Os usuários do seu site WordPress podem prejudicar seus negócios?
Publicados: 2021-03-23Seus funcionários podem ser uma ameaça? Sim, muito possivelmente, mas principalmente sem querer.
Escrevi recentemente sobre as estatísticas que destacam a maior fonte de vulnerabilidades do WordPress.
No entanto, outra parte constituinte considerável de sua infraestrutura é igualmente vulnerável, se não mais, e que muitas vezes ignoramos – nossos usuários – que estão sendo direcionados diretamente pelos maus atores por aí.
Índice
- Lições que podemos aprender com a CIA
- Por que os ataques? O que eles estão procurando?
- De onde e como eles estão obtendo acesso?
- O que posso fazer sobre tudo isso?
- O que podemos aprender com a abordagem da CIA?
- Confidencialidade
- Comece fortalecendo o processo de login
- Aplique segurança e políticas de senha fortes
- Identificar e classificar os dados armazenados quanto aos seus atributos de privacidade
- Integridade
- Limitar as permissões e privilégios
- Mantenha um registro das alterações do usuário
- Disponibilidade
- Fazendo backup de seus dados
- Plano para falhas
- Ameaças de segurança à sua disponibilidade de dados
- Manutenção preventiva
- Confidencialidade
- Educação, treinamento
- Aprendizado
Lições que podemos aprender com a CIA
Phishing e Pretexting são duas das táticas mais utilizadas pelos cibercriminosos. Esses ataques sociais tentam seus usuários a fornecer suas credenciais de login junto com outras informações pessoais. Esses detalhes são usados em ataques de hackers, violando suas defesas de segurança, acessando seus aplicativos da web, seus sistemas, seus dados.
Basta perguntar ao Twitter, T-Mobile, Marriot, Amtrak ou Ritz Hotel, entre muitos outros. Embora sejam as marcas reconhecíveis que recebem todas as manchetes e atenção, é alarmante notar que mais de uma em cada quatro (28%) pequenas empresas são diretamente visadas e comprometidas com sucesso.
Esses são alguns insights que surgem da pesquisa da Verizon. O Relatório de Investigações de Violação de Dados (DBIR) para 2020 lança um holofote forense detalhado sobre a falsidade, as motivações e os métodos dos atores maliciosos. Eles estão claramente atrás de uma coisa – seus dados.
Mas também nos dá uma compreensão de como podemos planejar nossas defesas para mitigar essas violações de segurança cibernética.
Por que os ataques? O que eles estão procurando?
A resposta simples é que os invasores querem algo que você tem e que tem valor – dados. Quase uma em cada nove (86%) das violações bem-sucedidas do sistema são motivadas por ganhos financeiros. Destes, a maioria (55%) envolve grupos do crime organizado, definidos no relatório como 'um criminoso com processo, não a máfia'.
“86% das violações foram motivadas financeiramente”
“Grupos criminosos organizados estiveram por trás de 55% de todas as violações”
“70% perpetrados por atores externos”
“30% envolvidos atores internos”
Em comum com outros, sua empresa mantém vários dados fornecidos a você em boa vontade por clientes, fornecedores, parceiros e funcionários, etc., para facilitar o processamento de negócios eletrônicos sem problemas. Muitos desses dados são, obviamente, privados e confidenciais.
Cartões de crédito e outros detalhes de pagamento, informações de identificação pessoal, como dados do Seguro Social, endereços de e-mail, números de telefone, endereços residenciais, etc., podem ser coletados, usados e monetizados. Lembre-se que este não é um jogo para eles.
Você tem o dever de garantir que esses dados permaneçam privados e protegidos. Você também tem legislação de privacidade e obrigações de conformidade regulatória do setor, como o GDPR, que exige que você tome todas as medidas possíveis para proteger os dados.
Portanto, qualquer plano de resposta de segurança implementado deve se concentrar na proteção de dados.
De onde e como eles estão obtendo acesso?
Os criminosos por aí sabem que, se puderem colocar as mãos nas credenciais de seus usuários, seu trabalho será muito mais fácil. Portanto, não deve ser surpresa que eles façam um grande esforço em ataques de phishing e pretexto cada vez mais sofisticados, tentando fazer com que seus usuários forneçam seus detalhes de login do sistema e outras informações pessoais.
“Phishing é responsável por 22% de todas as violações de dados bem-sucedidas”
“Ataques sociais: “As ações sociais chegaram por e-mail 96% das vezes.”
Seus aplicativos da Web on-line são o vetor de ataque mais comum, e os invasores obtêm acesso usando as credenciais de login do usuário perdidas ou roubadas ou ataques de força bruta (explorando senhas fracas).
“Seus aplicativos da Web foram especificamente direcionados em mais de 90% dos ataques – mais de 80% das violações em hackers envolvem força bruta ou o uso de credenciais perdidas ou roubadas.”
O que posso fazer sobre tudo isso?
Graças à Verizon, que fez a análise para nós, estamos melhor posicionados para entender as ameaças e os métodos. Agora podemos começar a adotar uma abordagem informada, medida e lógica para fortalecer nossas respostas de segurança, impedir esses ataques e mitigar qualquer dano.
O que podemos aprender com a abordagem da CIA?
Infelizmente, não estamos falando de uma nova tecnologia mundial fornecida pela Agência Central de Inteligência aqui, que podemos usar para derrotar os bandidos. Estamos falando de uma estrutura elegante e flexível que você pode usar, que se concentra em proteger seu principal ativo ameaçado, seus dados, que é o que se trata.
A estrutura da CIA compreende três princípios fundamentais fundamentais projetados para mitigar o acesso acidental e malicioso e a modificação de seus dados, são eles:
- Confidencialidade
- Integridade
- Disponibilidade
Confidencialidade
A confidencialidade nos pergunta quais medidas você pode tomar para garantir a segurança dos dados que você possui, restringindo o acesso dos funcionários apenas às informações necessárias para permitir que eles desempenhem suas funções.
Lembre-se de que mais de 80% das violações de hackers bem-sucedidas usaram credenciais de usuário perdidas ou roubadas ou ataque de força bruta para explorar senhas fracas, como 'admin/admin', 'user/password', 'user/12345678', etc.
Existem várias ações que você pode tomar para garantir a confidencialidade de seus dados:
Comece fortalecendo o processo de login
Implemente a autenticação de dois fatores. A 2FA adiciona uma camada de segurança adicional ao incorporar um dispositivo físico no processo de login da conta do usuário.
Um PIN único, por tempo limitado e único será exigido pelo processo de login, além das credenciais padrão de nome de usuário e senha, para permitir o acesso.
Assim, mesmo que as credenciais de login sejam comprometidas, sem que o invasor tenha acesso ao dispositivo físico, apenas o ato de solicitar o PIN será suficiente para impedir o ataque.
Aplique segurança e políticas de senha fortes
Mais de 35% das contas de usuários usarão senhas fracas que podem ser facilmente quebradas por ferramentas de ataque de força bruta.
Portanto, segurança e políticas de senha fortes são essenciais. Implemente políticas de força de senha, mas também políticas de histórico e expiração de senha. Essas senhas fortes que você aplicou agora precisarão expirar em tempo hábil.
Portanto, se as credenciais de seus usuários forem realmente comprometidas, elas só serão úteis enquanto a senha for válida. A alteração da senha frustrará, portanto, quaisquer ações maliciosas futuras.
Juntamente com o método de autenticação de dois fatores, a implementação de senha forte contribui para uma defesa consideravelmente robusta.
Identificar e classificar os dados armazenados quanto aos seus atributos de privacidade
Faça uma revisão das listas de controle de acesso atuais para cada função e, em seguida, atribua os privilégios de acesso aos dados necessários adequadamente, usando o princípio do privilégio mínimo.
O acesso a dados privados e confidenciais deve ser restrito com base na necessidade de conhecimento e exigido para que um funcionário cumpra sua função.
Por exemplo, seu representante de suporte ao cliente pode precisar de acesso ao histórico de pedidos, detalhes de envio, detalhes de contato, etc. Eles precisam de visibilidade dos detalhes do cartão de crédito dos clientes, número do seguro social ou outras informações confidenciais ou de identificação pessoal?
Ou pergunte a si mesmo: você forneceria aos funcionários em geral o saldo e os detalhes da conta bancária da empresa? Ou as contas financeiras atuais e históricas da empresa? Vamos tomar isso como um não então.
Integridade
A integridade nos pede para considerar quais medidas podemos tomar para garantir a validade dos dados, controlando e sabendo quem pode fazer alterações nos dados e em quais circunstâncias. Para garantir a integridade dos seus dados:
Limitar as permissões e privilégios
Limite as permissões de seus usuários, concentrando-se em quais itens de dados podem exigir modificação.
Muitos de seus dados nunca, ou muito raramente, exigirão modificação. Às vezes chamado de Princípio dos Privilégios Mínimos, é uma das práticas recomendadas de segurança mais eficazes e que é comumente ignorada, mas facilmente aplicada.
E se um ataque acessar com sucesso as contas do seu sistema, implementando permissões restritivas nos dados, qualquer violação de dados e qualquer dano resultante serão limitados.
Mantenha um registro das alterações do usuário
Se fossem feitas alterações nos dados existentes, como você saberia quais alterações, quando e por quem? Você poderia ter certeza? A modificação foi autorizada e válida?
Ter um log de atividades abrangente e em tempo real lhe dará visibilidade total de todas as ações realizadas em todos os seus sistemas WordPress e é fundamental para as boas práticas de segurança.
Além disso, arquivar e relatar toda e qualquer atividade o ajudará a cumprir as leis de privacidade e as obrigações de conformidade regulatória em sua jurisdição.
Disponibilidade
A disponibilidade nos obriga a nos concentrar em manter nossos dados acessíveis de forma rápida e confiável. Assim, garantindo que os negócios continuem ininterruptos, permitindo que os funcionários desempenhem suas funções, seus clientes façam seus pedidos e você possa atender e enviar esses pedidos, de maneira segura.
O tempo de inatividade não é apenas a perda potencial de receita, mas também a erosão da confiança de seus usuários, assinantes, clientes, parceiros e funcionários, resultante da indisponibilidade de seus sistemas.
Fazendo backup de seus dados
Faça backup de seus dados regularmente, considere também ter esses backups armazenados fora do local. Aqui está um bom artigo que desenvolve esse tema e discute os riscos de segurança de armazenar arquivos de backup do WordPress e arquivos antigos no local.
Plano para falhas
Revise os componentes de infraestrutura dos quais sua empresa depende; redes, servidores, aplicativos, etc. e ter um plano de ação corretiva, para que, se algum desses elementos integrais, individualmente ou coletivamente, falhar, você possa se recuperar rapidamente.
Você pode muito bem estar usando uma empresa de hospedagem na qual hospeda seu site WordPress e que cuidará de muitas dessas tarefas em seu nome. No entanto, é essencial fazer as perguntas relevantes para verificar os processos e níveis de serviço que eles fornecem a você e se eles atendem aos requisitos do seu negócio.
Por exemplo, tente restaurar seus backups do WordPress, teste seus sistemas de segurança e simule um processo de recuperação de desastres.
Ameaças de segurança à sua disponibilidade de dados
Do ponto de vista da segurança, a ameaça número 1 de todos os incidentes registrados no relatório é a de um ataque de negação de serviço distribuído (DDoS), projetado principalmente em interrupção, e não em uma tentativa de obter acesso (hacking).
Muitas das empresas de hospedagem WordPress fornecem defesas adequadas para esses tipos de ataques. Ainda assim, é sempre prudente investigar quais serviços de segurança de perímetro eles oferecem e se essas medidas são suficientes ou se você deve reforçar suas defesas.
Manutenção preventiva
A manutenção desempenha um papel crucial na Disponibilidade, garantindo que seu site WordPress e plugins associados sejam atualizados de maneira oportuna, idealmente automática, para corrigir quaisquer vulnerabilidades conhecidas existentes, resultando em defesas de segurança mais robustas.
Educação, treinamento
Como Benjamin Franklin observou certa vez, "uma onça de prevenção vale um quilo de cura", o que é tão verdadeiro hoje como sempre foi.
E educar seus usuários sobre as possíveis armadilhas e identificar as ameaças que existem é uma medida preventiva crítica.
- Instigue treinamento relevante para os funcionários, eduque-os sobre a importância das políticas de segurança prescritas e por que a empresa implementou tais políticas.
- Ajude-os a entender os riscos de segurança, com foco específico nas ameaças sociais, como Phishing e Pretexting, que discutimos. Eles vão agradecer por isso!
Aprendizado
Pode parecer muito mais fácil dar aos usuários acesso a tudo, o que garante que eles sempre terão acesso às informações de que precisam e muitas das que não precisam. Esse nível de permissão geralmente é concedido aos usuários para evitar possíveis solicitações de alteração de direitos e privilégios de acesso. Mas isso é perder o ponto.
Ao implementar as recomendações da CIA, você percorrerá um longo caminho para mitigar e limitar qualquer dano em caso de violação do sistema, restringindo qualquer acesso (confidencialidade) e a modificação (integridade) a dados privados e confidenciais. E ajudá-lo a cumprir suas obrigações legais e de conformidade.
- Senhas fortes; reduz o sucesso de ataques de força bruta.
- Autenticação de dois fatores; dificulta o uso de credenciais roubadas
- Princípio do Mínimo Privilégio; restringe o acesso a dados com base na necessidade de conhecimento e limita a modificação de tais dados.
- Registro de atividades; mantém você informado sobre qualquer acesso, modificação e alterações no sistema.
- Certifique-se de que todos os sistemas e plugins sejam atualizados automaticamente.
E, finalmente, gostaria de aproveitar a oportunidade aqui para agradecer à equipe da Verizon por todos os seus esforços na compilação de seu relatório anual de investigações de violação de dados da Verizon (DBIR).