WordPress 웹 사이트 사용자가 비즈니스에 피해를 줄 수 있습니까?

게시 됨: 2021-03-23

직원이 위협을 받을 수 있습니까? 예, 그럴 가능성이 있지만, 무의식적으로 기본적으로.

나는 최근 WordPress 취약점의 가장 큰 원인을 강조하는 통계에 대해 썼습니다.

그러나 인프라의 또 다른 상당한 구성 부분은 그 이상은 아니더라도 똑같이 취약하며, 우리 모두가 너무 자주 간과하고 있는 – 우리 사용자 – 외부의 악의적인 행위자의 직접적인 표적이 되고 있습니다.

목차

  • CIA에서 배울 수 있는 교훈
  • 공격은 왜? 그들은 무엇을 쫓는가?
  • 어디서, 어떻게 액세스할 수 있습니까?
  • 이 모든 것에 대해 무엇을 할 수 있습니까?
  • CIA 접근 방식에서 무엇을 배울 수 있습니까?
    • 기밀성
      • 로그인 프로세스 강화부터 시작
      • 강력한 비밀번호 보안 및 정책 시행
      • 개인 정보 속성에 따라 저장된 데이터 식별 및 분류
    • 진실성
      • 권한 및 권한 제한
      • 사용자 변경 사항 기록 유지
    • 유효성
      • 데이터 백업
      • 실패에 대한 계획
      • 데이터 가용성에 대한 보안 위협
      • 예방 정비
  • 교육 훈련
  • 테이크아웃

CIA에서 배울 수 있는 교훈

피싱(Phishing)과 프리텍스트(Pretexting)는 사이버 범죄자들이 가장 선호하는 두 가지 전술입니다. 이러한 소셜 공격은 사용자가 다른 개인 정보와 함께 로그인 자격 증명을 포기하도록 유도합니다. 이러한 세부 정보는 해킹 공격, 보안 방어 위반, 웹 애플리케이션, 시스템, 데이터 액세스에 사용됩니다.

Twitter, T-Mobile, Marriot, Amtrak 또는 Ritz Hotel에 물어보세요. 모든 헤드라인과 주목을 받는 것은 인지도가 있는 브랜드이지만, 4개 중 1개 이상(28%)의 소규모 기업이 직접 표적이 되어 성공적으로 손상되었다는 사실은 놀라운 사실입니다.

다음은 Verizon의 연구에서 얻을 수 있는 몇 가지 통찰력입니다. 그들의 2020년 DBIR(Data Breach Investigations Report)은 악의적인 행위, 동기, 악의적인 행위자 수법에 대해 자세한 포렌식 서치라이트를 던졌습니다. 그들은 분명히 한 가지, 즉 귀하의 데이터를 추구합니다.

그러나 또한 이러한 사이버 보안 침해를 완화하기 위해 방어 계획을 수립할 수 있는 방법에 대한 이해도 제공합니다.

공격은 왜? 그들은 무엇을 쫓는가?

간단한 대답은 공격자들이 당신이 갖고 있고 가치 있는 데이터를 원한다는 것입니다. 성공적인 시스템 침해의 거의 9분의 1(86%)은 재정적 이득에서 비롯됩니다. 이들 중 대다수(55%)는 보고서에 '마피아가 아닌 절차가 있는 범죄자'로 정의된 조직 범죄 그룹과 관련되어 있습니다.

"침해의 86%는 재정적 동기"

"조직 범죄 그룹이 전체 침해의 55% 배후에 있습니다"

“70%는 외부 행위자”

“30%는 내부 행위자 참여”

다른 기업과 마찬가지로 귀하의 비즈니스는 원활한 전자 비즈니스 처리를 촉진하기 위해 고객, 공급업체, 파트너 및 직원 등이 선의로 귀하에게 제공한 다양한 데이터를 보유하고 있습니다. 물론 이 데이터의 대부분은 사적이고 민감한 정보입니다.

신용 카드 및 기타 지불 세부 정보, 사회 보장 세부 정보, 이메일 주소, 전화 번호, 집 주소 등과 같은 개인 식별 정보를 수집, 사용 및 수익화할 수 있습니다. 이것은 그들을 위한 게임이 아님을 기억하십시오.

귀하는 이 데이터가 비공개로 유지되고 보호되도록 해야 할 의무가 있습니다. 또한 데이터를 보호하기 위해 가능한 모든 조치를 취하도록 요구하는 GDPR과 같은 개인정보 보호법 및 업계 규정 준수 의무가 있습니다.

따라서 모든 보안 대응 계획은 데이터 보호에 중점을 두어야 합니다.

어디서, 어떻게 액세스할 수 있습니까?

범죄 행위자는 사용자의 자격 증명을 손에 넣을 수 있으면 작업이 훨씬 쉬워진다는 것을 알고 있습니다. 따라서 사용자가 시스템 로그인 세부 정보 및 기타 개인 정보를 포기하도록 하여 더욱 정교한 피싱 및 프리텍스트 공격에 많은 노력을 기울이는 것은 놀라운 일이 아닙니다.

"피싱은 모든 성공적인 데이터 침해의 22%를 차지합니다."

"소셜 공격: "소셜 활동은 96%의 경우 이메일로 도착했습니다."

온라인 웹 응용 프로그램은 가장 일반적인 공격 벡터이며 공격자는 분실 또는 도난된 사용자 로그인 자격 증명을 사용하거나 무차별 대입 공격(약한 암호 악용)을 사용하여 진입합니다.

"귀하의 웹 애플리케이션은 공격의 90% 이상을 특별히 표적으로 삼았습니다. 해킹 내 침해의 80% 이상이 무차별 대입 또는 분실 또는 도난된 자격 증명의 사용과 관련됩니다."

이 모든 것에 대해 무엇을 할 수 있습니까?

우리를 위해 분석을 수행한 Verizon 덕분에 우리는 위협과 방법을 더 잘 이해할 수 있습니다. 이제 우리는 보안 대응을 강화하고 이러한 공격을 저지하며 손상을 완화하기 위해 정보에 입각하고 측정되며 논리적인 접근 방식을 시작할 수 있습니다.

CIA 접근 방식에서 무엇을 배울 수 있습니까?

아아, 여기서 우리는 중앙 정보국에서 제공하는 세계 최고 수준의 새로운 기술에 대해 이야기하고 있는 것이 아닙니다. 이 기술을 사용하여 악당을 물리칠 수 있습니다. 위협받는 주요 자산인 데이터를 보호하는 데 중점을 둔 우아하고 유연한 프레임워크에 대해 이야기하고 있습니다.

CIA 프레임워크는 데이터에 대한 우발적 및 악의적 액세스 및 수정을 완화하도록 설계된 세 가지 핵심 기본 원칙으로 구성됩니다.

  • 기밀성
  • 진실성
  • 유효성

기밀성

기밀성은 보유하고 있는 데이터의 보안을 보장하기 위해 어떤 조치를 취할 수 있는지 묻습니다. 즉, 직원이 역할을 수행하는 데 필요한 정보에 대해서만 직원 액세스를 제한합니다.

성공적인 해킹 침해의 80% 이상이 분실 또는 도난된 사용자 자격 증명을 사용하거나 'admin/admin', 'user/password', 'user/12345678' 등과 같은 약한 암호를 악용하는 무차별 대입 공격을 사용했습니다.

데이터의 기밀성을 보장하기 위해 취할 수 있는 몇 가지 조치가 있습니다.

로그인 프로세스 강화부터 시작

이중 인증을 구현합니다. 2FA는 물리적 장치를 사용자 계정 로그인 프로세스에 통합하여 추가 보안 계층을 추가합니다.

액세스를 허용하려면 표준 사용자 이름 및 암호 자격 증명과 함께 로그인 프로세스에서 시간 제한이 있는 고유한 일회성 PIN이 필요합니다.

따라서 공격자가 물리적 장치에 액세스하지 않고 로그인 자격 증명이 손상되더라도 PIN을 요구하는 행위만으로도 공격을 막을 수 있습니다.

강력한 비밀번호 보안 및 정책 시행

사용자 계정의 35% 이상이 무차별 대입 공격 도구로 쉽게 해독할 수 있는 약한 암호를 사용합니다.

따라서 강력한 암호 보안과 정책이 필요합니다. 암호 강도 정책뿐만 아니라 암호 기록 및 만료 정책도 구현합니다. 현재 시행하고 있는 이러한 강력한 암호는 적시에 만료되어야 합니다.

따라서 사용자의 자격 증명이 실제로 손상된 경우 암호가 유효한 경우에만 유용합니다. 따라서 암호를 변경하면 향후 악의적인 작업을 방해할 수 있습니다.

이중 요소 인증 방법과 함께 강력한 암호 구현은 상당히 강력한 방어를 가능하게 합니다.

개인 정보 속성에 따라 저장된 데이터 식별 및 분류

각 역할에 대한 현재 액세스 제어 목록을 검토한 다음 최소 권한 원칙을 사용하여 필요한 데이터 액세스 권한을 적절하게 할당합니다.

개인 및 민감한 데이터에 대한 액세스는 알아야 할 필요에 따라 제한되어야 하며 직원이 자신의 역할을 수행하는 데 필요합니다.

예를 들어, 고객 지원 담당자는 주문 내역, 배송 세부 정보, 연락처 세부 정보 등에 액세스해야 할 수 있습니다. 고객의 신용 카드 세부 정보, 사회 보장 번호 또는 기타 민감한 개인 식별 정보를 볼 수 있어야 합니까?

아니면 회사의 은행 계좌 잔고와 세부 정보를 일반 직원에게 제공하시겠습니까? 아니면 회사의 현재 및 과거 재무 계정입니까? 그러면 우리는 그것을 아니오로 받아들일 것입니다.

진실성

무결성은 누가 어떤 상황에서 데이터를 변경할 수 있는지 제어하고 파악하여 데이터의 유효성을 보장하기 위해 취할 수 있는 조치를 고려할 것을 요청합니다. 데이터 무결성을 보장하려면:

권한 및 권한 제한

수정이 필요할 수 있는 데이터 항목에 초점을 맞춰 사용자의 권한을 제한합니다.

대부분의 데이터는 수정이 필요하지 않거나 거의 필요하지 않습니다. 최소 권한 원칙이라고도 하는 이 원칙은 가장 효과적인 보안 모범 사례 중 하나이며 일반적으로 간과되지만 쉽게 적용할 수 있습니다.

또한 공격이 데이터에 대한 제한적인 권한을 구현하여 시스템 계정에 성공적으로 액세스할 경우 데이터 침해 및 그로 인한 피해가 제한됩니다.

사용자 변경 사항 기록 유지

기존 데이터가 변경된 경우 언제, 누가, 무엇을 변경했는지 어떻게 알 수 있습니까? 당신은 확신할 수 있습니까? 수정이 승인되었고 유효했습니까?

포괄적인 실시간 활동 로그를 보유하면 모든 WordPress 시스템에서 수행되는 모든 작업에 대한 완전한 가시성을 얻을 수 있으며 우수한 보안 관행의 기본입니다.

또한 모든 활동에 대한 보관 및 보고는 관할 지역의 개인정보 보호법 및 규정 준수 의무를 준수하는 데 도움이 됩니다.

유효성

가용성으로 인해 우리는 데이터를 쉽고 안정적으로 액세스할 수 있도록 유지하는 데 집중해야 합니다. 따라서 비즈니스가 중단되지 않고 계속되도록 보장하여 직원이 의무를 수행하고 고객이 주문을 하면 안전한 방식으로 해당 주문을 이행하고 배송할 수 있습니다.

가동 중지 시간은 잠재적인 수익 손실뿐만 아니라 시스템을 사용할 수 없어 사용자, 가입자, 고객, 파트너 및 직원의 신뢰가 무너지는 것입니다.

데이터 백업

데이터를 정기적으로 백업하고 이러한 백업을 오프사이트에 저장하는 것도 고려하십시오. 다음은 이 주제를 개발하고 WordPress 백업 파일 및 오래된 파일을 현장에 저장할 때의 보안 위험에 대해 설명하는 좋은 기사입니다.

실패에 대한 계획

귀하의 비즈니스가 의존하는 인프라 구성 요소를 검토하십시오. 네트워크, 서버, 애플리케이션 등을 관리하고 개선 조치 계획을 가지고 있으므로 이러한 필수 요소 중 하나라도 개별적으로 또는 집합적으로 실패하더라도 신속하게 복구할 수 있습니다.

WordPress 웹 사이트가 있는 호스팅 회사를 사용하고 있을 수 있으며 누가 이러한 작업을 대신 처리할 것입니다. 그러나 그들이 당신에게 제공하는 서비스의 프로세스와 수준, 그리고 그것이 당신의 비즈니스 요구 사항과 일치하는지 확인하려면 관련 질문을 하는 것이 중요합니다.

예를 들어 WordPress 백업을 복원하고 보안 시스템을 테스트하고 재해 복구 프로세스를 시뮬레이션해 보십시오.

데이터 가용성에 대한 보안 위협

보안 관점에서 보고서에 기록된 모든 사건의 1위 위협은 DDoS(분산 서비스 거부) 공격으로, 주로 액세스 시도(해킹)가 아닌 중단을 목적으로 설계되었습니다.

많은 WordPress 호스팅 회사는 이러한 유형의 공격에 대한 적절한 방어를 제공합니다. 그러나 그들이 제공하는 경계 보안 서비스와 이러한 조치가 충분한지 또는 방어를 강화해야 하는지 여부를 조사하는 것은 항상 신중합니다.

예방 정비

유지 관리는 가용성에서 중요한 역할을 하며, WordPress 웹 사이트 및 관련 플러그인이 적시에 이상적으로 자동 업데이트되어 기존의 알려진 취약점을 수정하여 보다 강력한 보안 방어를 제공합니다.

교육 훈련

벤자민 프랭클린(Benjamin Franklin)이 한때 '1온스의 예방은 1파운드의 치료 가치가 있다'고 말한 것처럼 오늘날에도 마찬가지입니다.

잠재적인 함정에 대해 사용자를 교육하고 존재하는 위협을 식별하는 것은 중요한 예방 조치입니다.

  • 직원에 대한 관련 교육을 실시하고 규정된 보안 정책의 중요성과 회사가 이러한 정책을 구현한 이유에 대해 교육합니다.
  • 우리가 논의한 피싱 및 프리텍스트와 같은 사회적 위협에 특히 중점을 두고 보안 위험을 이해하도록 도와주세요. 그들은 그것에 대해 감사할 것입니다!

테이크아웃

사용자에게 모든 것에 대한 액세스 권한을 부여하는 것이 훨씬 쉬워 보일 수 있습니다. 그러면 사용자가 필요로 하는 정보와 필요하지 않은 정보에 항상 액세스할 수 있습니다. 이 수준의 권한은 종종 액세스 권한 및 권한 변경에 대한 잠재적인 요청을 차단하기 위해 사용자에게 부여됩니다. 그러나 그것은 요점을 놓치고 있습니다.

CIA 권장 사항을 구현하면 개인 및 민감한 데이터 에 대한 액세스(기밀성) 및 수정(무결성)을 제한하여 시스템 위반 시 손상을 완화하고 제한하는 데 많은 도움이 됩니다. 또한 법률 및 규정 준수 의무를 충족하도록 돕습니다.

  1. 강력한 암호 무차별 대입 공격의 성공을 줄입니다.
  2. 이중 인증; 도난당한 자격 증명의 사용을 방해합니다.
  3. 최소 권한의 원칙; 알아야 할 필요에 따라 데이터에 대한 액세스를 제한하고 그러한 데이터의 수정을 제한합니다.
  4. 활동 로깅; 액세스, 수정 및 시스템 변경 사항에 대해 계속 알려줍니다.
  5. 모든 시스템과 플러그인이 자동으로 최신 상태로 유지되도록 합니다.

마지막으로, 연례 Verizon DBIR(Data Breach Investigations Report)을 작성하는 데 모든 노력을 기울인 Verizon 팀에 이 자리를 빌어 감사드립니다.