Können die Benutzer Ihrer WordPress-Website Ihrem Unternehmen schaden?
Veröffentlicht: 2021-03-23Können Ihre Mitarbeiter eine Bedrohung darstellen? Ja, durchaus möglich, aber in der Hauptsache unwissentlich.
Ich habe kürzlich über die Statistiken geschrieben, die die größte Quelle von WordPress-Schwachstellen hervorheben.
Ein weiterer beträchtlicher Bestandteil Ihrer Infrastruktur ist jedoch ebenso anfällig, wenn nicht noch mehr, und den wir allzu oft übersehen – unsere Benutzer – die direkt von den schlechten Akteuren da draußen ins Visier genommen werden.
Inhaltsverzeichnis
- Lektionen, die wir von der CIA lernen können
- Warum die Angriffe? Was wollen sie?
- Von wo und wie erhalten sie Zugang?
- Was kann ich dagegen tun?
- Was können wir aus dem CIA-Ansatz lernen?
- Vertraulichkeit
- Beginnen Sie damit, den Anmeldeprozess zu stärken
- Setzen Sie starke Passwortsicherheit und -richtlinien durch
- Identifizieren und klassifizieren Sie die gespeicherten Daten hinsichtlich ihrer Datenschutzattribute
- Integrität
- Beschränken Sie die Berechtigungen und Privilegien
- Führen Sie ein Protokoll der Benutzeränderungen
- Verfügbarkeit
- Sichern Sie Ihre Daten
- Planen Sie Fehler ein
- Sicherheitsbedrohungen für Ihre Datenverfügbarkeit
- Vorbeugende Wartung
- Vertraulichkeit
- Bildung, Ausbildung
- Imbiss
Lektionen, die wir von der CIA lernen können
Phishing und Pretexting sind zwei der beliebtesten Taktiken von Cyberkriminellen. Diese sozialen Angriffe verleiten Ihre Benutzer dazu, ihre Anmeldeinformationen zusammen mit anderen persönlichen Informationen preiszugeben. Diese Details werden dann für Hacking-Angriffe verwendet, um Ihre Sicherheitsabwehr zu durchbrechen, auf Ihre Webanwendungen, Ihre Systeme und Ihre Daten zuzugreifen.
Fragen Sie einfach Twitter, T-Mobile, Marriott, Amtrak oder das Ritz Hotel, unter vielen anderen. Während es die erkennbaren Marken sind, die alle Schlagzeilen und Aufmerksamkeit erhalten, ist es alarmierend festzustellen, dass mehr als eines von vier (28 %) kleinen Unternehmen direkt angegriffen und erfolgreich kompromittiert werden.
Dies sind einige Erkenntnisse aus der Forschung von Verizon. Ihr Data Breach Investigations Report (DBIR) für 2020 wirft ein detailliertes forensisches Suchlicht auf die Verlogenheit, die Beweggründe und die Methoden der böswilligen Akteure. Sie haben es eindeutig auf eines abgesehen – Ihre Daten.
Aber es gibt uns auch ein Verständnis dafür, wie wir unsere Abwehrmaßnahmen planen können, um solche Cybersicherheitsverletzungen abzuwehren.
Warum die Angriffe? Was wollen sie?
Die einfache Antwort ist, dass die Angreifer etwas wollen, das Sie haben und das wertvoll ist – Daten. Fast jeder neunte (86 %) erfolgreiche Systemverstoß ist durch finanziellen Gewinn motiviert. Bei der Mehrheit (55 %) handelt es sich um organisierte kriminelle Gruppen, die im Bericht als „Verbrecher mit einem Prozess, nicht als Mafia“ definiert werden.
„86 % der Verstöße waren finanziell motiviert“
„Organisierte kriminelle Gruppen steckten hinter 55 % aller Verstöße“
„70 % von externen Akteuren begangen“
„30 % beteiligte interne Akteure“
Gemeinsam mit anderen verfügt Ihr Unternehmen über verschiedene Daten, die Ihnen von Kunden, Lieferanten, Partnern und Mitarbeitern usw. aus Kulanz zur Verfügung gestellt werden, um eine reibungslose elektronische Geschäftsabwicklung zu ermöglichen. Viele dieser Daten sind natürlich privat und sensibel.
Kreditkarten- und andere Zahlungsdetails, persönlich identifizierbare Informationen wie Sozialversicherungsdaten, E-Mail-Adressen, Telefonnummern, Wohnadressen usw. können gesammelt, verwendet und zu Geld gemacht werden. Denken Sie daran, dass dies kein Spiel für sie ist.
Sie sind verpflichtet sicherzustellen, dass diese Daten privat und geschützt bleiben. Sie haben auch Datenschutzgesetze und branchenspezifische Compliance-Verpflichtungen, wie z. B. die DSGVO, die verlangt, dass Sie nachweislich alle möglichen Maßnahmen zum Schutz von Daten ergreifen.
Daher muss sich jeder eingeführte Sicherheitsreaktionsplan auf den Schutz von Daten konzentrieren.
Von wo und wie erhalten sie Zugang?
Die kriminellen Akteure da draußen wissen, dass ihre Arbeit viel einfacher wird, wenn sie die Zugangsdaten Ihrer Benutzer in die Hände bekommen können. Daher sollte es nicht überraschen, dass sie große Anstrengungen in immer ausgefeilteren Phishing- und Pretexting-Angriffen unternehmen, um Ihre Benutzer dazu zu bringen, ihre System-Anmeldedaten und andere persönliche Informationen preiszugeben.
„Phishing macht 22 % aller erfolgreichen Datenschutzverletzungen aus“
„Soziale Angriffe: „Soziale Aktionen kamen in 96 % der Fälle per E-Mail.“
Ihre Online-Webanwendungen sind der häufigste Angriffsvektor, und Angreifer verschaffen sich Zugang, indem sie verlorene oder gestohlene Benutzeranmeldeinformationen oder Brute-Force-Angriffe (Ausnutzung schwacher Passwörter) verwenden.
„Ihre Webanwendungen wurden bei über 90 % der Angriffe gezielt angegriffen – über 80 % der Verstöße beim Hacken beinhalten Brute Force oder die Verwendung verlorener oder gestohlener Zugangsdaten.“
Was kann ich dagegen tun?
Dank Verizon, das die Analyse für uns durchgeführt hat, sind wir besser positioniert, um die Bedrohungen und Methoden zu verstehen. Wir können jetzt damit beginnen, einen informierten, maßvollen und logischen Ansatz zu verfolgen, um unsere Sicherheitsreaktionen zu verstärken, diese Angriffe abzuwehren und jeglichen Schaden zu mindern.
Was können wir aus dem CIA-Ansatz lernen?
Leider sprechen wir hier nicht über eine neue, weltbeste Technologie, die von der Central Intelligence Agency bereitgestellt wird, die wir verwenden können, um die Bösewichte zu schlagen. Wir sprechen von einem eleganten und flexiblen Framework, das Sie verwenden können und das sich auf den Schutz Ihres bedrohten Hauptgutes, Ihrer Daten, konzentriert, und darum geht es hier.
Das CIA-Framework umfasst drei grundlegende Grundprinzipien, die darauf ausgelegt sind, den versehentlichen und böswilligen Zugriff auf und die Änderung Ihrer Daten zu mindern:
- Vertraulichkeit
- Integrität
- Verfügbarkeit
Vertraulichkeit
Vertraulichkeit fragt uns, welche Maßnahmen Sie ergreifen können, um die Sicherheit der von Ihnen gespeicherten Daten zu gewährleisten – indem Sie den Zugriff der Mitarbeiter auf nur die Informationen beschränken, die erforderlich sind, damit sie ihre Aufgaben erfüllen können.
Denken Sie daran, dass über 80 % der erfolgreichen Hacking-Verletzungen entweder verlorene oder gestohlene Benutzeranmeldeinformationen oder Brute-Force-Angriffe verwendeten, um schwache Passwörter wie "admin/admin", "user/password", "user/12345678" usw. auszunutzen.
Es gibt mehrere Maßnahmen, die Sie ergreifen können, um die Vertraulichkeit Ihrer Daten zu gewährleisten:
Beginnen Sie damit, den Anmeldeprozess zu stärken
Implementieren Sie die Zwei-Faktor-Authentifizierung. 2FA fügt eine zusätzliche Sicherheitsebene hinzu, indem ein physisches Gerät in den Anmeldeprozess des Benutzerkontos integriert wird.
Für den Anmeldevorgang wird neben dem Standard-Benutzernamen und -Passwort eine eindeutige, zeitlich begrenzte Einmal-PIN benötigt, um den Zugriff zu ermöglichen.
Selbst wenn also die Anmeldeinformationen kompromittiert werden, ohne dass der Angreifer Zugriff auf das physische Gerät hat, reicht die Eingabe der PIN aus, um den Angriff zu vereiteln.
Setzen Sie starke Passwortsicherheit und -richtlinien durch
Über 35 % der Benutzerkonten verwenden schwache Passwörter, die leicht von Brute-Force-Angriffstools geknackt werden können.
Daher sind starke Passwortsicherheit und Richtlinien ein Muss. Implementieren Sie Richtlinien zur Passwortstärke, aber auch Richtlinien zum Passwortverlauf und zum Ablauf. Diese starken Passwörter, die Sie jetzt durchgesetzt haben, müssen rechtzeitig ablaufen.
Sollten also die Zugangsdaten Ihrer Benutzer tatsächlich kompromittiert sein, sind sie nur so lange nützlich, wie das Passwort gültig ist. Das Ändern des Passworts wird daher alle zukünftigen böswilligen Aktionen vereiteln.
Zusammen mit der Zwei-Faktor-Authentifizierungsmethode sorgt die starke Passwortimplementierung für einen beträchtlich robusten Schutz.
Identifizieren und klassifizieren Sie die gespeicherten Daten hinsichtlich ihrer Datenschutzattribute
Führen Sie eine Überprüfung der aktuellen Zugriffskontrolllisten für jede Rolle durch und weisen Sie dann die erforderlichen Datenzugriffsrechte entsprechend nach dem Prinzip der geringsten Rechte zu.
Der Zugriff auf private und sensible Daten sollte auf der Grundlage des Need-to-know-Prinzips beschränkt werden und für einen Mitarbeiter erforderlich sein, um seine Rolle zu erfüllen.
Beispielsweise benötigt Ihr Kundendienstmitarbeiter möglicherweise Zugriff auf den Bestellverlauf, Versanddetails, Kontaktdaten usw. Benötigt er Einblick in die Kreditkartendaten, die Sozialversicherungsnummer oder andere sensible oder persönlich identifizierende Informationen des Kunden?
Oder fragen Sie sich, würden Sie allgemeinen Mitarbeitern den Bankkontostand und die Details des Unternehmens mitteilen? Oder die aktuellen und historischen Finanzkonten des Unternehmens? Wir nehmen das dann als Nein.
Integrität
Integrity fordert uns auf, zu prüfen, welche Schritte wir unternehmen können, um die Gültigkeit der Daten zu gewährleisten, indem wir kontrollieren und wissen, wer unter welchen Umständen Änderungen an den Daten vornehmen kann. Um die Integrität Ihrer Daten zu gewährleisten:
Beschränken Sie die Berechtigungen und Privilegien
Schränken Sie die Berechtigungen Ihrer Benutzer ein und konzentrieren Sie sich darauf, welche Datenelemente geändert werden müssen.
Viele Ihrer Daten müssen nie oder nur sehr selten geändert werden. Manchmal auch als Prinzip der geringsten Rechte bezeichnet, ist es eine der effektivsten Best Practices für Sicherheit, die häufig übersehen, aber leicht angewendet wird.
Und sollte ein Angriff erfolgreich auf Ihre Systemkonten zugreifen, würden durch die Implementierung restriktiver Berechtigungen für die Daten jede Datenverletzung und der daraus resultierende Schaden begrenzt.
Führen Sie ein Protokoll der Benutzeränderungen
Wenn Änderungen an den vorhandenen Daten vorgenommen wurden, woher wissen Sie, welche Änderungen wann und von wem vorgenommen wurden? Konnten Sie sicher sein? War die Änderung autorisiert und gültig?
Ein umfassendes Aktivitätsprotokoll in Echtzeit gibt Ihnen volle Transparenz über alle Aktionen, die in all Ihren WordPress-Systemen durchgeführt werden, und ist von grundlegender Bedeutung für gute Sicherheitspraktiken.
Außerdem hilft Ihnen die Archivierung und Berichterstattung zu sämtlichen Aktivitäten, die Datenschutzgesetze und behördlichen Compliance-Verpflichtungen in Ihrer Gerichtsbarkeit einzuhalten.
Verfügbarkeit
Die Verfügbarkeit zwingt uns, uns darauf zu konzentrieren, unsere Daten leicht und zuverlässig zugänglich zu halten. Auf diese Weise wird sichergestellt, dass der Geschäftsbetrieb ununterbrochen fortgesetzt wird, die Mitarbeiter in die Lage versetzt werden, ihre Aufgaben zu erfüllen, Ihre Kunden ihre Bestellungen aufgeben und Sie diese Bestellungen auf sichere Weise ausführen und versenden können.
Bei Ausfallzeiten geht es nicht nur um potenzielle Umsatzeinbußen, sondern auch um die Erosion des Vertrauens Ihrer Benutzer, Abonnenten, Kunden, Partner und Mitarbeiter, da Ihre Systeme nicht verfügbar sind.
Sichern Sie Ihre Daten
Sichern Sie Ihre Daten regelmäßig, erwägen Sie auch, diese Sicherungen extern zu speichern. Hier ist ein guter Artikel, der dieses Thema entwickelt und die Sicherheitsrisiken beim Speichern von WordPress-Sicherungsdateien und alten Dateien vor Ort erörtert.
Planen Sie Fehler ein
Überprüfen Sie die Infrastrukturkomponenten, auf die sich Ihr Unternehmen stützt; Netzwerke, Server, Anwendungen usw. und verfügen über einen Aktionsplan zur Behebung, sodass Sie sich schnell erholen können, wenn eines dieser integralen Elemente, entweder einzeln oder insgesamt, ausfällt.
Möglicherweise verwenden Sie ein Hosting-Unternehmen, bei dem Sie Ihre WordPress-Website hosten und das viele dieser Aufgaben in Ihrem Namen übernimmt. Es ist jedoch wichtig, die relevanten Fragen zu stellen, um festzustellen, welche Prozesse und Serviceniveaus sie Ihnen bieten und ob sie Ihren Geschäftsanforderungen entsprechen.
Versuchen Sie beispielsweise, Ihre WordPress-Backups wiederherzustellen, testen Sie Ihre Sicherheitssysteme und simulieren Sie einen Disaster-Recovery-Prozess.
Sicherheitsbedrohungen für Ihre Datenverfügbarkeit
Aus Sicherheitssicht ist die Bedrohung Nr. 1 aller im Bericht erfassten Vorfälle die eines Distributed Denial of Service (DDoS)-Angriffs, der hauptsächlich auf Störungen und nicht auf den Versuch, sich Zugang zu verschaffen (Hacking), ausgelegt ist.
Viele der WordPress-Hosting-Unternehmen bieten angemessene Abwehrmaßnahmen gegen diese Art von Angriffen. Dennoch ist es immer ratsam zu prüfen, welche Perimeter-Sicherheitsdienste sie anbieten und ob diese Maßnahmen ausreichen oder ob Sie Ihre Abwehr verstärken sollten.
Vorbeugende Wartung
Die Wartung spielt eine entscheidende Rolle bei der Verfügbarkeit und stellt sicher, dass Ihre WordPress-Website und die zugehörigen Plugins rechtzeitig, idealerweise automatisch, aktualisiert werden, um alle bestehenden bekannten Schwachstellen zu beheben, was zu robusteren Sicherheitsmaßnahmen führt.
Bildung, Ausbildung
Wie Benjamin Franklin einmal bemerkte: „Vorbeugung ist ein Pfund Heilung wert“, was heute so wahr ist wie eh und je.
Und die Aufklärung Ihrer Benutzer über potenzielle Fallstricke und die Identifizierung vorhandener Bedrohungen ist eine wichtige Präventivmaßnahme.
- Richten Sie entsprechende Schulungen für Mitarbeiter ein, informieren Sie sie über die Bedeutung der vorgeschriebenen Sicherheitsrichtlinien und warum das Unternehmen solche Richtlinien eingeführt hat.
- Helfen Sie ihnen, die Sicherheitsrisiken zu verstehen, mit besonderem Fokus auf soziale Bedrohungen wie Phishing und Pretexting, die wir besprochen haben. Sie werden es Ihnen danken!
Imbiss
Es mag viel einfacher erscheinen, Benutzern Zugriff auf alles zu geben, was sicherstellt, dass sie immer Zugriff auf die Informationen haben, die sie benötigen, und auf vieles, was sie nicht haben. Diese Berechtigungsebene wird Benutzern häufig gewährt, um potenzielle Anfragen zur Änderung von Zugriffsrechten und Privilegien abzuwehren. Aber das geht an der Sache vorbei.
Durch die Umsetzung der CIA-Empfehlungen werden Sie einen großen Beitrag zur Minderung und Begrenzung von Schäden im Falle einer Systemverletzung leisten, indem Sie den Zugriff (Vertraulichkeit) und die Änderung (Integrität) auf private und sensible Daten einschränken . Und helfen Ihnen, Ihre gesetzlichen und Compliance-Verpflichtungen zu erfüllen.
- Starke Passwörter; verringert den Erfolg von Brute-Force-Angriffen.
- Zwei-Faktor-Authentifizierung; behindert die Verwendung gestohlener Anmeldeinformationen
- Prinzip des geringsten Privilegs; schränkt den Zugriff auf Daten auf Need-to-know-Basis ein und beschränkt die Änderung solcher Daten.
- Aktivitätsprotokollierung; hält Sie über Zugriffe, Änderungen und Systemänderungen auf dem Laufenden.
- Stellen Sie sicher, dass alle Systeme und Plugins automatisch auf dem neuesten Stand gehalten werden.
Abschließend möchte ich hier die Gelegenheit nutzen, dem Team von Verizon für all seine Bemühungen bei der Zusammenstellung des jährlichen Verizon Data Breach Investigations Report (DBIR) zu danken.