あなたのWordPressウェブサイトユーザーはあなたのビジネスに損害を与える可能性がありますか?
公開: 2021-03-23あなたの従業員は脅威になる可能性がありますか? はい、かなり可能性がありますが、主に無意識のうちに。
私は最近、WordPressの脆弱性の最大の原因を強調する統計について書きました。
ただし、インフラストラクチャの別のかなりの構成要素も同様に脆弱ですが、それ以上ではないにしても、悪意のある攻撃者によって直接標的にされているユーザー、つまり私たちが見落としがちです。
目次
- CIAから学べる教訓
- なぜ攻撃なのか? 彼らは何を求めていますか?
- どこから、どのようにアクセスを取得していますか?
- これについて私は何ができますか?
- CIAのアプローチから何を学ぶことができますか?
- 守秘義務
- ログインプロセスを強化することから始めます
- 強力なパスワードセキュリティとポリシーを適用する
- プライバシー属性に関して保存されているデータを特定して分類します
- 威厳
- 権限と特権を制限する
- ユーザーの変更のログを保持する
- 可用性
- データのバックアップ
- 失敗の計画
- データの可用性に対するセキュリティの脅威
- 予防保守
- 守秘義務
- 教育、トレーニング
- 要点
CIAから学べる教訓
フィッシングとプリテキストは、サイバー犯罪者が採用する最も好まれる戦術の2つです。 これらのソーシャル攻撃は、ユーザーを他の個人情報と一緒にログイン資格情報を放棄するように誘惑します。 これらの詳細は、ハッキング攻撃、セキュリティ防御の侵害、Webアプリケーション、システム、データへのアクセスに使用されます。
Twitter、T-Mobile、Marriot、Amtrak、またはRitzHotelなどに質問してください。 すべての見出しと注目を集めているのは有名なブランドですが、中小企業の4分の1(28%)が直接標的にされており、侵害に成功していることに注意するのは憂慮すべきことです。
これらは、ベライゾンの調査から得られるいくつかの洞察です。 2020年の彼らのデータ侵害調査レポート(DBIR)は、詳細なフォレンジックサーチライトを、メンダシティ、動機、および悪意のあるアクターの方法に光を当てています。 それらは明らかに1つの事柄の後にあります-あなたのデータ。
しかし、それはまた、そのようなサイバーセキュリティ違反を軽減するための防御をどのように計画するかについての理解を私たちに与えます。
なぜ攻撃なのか? 彼らは何を求めていますか?
簡単な答えは、攻撃者はあなたが持っている価値のあるデータを望んでいるということです。 成功したシステム違反のほぼ9分の1(86%)は、金銭的利益によって動機付けられています。 これらのうち、過半数(55%)は組織犯罪グループに関係しており、レポートでは「マフィアではなく、プロセスを持った犯罪者」と定義されています。
「違反の86%は金銭的な動機によるものでした」
「組織犯罪グループは、すべての侵害の55%の背後にありました」
「70%が外部のアクターによって実行された」
「30%が内部関係者を巻き込んだ」
他の人と同じように、あなたのビジネスは、スムーズな電子ビジネス処理を容易にするために、顧客、サプライヤー、パートナー、従業員などからのれんであなたに与えられたさまざまなデータを保持しています。 もちろん、このデータの多くは非公開で機密性があります。
クレジットカードやその他の支払いの詳細、社会保障の詳細、電子メールアドレス、電話番号、自宅の住所などの個人を特定できる情報を収集、使用、および収益化することができます。 これは彼らのためのゲームではないことを忘れないでください。
あなたには、このデータがプライベートで保護されたままであることを保証する義務があります。 また、プライバシー法やGDPRなどの業界規制コンプライアンスの義務があり、データを保護するために可能なすべての対策を明確に講じることが求められます。
したがって、実施されているセキュリティ対応計画は、データの保護に重点を置く必要があります。
どこから、どのようにアクセスを取得していますか?
そこにいる犯罪者は、ユーザーの資格情報を入手できれば、仕事がはるかに簡単になることを知っています。 したがって、ユーザーにシステムのログイン情報やその他の個人情報を諦めさせようとして、これまで以上に高度なフィッシングやプリテキスト攻撃に多大な労力を費やしているのは当然のことです。
「フィッシングは、成功したすべてのデータ侵害の22%を占めています」
「社会的攻撃:「社会的行動は96%の確率で電子メールで届きました。」
オンラインWebアプリケーションは最も一般的な攻撃ベクトルであり、攻撃者はユーザーのログイン資格情報の紛失または盗難、またはブルートフォース攻撃(弱いパスワードの悪用)を使用して侵入します。
「あなたのWebアプリケーションは、攻撃の90%以上を特に標的にしていました。ハッキング内の侵害の80%以上は、強引な力、または紛失または盗難された資格情報の使用に関係しています。」
これについて私は何ができますか?
私たちのために分析を行ってくれたVerizonのおかげで、私たちは脅威と方法をよりよく理解できるようになりました。 これで、情報に基づいた、測定された、論理的なアプローチを取り始めて、セキュリティ対応を強化し、これらの攻撃を阻止し、被害を軽減することができます。
CIAのアプローチから何を学ぶことができますか?
残念ながら、ここでは中央情報局が提供する世界をリードする新しいテクノロジーについて話していません。これを使用して悪者を打ち負かすことができます。 私たちは、脅威にさらされている主要な資産であるデータの保護に焦点を当てた、エレガントで柔軟なフレームワークについて話しています。これがすべてです。
CIAフレームワークは、データへの偶発的および悪意のあるアクセス、およびデータの変更を軽減するために設計された3つの基本原則で構成されています。これらは次のとおりです。
- 守秘義務
- 威厳
- 可用性
守秘義務
機密保持では、保持しているデータのセキュリティを確保するためにどのような対策を講じることができるかを尋ねます。つまり、従業員が自分の役割を実行できるようにするために必要な情報のみにアクセスすることを制限します。
成功したハッキング違反の80%以上が、ユーザー資格情報の紛失または盗難、または「admin / admin」、「user / password」、「user / 12345678」などの弱いパスワードを悪用するブルートフォース攻撃のいずれかを使用したことを忘れないでください。
データの機密性を確保するために実行できるアクションはいくつかあります。
ログインプロセスを強化することから始めます
二要素認証を実装します。 2FAは、物理デバイスをユーザーアカウントのログインプロセスに組み込むことにより、セキュリティレイヤーを追加します。
アクセスを許可するには、標準のユーザー名とパスワードのクレデンシャルに加えて、ログインプロセスで一意の時間制限のあるワンタイムPINが必要になります。
したがって、攻撃者が物理デバイスにアクセスできなくても、ログイン資格情報が侵害された場合でも、PINを要求するだけで攻撃を阻止できます。
強力なパスワードセキュリティとポリシーを適用する
ユーザーアカウントの35%以上が、ブルートフォース攻撃ツールによって簡単に解読される可能性のある弱いパスワードを使用します。
したがって、強力なパスワードセキュリティとポリシーが必須です。 パスワード強度ポリシーを実装するだけでなく、パスワード履歴と有効期限ポリシーも実装します。 現在適用されているこれらの強力なパスワードは、適時に有効期限が切れる必要があります。
したがって、ユーザーの資格情報が実際に侵害された場合でも、パスワードが有効である場合にのみ有用です。 したがって、パスワードを変更すると、将来の悪意のあるアクションが妨げられます。
2要素認証方式とともに、強力なパスワードの実装により、かなり堅牢な防御が実現します。
プライバシー属性に関して保存されているデータを特定して分類します
各役割の現在のアクセス制御リストを確認してから、最小特権の原則を使用して、必要なデータアクセス特権を適切に割り当てます。
個人データや機密データへのアクセスは、知る必要性に基づいて制限し、従業員がその役割を果たすために必要です。
たとえば、カスタマーサポート担当者は注文履歴、配送の詳細、連絡先の詳細などにアクセスする必要がある場合があります。顧客のクレジットカードの詳細、社会保障番号、その他の機密情報、または個人を特定する情報を表示する必要がありますか?
または、一般の従業員に会社の銀行口座の残高と詳細を提供しますか? それとも、会社の現在および過去の財務会計ですか? それでは、それをノーと見なします。
威厳
整合性は、誰がどのような状況でデータを変更できるかを制御および把握することにより、データの有効性を保証するために実行できる手順を検討するように求めています。 データの整合性を確保するには:
権限と特権を制限する
変更が必要な可能性のあるデータ項目に焦点を合わせて、ユーザーのアクセス許可を制限します。
データの多くは、変更が必要になることはないか、非常にまれです。 最小特権の原則と呼ばれることもあり、これは最も効果的なセキュリティのベストプラクティスの1つであり、一般的に見過ごされがちですが、簡単に適用できます。
また、攻撃がシステムアカウントに正常にアクセスした場合、データに制限付きのアクセス許可を実装することにより、データ侵害とその結果として生じる損害が制限されます。
ユーザーの変更のログを保持する
既存のデータに変更が加えられた場合、どのような変更が、いつ、誰によって行われたかをどのようにして知ることができますか? よろしいですか? 変更は承認され、有効でしたか?
包括的でリアルタイムのアクティビティログがあると、すべてのWordPressシステムで実行されたすべてのアクションを完全に可視化でき、優れたセキュリティプラクティスの基本となります。
また、すべての活動をアーカイブおよび報告することで、管轄区域のプライバシー法および規制順守義務を順守することができます。
可用性
可用性により、データに簡単かつ確実にアクセスできるようにすることに集中する必要があります。 したがって、ビジネスが中断されることなく継続し、従業員が職務を遂行し、顧客が注文を行い、安全な方法でそれらの注文を履行して出荷できるようにします。
ダウンタイムは、収益の潜在的な損失だけでなく、システムが利用できなくなった結果として生じる、ユーザー、サブスクライバー、顧客、パートナー、および従業員からの信頼の低下でもあります。
データのバックアップ
データを定期的にバックアップし、これらのバックアップをオフサイトに保存することも検討してください。 これは、このテーマを開発し、WordPressバックアップファイルと古いファイルをオンサイトに保存することのセキュリティリスクについて説明している優れた記事です。
失敗の計画
ビジネスが依存しているインフラストラクチャコンポーネントを確認します。 ネットワーク、サーバー、アプリケーションなどに是正措置計画があるため、これらの不可欠な要素のいずれかが個別に、または集合的に失敗した場合でも、迅速に復旧できます。
あなたはあなたがあなたのWordPressウェブサイトを収容し、あなたに代わってこれらのタスクの多くを処理するホスティング会社を使用しているかもしれません。 ただし、関連する質問をして、それらが提供するサービスのプロセスとレベル、およびそれらがビジネス要件に一致するかどうかを確認することが不可欠です。
たとえば、WordPressのバックアップを復元し、セキュリティシステムをテストし、障害復旧プロセスをシミュレートしてみてください。
データの可用性に対するセキュリティの脅威
セキュリティの観点から、レポートに記録されたすべてのインシデントの最大の脅威は、アクセス(ハッキング)の試みではなく、主に中断を目的として設計された分散型サービス拒否(DDoS)攻撃の脅威です。
WordPressホスティング会社の多くは、これらのタイプの攻撃に対して適切な防御を提供しています。 それでも、それらが提供する境界セキュリティサービスと、これらの対策が十分であるかどうか、または防御を強化する必要があるかどうかを調査することは常に賢明です。
予防保守
メンテナンスは可用性において重要な役割を果たし、WordPress Webサイトと関連するプラグインがタイムリーに、理想的には自動的に更新され、既存の既知の脆弱性を修正して、より堅牢なセキュリティ防御を実現します。
教育、トレーニング
ベンジャミン・フランクリンがかつて「1オンスの予防は1ポンドの治療に値する」と述べたように、これは今日でもかつてないほど真実です。
また、潜在的な落とし穴についてユーザーを教育し、存在する脅威を特定することは、重要な予防策です。
- 従業員に関連するトレーニングを開始し、規定されたセキュリティポリシーの重要性と、会社がそのようなポリシーを実装した理由について従業員を教育します。
- 私たちが話し合ったフィッシングやプレテキストなどの社会的脅威に特に焦点を当てて、セキュリティリスクを理解するのを助けます。 彼らはそれをあなたに感謝します!
要点
ユーザーにすべてへのアクセスを許可する方がはるかに簡単に思えるかもしれません。これにより、ユーザーは常に必要な情報にアクセスでき、アクセスできないことが多くなります。 このレベルのアクセス許可は、アクセス権と特権を変更する潜在的な要求を回避するためにユーザーに付与されることがよくあります。 しかし、それは要点を欠いています。
CIAの推奨事項を実装することにより、プライベートデータおよび機密データへのアクセス(機密性)および変更(整合性)を制限することにより、システム違反が発生した場合の損害を軽減および制限するための長い道のりを歩むことができます。 そして、あなたがあなたの法的およびコンプライアンスの義務を果たすのを手伝ってください。
- 強力なパスワード; ブルートフォース攻撃の成功を減らします。
- 二要素認証; 盗まれた資格情報の使用を妨げる
- 最小特権の原則; 知る必要性に基づいてデータへのアクセスを制限し、そのようなデータの変更を制限します。
- アクティビティログ; アクセス、変更、およびシステムの変更について常に通知します。
- すべてのシステムとプラグインが自動的に最新の状態に保たれていることを確認してください。
そして最後に、ここで機会を利用して、ベライゾンの年次データ侵害調査レポート(DBIR)の作成に尽力してくれたベライゾンのチームに感謝します。