Bisakah pengguna situs WordPress Anda merusak bisnis Anda?
Diterbitkan: 2021-03-23Bisakah karyawan Anda menjadi ancaman? Ya, sangat mungkin, tetapi pada dasarnya tanpa disadari.
Saya baru-baru ini menulis tentang statistik yang menyoroti sumber terbesar kerentanan WordPress.
Namun, bagian konstituen lain yang cukup besar dari infrastruktur Anda sama-sama rentan, jika tidak lebih, dan yang terlalu sering kita abaikan – pengguna kita – yang menjadi sasaran langsung oleh pelaku jahat di luar sana.
Daftar Isi
- Pelajaran yang bisa kita petik dari CIA
- Mengapa serangan? Apa yang mereka kejar?
- Dari mana, dan bagaimana mereka mendapatkan akses?
- Apa yang bisa saya lakukan tentang semua ini?
- Apa yang bisa kita pelajari dari pendekatan CIA?
- Kerahasiaan
- Mulailah dengan memperkuat proses login
- Terapkan keamanan & kebijakan kata sandi yang kuat
- Identifikasi dan klasifikasikan data yang disimpan sesuai dengan atribut privasinya
- Integritas
- Batasi izin & hak istimewa
- Simpan log perubahan pengguna
- Ketersediaan
- Mencadangkan data Anda
- Rencanakan kegagalan
- Ancaman keamanan terhadap ketersediaan data Anda
- Pemeliharaan preventif
- Kerahasiaan
- Pelatihan Pendidikan
- Bawa pulang
Pelajaran yang bisa kita petik dari CIA
Phishing dan Pretexting adalah dua taktik paling disukai yang digunakan oleh penjahat dunia maya. Serangan sosial ini menggoda pengguna Anda untuk menyerahkan kredensial login mereka bersama dengan informasi pribadi lainnya. Detail ini kemudian digunakan dalam serangan peretasan, pelanggaran pertahanan keamanan Anda, mengakses aplikasi web Anda, sistem Anda, data Anda.
Tanyakan saja Twitter, T-Mobile, Marriot, Amtrak, atau Ritz Hotel, di antara banyak lainnya. Meskipun merek-merek terkenallah yang mendapatkan semua berita utama dan perhatian, namun mengkhawatirkan untuk dicatat bahwa lebih dari satu dari empat (28%) usaha kecil menjadi sasaran langsung, dan berhasil dikompromikan.
Ini adalah beberapa wawasan yang keluar dari penelitian Verizon. Laporan Investigasi Pelanggaran Data (DBIR) mereka untuk tahun 2020 memberikan sorotan forensik mendetail tentang kebohongan, motivasi, dan metode aktor jahat. Mereka jelas mengejar satu hal – data Anda.
Tetapi ini juga memberi kami pemahaman tentang bagaimana kami dapat merencanakan pertahanan kami untuk mengurangi pelanggaran keamanan siber semacam itu.
Mengapa serangan? Apa yang mereka kejar?
Jawaban sederhananya adalah bahwa penyerang menginginkan sesuatu yang Anda miliki, dan yang bernilai– data. Hampir satu dari sembilan (86%) pelanggaran sistem yang berhasil dimotivasi oleh keuntungan finansial. Dari jumlah tersebut, mayoritas (55%) melibatkan kelompok kejahatan terorganisir, yang didefinisikan dalam laporan sebagai 'penjahat dengan proses, bukan mafia'.
“86% pelanggaran bermotivasi finansial”
“Kelompok kriminal terorganisir berada di balik 55% dari semua pelanggaran”
“70% dilakukan oleh aktor eksternal”
“30% melibatkan aktor internal”
Sama dengan yang lain, bisnis Anda menyimpan berbagai data yang diberikan kepada Anda dengan niat baik oleh pelanggan, pemasok, mitra, dan karyawan, dll. untuk memfasilitasi pemrosesan bisnis elektronik yang lancar. Sebagian besar data ini, tentu saja, bersifat pribadi dan sensitif.
Kartu kredit dan detail pembayaran lainnya, informasi identitas pribadi seperti detail Jaminan Sosial, alamat email, nomor telepon, alamat rumah, dll., dapat diambil, digunakan, dan dimonetisasi. Ingatlah bahwa ini bukan permainan untuk mereka.
Anda memiliki kewajiban untuk memastikan bahwa data ini tetap pribadi dan terlindungi. Anda juga memiliki undang-undang privasi dan kewajiban kepatuhan peraturan industri, seperti GDPR, yang menuntut agar Anda secara nyata mengambil semua tindakan yang mungkin untuk melindungi data.
Oleh karena itu, rencana respons keamanan apa pun yang diterapkan harus fokus pada perlindungan data.
Dari mana, dan bagaimana mereka mendapatkan akses?
Pelaku kriminal di luar sana tahu bahwa jika mereka bisa mendapatkan kredensial pengguna Anda, maka pekerjaan mereka menjadi lebih mudah. Oleh karena itu, tidak mengherankan jika mereka mengeluarkan upaya besar dalam serangan phishing dan pretexting yang semakin canggih, mencoba membuat pengguna Anda menyerahkan detail login sistem mereka dan informasi pribadi lainnya.
“Phishing menyumbang 22% dari semua pelanggaran data yang berhasil”
“Serangan sosial: “Tindakan sosial tiba di email 96% setiap saat.”
Aplikasi web online Anda adalah vektor serangan yang paling umum, dan penyerang mendapatkan entri dengan menggunakan kredensial login pengguna yang hilang atau dicuri, atau serangan brute force (mengeksploitasi kata sandi yang lemah).
“Aplikasi web Anda secara khusus ditargetkan di lebih dari 90% serangan – lebih dari 80% pelanggaran dalam peretasan melibatkan kekerasan atau penggunaan kredensial yang hilang atau dicuri.”
Apa yang bisa saya lakukan tentang semua ini?
Terima kasih kepada Verizon, yang telah melakukan analisis untuk kami, kami berada di posisi yang lebih baik untuk memahami ancaman dan metode. Kami sekarang dapat mulai mengambil pendekatan yang terinformasi, terukur, dan logis untuk memperkuat respons keamanan kami, menghalangi serangan ini, dan mengurangi kerusakan apa pun.
Apa yang bisa kita pelajari dari pendekatan CIA?
Sayangnya, kita tidak berbicara tentang beberapa teknologi pemukulan dunia baru yang disediakan oleh Central Intelligence Agency di sini, yang dapat kita gunakan untuk mengalahkan orang-orang jahat. Kita berbicara tentang kerangka kerja yang elegan dan fleksibel yang dapat Anda gunakan yang berfokus pada perlindungan aset utama Anda yang terancam, data Anda, yang merupakan inti dari semua ini.
Kerangka kerja CIA terdiri dari tiga prinsip dasar inti yang dirancang untuk mengurangi akses yang tidak disengaja dan berbahaya ke, dan modifikasi, data Anda, ini adalah:
- Kerahasiaan
- Integritas
- Ketersediaan
Kerahasiaan
Kerahasiaan menanyakan kepada kami tindakan apa yang dapat Anda ambil untuk memastikan keamanan data yang Anda simpan—membatasi akses karyawan hanya ke informasi yang diperlukan untuk memungkinkan mereka menjalankan peran mereka.
Ingatlah bahwa lebih dari 80% pelanggaran peretasan yang berhasil menggunakan kredensial pengguna yang hilang atau dicuri, atau serangan brute force untuk mengeksploitasi kata sandi yang lemah seperti 'admin/admin', 'pengguna/sandi', 'pengguna/12345678', dll.
Ada beberapa tindakan yang dapat Anda lakukan untuk memastikan kerahasiaan data Anda:
Mulailah dengan memperkuat proses login
Menerapkan otentikasi dua faktor. 2FA menambahkan lapisan keamanan tambahan dengan memasukkan perangkat fisik ke dalam proses login akun pengguna.
PIN satu kali yang unik, terbatas waktu, akan diperlukan oleh proses login, selain kredensial nama pengguna dan sandi standar, untuk mengizinkan akses.
Jadi, bahkan jika kredensial login dikompromikan, tanpa penyerang memiliki akses ke perangkat fisik, tindakan yang memerlukan PIN saja sudah cukup untuk menggagalkan serangan.
Terapkan keamanan & kebijakan kata sandi yang kuat
Lebih dari 35% akun pengguna akan menggunakan kata sandi yang lemah yang dapat dengan mudah diretas oleh alat serangan brute force.
Oleh karena itu, keamanan dan kebijakan kata sandi yang kuat adalah suatu keharusan. Terapkan kebijakan kekuatan kata sandi, tetapi juga riwayat kata sandi dan kebijakan kedaluwarsa. Kata sandi kuat yang sekarang Anda terapkan akan diminta kedaluwarsa tepat waktu.
Jadi, jika kredensial pengguna Anda memang dikompromikan, mereka hanya berguna selama kata sandinya valid. Oleh karena itu, mengubah kata sandi akan menggagalkan tindakan jahat apa pun di masa mendatang.
Bersama dengan metode autentikasi dua faktor, implementasi kata sandi yang kuat menghasilkan pertahanan yang sangat kuat.
Identifikasi dan klasifikasikan data yang disimpan sesuai dengan atribut privasinya
Lakukan peninjauan daftar kontrol akses saat ini untuk setiap peran, lalu tetapkan hak akses data yang diperlukan dengan tepat, menggunakan prinsip hak istimewa terkecil.
Akses ke data pribadi dan sensitif harus dibatasi berdasarkan kebutuhan untuk mengetahui dan diperlukan bagi karyawan untuk memenuhi peran mereka.
Misalnya, Perwakilan Dukungan Pelanggan Anda mungkin memerlukan akses ke riwayat pesanan, detail pengiriman, detail kontak, dll. Apakah mereka memerlukan visibilitas detail kartu kredit pelanggan, Nomor Jaminan Sosial, atau informasi sensitif lainnya, atau identitas pribadi?
Atau tanyakan pada diri Anda, apakah Anda akan memberikan saldo dan rincian rekening bank perusahaan kepada karyawan umum? Atau akun keuangan perusahaan saat ini, dan historis? Kami akan menganggap itu sebagai tidak.
Integritas
Integritas meminta kita untuk mempertimbangkan langkah-langkah apa yang dapat kita ambil untuk menjamin validitas data dengan mengontrol dan mengetahui siapa yang dapat membuat perubahan pada data, dan dalam keadaan apa. Untuk memastikan integritas data Anda:
Batasi izin & hak istimewa
Batasi izin pengguna Anda, dengan fokus pada item data mana yang mungkin memerlukan modifikasi.
Sebagian besar data Anda tidak akan pernah, atau sangat jarang, memerlukan modifikasi. Kadang-kadang disebut Prinsip Hak Istimewa Terkecil, ini adalah salah satu praktik terbaik keamanan yang paling efektif, dan yang biasanya diabaikan tetapi mudah diterapkan.
Dan jika serangan berhasil mengakses akun sistem Anda, dengan menerapkan izin terbatas pada data, pelanggaran data apa pun dan kerusakan yang diakibatkannya akan dibatasi.
Simpan log perubahan pengguna
Jika perubahan dilakukan pada data yang ada, bagaimana Anda mengetahui perubahan apa, kapan, dan oleh siapa? Bisakah Anda yakin? Apakah modifikasi tersebut sah dan sah?
Memiliki log aktivitas yang komprehensif dan real-time akan memberi Anda visibilitas penuh dari semua tindakan yang dilakukan di semua sistem WordPress Anda dan merupakan dasar untuk praktik keamanan yang baik.
Selain itu, pengarsipan dan pelaporan pada setiap, dan semua, aktivitas, akan membantu Anda mematuhi undang-undang privasi dan kewajiban kepatuhan terhadap peraturan di yurisdiksi Anda.
Ketersediaan
Ketersediaan memaksa kami untuk fokus menjaga agar data kami siap dan dapat diakses dengan andal. Dengan demikian, memastikan bahwa bisnis terus berjalan tanpa gangguan, memungkinkan karyawan untuk melakukan tugas mereka, pelanggan Anda melakukan pemesanan, dan Anda dapat memenuhi dan mengirimkan pesanan tersebut dengan cara yang aman.
Waktu henti bukan hanya tentang potensi hilangnya pendapatan, tetapi juga tentang erosi kepercayaan dari pengguna, pelanggan, pelanggan, mitra, dan karyawan Anda, yang diakibatkan oleh sistem Anda tidak tersedia.
Mencadangkan data Anda
Cadangkan data Anda secara teratur, pertimbangkan juga untuk menyimpan cadangan ini di luar kantor. Berikut adalah artikel bagus yang mengembangkan tema ini dan membahas Risiko Keamanan Menyimpan File Cadangan WordPress & File Lama Di Tempat.
Rencanakan kegagalan
Tinjau komponen infrastruktur yang diandalkan oleh bisnis Anda; jaringan, server, aplikasi, dll. dan memiliki rencana tindakan perbaikan, jadi jika salah satu elemen integral ini, baik secara individual, atau kolektif gagal, Anda dapat dengan cepat pulih.
Anda mungkin menggunakan perusahaan hosting tempat Anda menyimpan situs web WordPress Anda, dan yang akan menangani banyak tugas ini atas nama Anda. Namun, penting untuk mengajukan pertanyaan yang relevan untuk memastikan proses dan tingkat layanan yang mereka berikan kepada Anda dan apakah mereka sesuai dengan kebutuhan bisnis Anda.
Misalnya, coba pulihkan cadangan WordPress Anda, uji sistem keamanan Anda, dan simulasikan proses pemulihan bencana.
Ancaman keamanan terhadap ketersediaan data Anda
Dari perspektif keamanan, ancaman #1 dari semua insiden yang dicatat dalam laporan adalah serangan Distributed Denial of Service (DDoS), yang dirancang terutama untuk gangguan, dan bukan upaya untuk mendapatkan akses (peretasan).
Banyak perusahaan hosting WordPress memberikan pertahanan yang memadai untuk jenis serangan ini. Namun, selalu bijaksana untuk menyelidiki layanan keamanan perimeter apa yang mereka tawarkan dan apakah tindakan ini cukup atau apakah Anda harus memperkuat pertahanan Anda.
Pemeliharaan preventif
Pemeliharaan memainkan peran penting dalam Ketersediaan, memastikan bahwa situs web WordPress Anda dan plugin terkait diperbarui secara tepat waktu, idealnya otomatis, untuk memperbaiki kerentanan yang diketahui, menghasilkan pertahanan keamanan yang lebih kuat.
Pelatihan Pendidikan
Seperti yang pernah dikatakan oleh Benjamin Franklin 'satu ons pencegahan bernilai satu pon pengobatan', yang sama benarnya hari ini seperti dulu.
Dan mendidik pengguna Anda tentang potensi jebakan dan mengidentifikasi ancaman yang ada, adalah tindakan pencegahan yang penting.
- Ajarkan pelatihan yang relevan untuk karyawan, mendidik mereka tentang pentingnya kebijakan keamanan yang ditentukan, dan mengapa perusahaan menerapkan kebijakan tersebut.
- Bantu mereka memahami risiko keamanan, dengan fokus khusus pada ancaman sosial seperti Phishing dan Pretexting yang telah kita bahas. Mereka akan berterima kasih untuk itu!
Bawa pulang
Tampaknya jauh lebih mudah untuk memberi pengguna akses ke segala sesuatu, yang memastikan bahwa mereka akan selalu memiliki akses ke informasi yang mereka butuhkan dan banyak yang tidak. Tingkat izin ini sering diberikan kepada pengguna untuk menghindari permintaan potensial untuk mengubah hak akses dan hak istimewa. Tapi itu tidak penting.
Dengan menerapkan rekomendasi CIA, Anda akan melangkah jauh untuk mengurangi dan membatasi kerusakan apa pun jika terjadi pelanggaran sistem dengan membatasi akses (kerahasiaan), dan modifikasi (integritas), ke data pribadi dan sensitif. Dan membantu Anda memenuhi kewajiban hukum dan kepatuhan Anda.
- Kata Sandi Kuat; mengurangi keberhasilan serangan brute force.
- Otentikasi Dua Faktor; menghambat penggunaan kredensial yang dicuri
- Prinsip Hak Istimewa Terkecil; membatasi akses ke data berdasarkan kebutuhan untuk mengetahui, dan membatasi modifikasi data tersebut.
- Pencatatan aktivitas; memberi Anda informasi tentang akses, modifikasi, dan perubahan sistem apa pun.
- Pastikan bahwa semua sistem dan plugin selalu diperbarui secara otomatis.
Dan akhirnya, saya ingin mengambil kesempatan di sini untuk berterima kasih kepada tim di Verizon atas semua upaya mereka dalam menyusun Laporan Investigasi Pelanggaran Data Verizon tahunan (DBIR).