Gli utenti del tuo sito Web WordPress possono danneggiare la tua attività?
Pubblicato: 2021-03-23I tuoi dipendenti possono essere una minaccia? Sì, molto probabilmente, ma principalmente inconsapevolmente.
Ho scritto di recente sulle statistiche che evidenziano la più grande fonte di vulnerabilità di WordPress.
Tuttavia, un'altra parte importante della tua infrastruttura è ugualmente vulnerabile, se non di più, e che troppo spesso trascuriamo – i nostri utenti – che vengono presi di mira direttamente dai malintenzionati là fuori.
Sommario
- Lezioni che possiamo imparare dalla CIA
- Perché gli attacchi? Cosa cercano?
- Da dove e come ottengono l'accesso?
- Cosa posso fare per tutto questo?
- Cosa possiamo imparare dall'approccio della CIA?
- Riservatezza
- Inizia rafforzando il processo di accesso
- Applica una forte sicurezza e policy delle password
- Identificare e classificare i dati archiviati in base ai loro attributi di privacy
- Integrità
- Limita i permessi e i privilegi
- Tieni un registro delle modifiche dell'utente
- Disponibilità
- Backup dei tuoi dati
- Pianifica i fallimenti
- Minacce alla sicurezza per la disponibilità dei tuoi dati
- Manutenzione preventiva
- Riservatezza
- Istruzione, formazione
- Asporto
Lezioni che possiamo imparare dalla CIA
Phishing e Pretexting sono due delle tattiche più utilizzate dai criminali informatici. Questi attacchi social inducono i tuoi utenti a rinunciare alle proprie credenziali di accesso insieme ad altre informazioni personali. Questi dettagli vengono quindi utilizzati negli attacchi di hacking, violando le tue difese di sicurezza, accedendo alle tue applicazioni web, ai tuoi sistemi, ai tuoi dati.
Basta chiedere a Twitter, T-Mobile, Marriot, Amtrak o al Ritz Hotel, tra una miriade di altri. Sebbene siano i marchi riconoscibili a ottenere tutti i titoli dei giornali e l'attenzione, è allarmante notare che oltre una piccola impresa su quattro (28%) è presa di mira direttamente e compromessa con successo.
Questi sono alcuni spunti che emergono dalla ricerca di Verizon. Il loro rapporto sulle indagini sulla violazione dei dati (DBIR) per il 2020 lancia un riflettore forense dettagliato sulla menzogna, le motivazioni e i metodi degli attori malintenzionati. Stanno chiaramente cercando una cosa: i tuoi dati.
Ma ci dà anche una comprensione di come potremmo pianificare le nostre difese per mitigare tali violazioni della sicurezza informatica.
Perché gli attacchi? Cosa cercano?
La semplice risposta è che gli aggressori vogliono qualcosa che hai e che è di valore: dati. Quasi uno su nove (86%) delle violazioni del sistema riuscite è motivato da un guadagno finanziario. Di questi, la maggioranza (55%) coinvolge gruppi della criminalità organizzata, definiti nel rapporto come 'un criminale con un processo, non la mafia'.
"L'86% delle violazioni era motivato finanziariamente"
"I gruppi criminali organizzati erano dietro il 55% di tutte le violazioni"
“70% perpetrato da attori esterni”
“Il 30% ha coinvolto attori interni”
In comune con altri, la tua azienda conserva vari dati che ti sono stati forniti di buona volontà da clienti, fornitori, partner e dipendenti, ecc. per facilitare l'elaborazione del business elettronico senza intoppi. Gran parte di questi dati sono, ovviamente, privati e sensibili.
È possibile raccogliere, utilizzare e monetizzare i dettagli della carta di credito e altri dati di pagamento, le informazioni di identificazione personale come i dettagli della previdenza sociale, gli indirizzi e-mail, i numeri di telefono, gli indirizzi di casa, ecc. Ricorda che questo non è un gioco per loro.
Hai il dovere di garantire che questi dati rimangano privati e protetti. Hai anche la legislazione sulla privacy e gli obblighi di conformità alle normative del settore, come il GDPR, che richiede che tu adotti in modo dimostrabile tutte le misure possibili per salvaguardare i dati.
Pertanto, qualsiasi piano di risposta alla sicurezza messo in atto deve concentrarsi sulla protezione dei dati.
Da dove e come ottengono l'accesso?
Gli attori criminali là fuori sanno che se riescono a mettere le mani sulle credenziali dei tuoi utenti, il loro lavoro sarà molto più semplice. Pertanto, non dovrebbe sorprendere che spendano grandi sforzi in attacchi di phishing e pretesto sempre più sofisticati, cercando di convincere gli utenti a rinunciare ai propri dati di accesso al sistema e ad altre informazioni personali.
"Il phishing rappresenta il 22% di tutte le violazioni dei dati riuscite"
"Attacchi social: "Le azioni social sono arrivate tramite e-mail il 96% delle volte".
Le tue applicazioni Web online sono il vettore di attacco più comune e gli aggressori ottengono l'accesso utilizzando le credenziali di accesso dell'utente perse o rubate o attacchi di forza bruta (sfruttando password deboli).
"Le tue applicazioni Web sono state prese di mira in modo specifico in oltre il 90% degli attacchi: oltre l'80% delle violazioni all'interno dell'hacking coinvolge la forza bruta o l'uso di credenziali perse o rubate".
Cosa posso fare per tutto questo?
Grazie a Verizon, che ha svolto l'analisi per noi, siamo in una posizione migliore per comprendere le minacce e i metodi. Ora possiamo iniziare ad adottare un approccio informato, misurato e logico per rafforzare le nostre risposte di sicurezza, ostacolare questi attacchi e mitigare eventuali danni.
Cosa possiamo imparare dall'approccio della CIA?
Ahimè, qui non stiamo parlando di una nuova tecnologia all'avanguardia fornita dalla Central Intelligence Agency, che possiamo usare per sconfiggere i cattivi. Stiamo parlando di un framework elegante e flessibile che puoi utilizzare che si concentra sulla protezione della tua risorsa principale minacciata, i tuoi dati, che è tutto questo.
Il framework CIA comprende tre principi fondamentali di base progettati per mitigare l'accesso accidentale e dannoso e la modifica dei tuoi dati, questi sono:
- Riservatezza
- Integrità
- Disponibilità
Riservatezza
La riservatezza ci chiede quali misure puoi adottare per garantire la sicurezza dei dati in tuo possesso, limitando l'accesso dei dipendenti alle sole informazioni necessarie per consentire loro di svolgere i propri ruoli.
Ricorda che oltre l'80% delle violazioni di hacking riuscite ha utilizzato credenziali utente perse o rubate o attacchi di forza bruta per sfruttare password deboli come 'admin/admin', 'user/password', 'user/12345678', ecc.
Ci sono diverse azioni che puoi intraprendere per garantire la riservatezza dei tuoi dati:
Inizia rafforzando il processo di accesso
Implementare l'autenticazione a due fattori. 2FA aggiunge un ulteriore livello di sicurezza incorporando un dispositivo fisico nel processo di accesso dell'account utente.
Il processo di accesso richiederà un PIN univoco, limitato nel tempo e una tantum, oltre alle credenziali standard di nome utente e password, per consentire l'accesso.
Quindi, anche in caso di compromissione delle credenziali di accesso, senza che l'attaccante abbia accesso al dispositivo fisico, basterà solo l'atto di richiedere il PIN per sventare l'attacco.
Applica una forte sicurezza e policy delle password
Oltre il 35% degli account utente utilizzerà password deboli che possono essere facilmente violate da strumenti di attacco di forza bruta.
Pertanto, una forte sicurezza delle password e politiche sono un must. Implementa criteri di sicurezza delle password, ma anche criteri di cronologia e scadenza delle password. Queste password complesse che hai ora imposto dovranno scadere in modo tempestivo.
Quindi, se le credenziali dei tuoi utenti vengono effettivamente compromesse, sono utili solo finché la password è valida. La modifica della password, pertanto, vanificherà qualsiasi futura azione dannosa.
Insieme al metodo di autenticazione a due fattori, l'implementazione di una password forte garantisce una difesa considerevolmente solida.
Identificare e classificare i dati archiviati in base ai loro attributi di privacy
Esegui una revisione degli elenchi di controllo di accesso correnti per ciascun ruolo, quindi assegna i privilegi di accesso ai dati richiesti in modo appropriato, utilizzando il principio del privilegio minimo.
L'accesso ai dati privati e sensibili dovrebbe essere limitato in base alla necessità di conoscenza e necessario affinché un dipendente possa svolgere il proprio ruolo.
Ad esempio, il rappresentante dell'assistenza clienti potrebbe aver bisogno di accedere alla cronologia degli ordini, ai dettagli di spedizione, ai dettagli di contatto, ecc. Hanno bisogno della visibilità dei dettagli della carta di credito dei clienti, del numero di previdenza sociale o di altre informazioni sensibili o di identificazione personale?
Oppure chiediti, forniresti ai dipendenti generali il saldo del conto bancario e i dettagli dell'azienda? O i conti finanziari correnti e storici dell'azienda? Lo prenderemo come un no allora.
Integrità
Integrity ci chiede di considerare quali passi possiamo intraprendere per garantire la validità dei dati controllando e sapendo chi può apportare modifiche ai dati e in quali circostanze. Per garantire l'integrità dei tuoi dati:
Limita i permessi e i privilegi
Limita le autorizzazioni dei tuoi utenti, concentrandoti su quali elementi di dati potrebbero richiedere modifiche.
Gran parte dei tuoi dati non richiederà mai, o molto raramente, modifiche. A volte chiamato Principio dei privilegi minimi, è una delle migliori pratiche di sicurezza più efficaci e comunemente trascurata ma di facile applicazione.
E se un attacco dovesse accedere con successo ai tuoi account di sistema, implementando autorizzazioni restrittive sui dati, qualsiasi violazione dei dati e qualsiasi danno risultante sarebbe limitato.
Tieni un registro delle modifiche dell'utente
Se venissero apportate modifiche ai dati esistenti, come sapresti quali modifiche, quando e da chi? Potresti essere sicuro? La modifica è stata autorizzata e valida?
Avere un registro delle attività completo e in tempo reale ti darà piena visibilità di tutte le azioni eseguite su tutti i tuoi sistemi WordPress ed è fondamentale per una buona pratica di sicurezza.
Inoltre, l'archiviazione e la segnalazione di qualsiasi e tutte le attività ti aiuteranno a rispettare le leggi sulla privacy e gli obblighi di conformità normativa nella tua giurisdizione.
Disponibilità
La disponibilità ci costringe a concentrarci sulla conservazione dei nostri dati prontamente e in modo affidabile accessibili. Assicurando così che l'attività continui ininterrotta, consentendo ai dipendenti di svolgere i propri compiti, i tuoi clienti effettuano i loro ordini e tu puoi evadere e spedire quegli ordini, in modo sicuro.
I tempi di inattività non riguardano solo la potenziale perdita di entrate, ma anche l'erosione della fiducia da parte di utenti, abbonati, clienti, partner e dipendenti, derivante dall'indisponibilità dei sistemi.
Backup dei tuoi dati
Esegui regolarmente il backup dei tuoi dati, valuta anche la possibilità di archiviare questi backup fuori sede. Ecco un buon articolo che sviluppa questo tema e discute i rischi per la sicurezza dell'archiviazione in loco di file di backup e vecchi file di WordPress.
Pianifica i fallimenti
Esamina i componenti dell'infrastruttura su cui fa affidamento la tua azienda; reti, server, applicazioni, ecc. e dispongono di un piano d'azione correttivo, quindi se uno qualsiasi di questi elementi integrali, singolarmente o collettivamente, si guasta, è possibile ripristinarlo rapidamente.
Potresti benissimo utilizzare una società di hosting in cui ospiti il tuo sito Web WordPress e che gestirà molte di queste attività per tuo conto. Tuttavia, è essenziale porre le domande pertinenti per accertare i processi e i livelli di servizio che ti forniscono e se soddisfano i tuoi requisiti aziendali.
Ad esempio, prova a ripristinare i backup di WordPress, testa i sistemi di sicurezza e simula un processo di ripristino di emergenza.
Minacce alla sicurezza per la disponibilità dei tuoi dati
Dal punto di vista della sicurezza, la minaccia numero 1 di tutti gli incidenti registrati nel rapporto è quella di un attacco DDoS (Distributed Denial of Service), progettato principalmente per interrompere e non un tentativo di ottenere l'accesso (hacking).
Molte delle società di hosting WordPress forniscono difese adeguate a questi tipi di attacchi. Tuttavia, è sempre prudente indagare su quali servizi di sicurezza perimetrale offrono e se queste misure sono sufficienti o se è necessario rafforzare le proprie difese.
Manutenzione preventiva
La manutenzione svolge un ruolo cruciale nella disponibilità, assicurando che il tuo sito Web WordPress e i plug-in associati vengano aggiornati in modo tempestivo, idealmente automatico, per correggere eventuali vulnerabilità note esistenti, con conseguenti difese di sicurezza più solide.
Istruzione, formazione
Come osservò una volta Benjamin Franklin "un'oncia di prevenzione vale una libbra di cura", il che è vero oggi come non lo è mai stato.
E istruire gli utenti sulle potenziali insidie e identificare le minacce che esistono è una misura preventiva fondamentale.
- Istituire una formazione pertinente per i dipendenti, istruirli sull'importanza delle politiche di sicurezza prescritte e sul motivo per cui l'azienda ha implementato tali politiche.
- Aiutali a comprendere i rischi per la sicurezza, con particolare attenzione alle minacce sociali come phishing e pretesto di cui abbiamo discusso. Ti ringrazieranno per questo!
Asporto
Può sembrare molto più semplice dare agli utenti l'accesso a tutto, il che garantisce che avranno sempre accesso alle informazioni di cui hanno bisogno e molto altro che non hanno. Questo livello di autorizzazione viene spesso concesso agli utenti per evitare potenziali richieste di modifica dei diritti e dei privilegi di accesso. Ma questo non ha senso.
Implementando le raccomandazioni della CIA, farai molto per mitigare e limitare eventuali danni in caso di violazione del sistema limitando qualsiasi accesso (riservatezza) e la modifica (integrità), ai dati privati e sensibili. E ti aiuta a rispettare i tuoi obblighi legali e di conformità.
- password complesse; riduce il successo degli attacchi di forza bruta.
- Autenticazione a due fattori; ostacola l'uso delle credenziali rubate
- Principio del privilegio minimo; limita l'accesso ai dati sulla base della necessità di conoscenza e limita la modifica di tali dati.
- registrazione delle attività; ti tiene informato su qualsiasi accesso, modifica e cambio di sistema.
- Assicurati che tutti i sistemi e i plugin siano aggiornati automaticamente.
E infine, vorrei cogliere l'occasione qui per ringraziare il team di Verizon per tutti i loro sforzi nella compilazione del loro rapporto annuale sulle indagini sulla violazione dei dati di Verizon (DBIR).