدم وكلمة المرور القياسيين ، للسماح بالوصول.
لذلك ، حتى في حالة اختراق بيانات اعتماد تسجيل الدخول ، دون أن يتمكن المهاجم من الوصول إلى الجهاز المادي ، فإن مجرد طلب رقم التعريف الشخصي سيكون كافيًا لإحباط الهجوم.
فرض سياسات وأمن كلمات المرور القوية
أكثر من 35٪ من حسابات المستخدمين ستستخدم كلمات مرور ضعيفة يمكن اختراقها بسهولة بواسطة أدوات هجوم القوة الغاشمة.
لذلك ، فإن الأمان والسياسات القوية لكلمة المرور أمر لا بد منه. تنفيذ سياسات قوة كلمة المرور ، ولكن أيضًا سياسات انتهاء الصلاحية ومحفوظات كلمة المرور. ستنتهي صلاحية كلمات المرور القوية هذه التي قمت بفرضها الآن في الوقت المناسب.
لذلك ، إذا تم اختراق بيانات اعتماد المستخدمين لديك بالفعل ، فهي مفيدة فقط طالما كانت كلمة المرور صالحة. لذلك ، سيؤدي تغيير كلمة المرور إلى إحباط أي إجراءات ضارة في المستقبل.
جنبًا إلى جنب مع طريقة المصادقة ذات العاملين ، فإن تنفيذ كلمة المرور القوية يوفر دفاعًا قويًا إلى حد كبير.
تحديد وتصنيف البيانات المخزنة على أساس سمات الخصوصية الخاصة بهم
قم بإجراء مراجعة لقوائم التحكم في الوصول الحالية لكل دور ، ثم قم بتعيين امتيازات الوصول إلى البيانات المطلوبة بشكل مناسب ، باستخدام مبدأ الامتياز الأقل.
يجب تقييد الوصول إلى البيانات الخاصة والحساسة على أساس الحاجة إلى المعرفة ومطلوب للموظف لأداء دوره.
على سبيل المثال ، قد يحتاج ممثل دعم العملاء الخاص بك إلى الوصول إلى محفوظات الطلبات وتفاصيل الشحن وتفاصيل الاتصال وما إلى ذلك. هل يحتاجون إلى رؤية تفاصيل بطاقة ائتمان العملاء أو رقم الضمان الاجتماعي أو معلومات حساسة أخرى أو معلومات تعريف شخصية؟
أو اسأل نفسك ، هل ستزود الموظفين العموميين برصيد وتفاصيل الحساب المصرفي للشركة؟ أو حسابات الشركة المالية الجارية والتاريخية؟ سنأخذ ذلك على أنه لا.
نزاهة
تطلب منك النزاهة النظر في الخطوات التي يمكننا اتخاذها لضمان صحة البيانات من خلال التحكم ومعرفة من يمكنه إجراء تغييرات على البيانات وتحت أي ظروف. لضمان سلامة بياناتك:
الحد من الأذونات والامتيازات
حدد أذونات المستخدمين ، مع التركيز على عناصر البيانات التي قد تتطلب التعديل.
لن تتطلب الكثير من بياناتك تعديلًا أبدًا ، أو نادرًا جدًا. يُطلق عليه أحيانًا مبدأ الامتيازات الأقل ، وهو أحد أفضل الممارسات الأمنية الأكثر فاعلية ، والذي يتم تجاهله بشكل عام ولكن تطبيقه سهل.
وفي حالة وصول الهجوم بنجاح إلى حسابات النظام ، من خلال تنفيذ أذونات مقيدة على البيانات ، فسيتم تقييد أي خرق للبيانات وأي ضرر ناتج.
احتفظ بسجل لتغييرات المستخدم
إذا تم إجراء تغييرات على البيانات الحالية ، كيف ستعرف ما هي التغييرات ومتى ومن الذي سيتغير؟ هل يمكن أن تكون متأكدا؟ هل التعديل مصرح به وصالح؟
يمنحك وجود سجل نشاط شامل وفي الوقت الفعلي رؤية كاملة لجميع الإجراءات التي يتم تنفيذها عبر جميع أنظمة WordPress الخاصة بك وهو أمر أساسي لممارسة الأمان الجيدة.
أيضًا ، ستساعدك الأرشفة والإبلاغ عن أي أنشطة وكل الأنشطة على الامتثال لقوانين الخصوصية والتزامات الامتثال التنظيمي في سلطتك القضائية.
التوفر
يجبرنا التوافر على التركيز على الحفاظ على إمكانية الوصول إلى بياناتنا بسهولة وبشكل موثوق. وبالتالي ضمان استمرار العمل دون انقطاع ، مما يمكّن الموظفين من أداء واجباتهم ، ويضع عملاؤك طلباتهم ، ويمكنك تلبية هذه الطلبات وشحنها بطريقة آمنة.
لا يتعلق وقت التوقف عن العمل بالخسارة المحتملة في الإيرادات فحسب ، بل يتعلق أيضًا بتآكل الثقة من المستخدمين والمشتركين والعملاء والشركاء والموظفين ، نتيجة عدم توفر أنظمتك.
النسخ الاحتياطي لبياناتك
انسخ بياناتك احتياطيًا بانتظام ، ضع في اعتبارك أيضًا تخزين هذه النسخ الاحتياطية خارج الموقع. فيما يلي مقال جيد يطور هذا الموضوع ويناقش المخاطر الأمنية لتخزين ملفات النسخ الاحتياطي لـ WordPress والملفات القديمة في الموقع.
التخطيط للفشل
مراجعة مكونات البنية التحتية التي يعتمد عليها عملك ؛ الشبكات والخوادم والتطبيقات وما إلى ذلك ولديها خطة عمل علاجية ، لذلك إذا فشل أي من هذه العناصر المتكاملة ، سواء بشكل فردي أو جماعي ، يمكنك التعافي بسرعة.
من المحتمل أنك تستخدم شركة استضافة يمكنك من خلالها استضافة موقع WordPress الخاص بك ، والتي ستتعامل مع العديد من هذه المهام نيابة عنك. ومع ذلك ، من الضروري طرح الأسئلة ذات الصلة للتأكد من العمليات ومستويات الخدمة التي يقدمونها لك وما إذا كانت تتطابق مع متطلبات عملك.
على سبيل المثال ، حاول استعادة نُسخ WordPress الاحتياطية الخاصة بك ، واختبر أنظمة الأمان لديك ومحاكاة عملية التعافي من الكوارث.
التهديدات الأمنية لتوافر البيانات الخاصة بك
من منظور أمني ، فإن التهديد رقم 1 لجميع الحوادث المسجلة في التقرير هو هجوم رفض الخدمة الموزع (DDoS) ، المصمم أساسًا عند التعطيل ، وليس محاولة الوصول (القرصنة).
توفر العديد من شركات استضافة WordPress دفاعات كافية لهذه الأنواع من الهجمات. ومع ذلك ، من الحكمة دائمًا التحقيق في خدمات الأمن المحيط التي تقدمها وما إذا كانت هذه الإجراءات كافية أو ما إذا كان يجب عليك تعزيز دفاعاتك.
الصيانة الوقائية
تلعب الصيانة دورًا مهمًا في التوفر ، مما يضمن تحديث موقع WordPress الخاص بك والمكونات الإضافية المرتبطة به في الوقت المناسب وبطريقة تلقائية مثالية لإصلاح أي ثغرات أمنية معروفة ، مما يؤدي إلى دفاعات أمنية أكثر قوة.
التعليم والتدريب
وكما قال بنجامين فرانكلين ذات مرة ، فإن "أونصة واحدة من الوقاية تستحق قنطارًا من العلاج" ، وهذا صحيح اليوم كما كان في أي وقت مضى.
كما أن تثقيف المستخدمين حول المزالق المحتملة وتحديد التهديدات الموجودة هو إجراء وقائي بالغ الأهمية.
- قم بتحفيز التدريب المناسب للموظفين ، وقم بتثقيفهم حول أهمية سياسات الأمان المنصوص عليها ، ولماذا نفذت الشركة مثل هذه السياسات.
- ساعدهم في فهم المخاطر الأمنية ، مع التركيز بشكل خاص على التهديدات الاجتماعية مثل التصيد الاحتيالي والتحريف النصي التي ناقشناها. سوف يشكرونك لهاذا!
الوجبات الجاهزة
قد يبدو من الأسهل بكثير منح المستخدمين إمكانية الوصول إلى كل شيء ، مما يضمن حصولهم دائمًا على إمكانية الوصول إلى المعلومات التي يحتاجون إليها والكثير مما لا يحتاجون إليه. غالبًا ما يتم منح هذا المستوى من الأذونات للمستخدمين لتجنب الطلبات المحتملة لتغيير حقوق وامتيازات الوصول. لكن هذا يفتقد إلى النقطة.
من خلال تنفيذ توصيات CIA ، سوف تقطع شوطًا طويلاً للتخفيف والحد من أي ضرر في حالة حدوث خرق للنظام عن طريق تقييد أي وصول (السرية) والتعديل (النزاهة) إلى البيانات الخاصة والحساسة. ومساعدتك على الوفاء بالتزاماتك القانونية والامتثال.
- كلمات مرور قوية يقلل من نجاح هجمات القوة الغاشمة.
- توثيق ذو عاملين؛ يعيق استخدام أوراق الاعتماد المسروقة
- مبدأ الامتياز الأقل ؛ يقيد الوصول إلى البيانات على أساس الحاجة إلى المعرفة ، ويحد من تعديل هذه البيانات.
- تسجيل النشاط يبقيك على اطلاع بأي وصول وتعديل وتغييرات في النظام.
- تأكد من تحديث جميع الأنظمة والإضافات تلقائيًا.
وأخيرًا ، أود أن أغتنم هذه الفرصة هنا لأشكر الفريق في Verizon على جميع مساعيهم في تجميع تقرير Verizon Data Breach Investigation Report (DBIR) السنوي.