Utilizatorii site-ului dvs. WordPress pot deteriora afacerea dvs.?
Publicat: 2021-03-23Pot fi angajații tăi o amenințare? Da, foarte posibil, dar în principal fără să vrea.
Am scris recent despre statisticile care evidențiază cea mai mare sursă de vulnerabilități WordPress.
Cu toate acestea, o altă parte constitutivă semnificativă a infrastructurii dvs. este la fel de vulnerabilă, dacă nu mai mult, și pe care prea des o trecem cu vederea – utilizatorii noștri – care sunt vizați direct de actorii răi de acolo.
Cuprins
- Lecții pe care le putem învăța de la CIA
- De ce atacurile? Ce urmăresc ei?
- De unde și cum au acces?
- Ce pot face cu toate acestea?
- Ce putem învăța din abordarea CIA?
- Confidențialitate
- Începeți prin a consolida procesul de conectare
- Aplicați politici și securitate puternice pentru parole
- Identificați și clasificați datele stocate în funcție de atributele lor de confidențialitate
- Integritate
- Limitați permisiunile și privilegiile
- Păstrați un jurnal al modificărilor utilizatorului
- Disponibilitate
- Copiere de rezervă a datelor dvs
- Planificați pentru eșecuri
- Amenințări la adresa disponibilității datelor dvs
- Întreținerea preventivă
- Confidențialitate
- Educație, instruire
- Concluzii
Lecții pe care le putem învăța de la CIA
Phishingul și pretextul sunt două dintre cele mai preferate tactici folosite de infractorii cibernetici. Aceste atacuri sociale ispitesc utilizatorii să renunțe la datele de conectare, împreună cu alte informații personale. Aceste detalii sunt apoi folosite în atacuri de piraterie, încălcarea apărării tale de securitate, accesarea aplicațiilor tale web, sistemelor tale, datelor tale.
Întrebați pe Twitter, T-Mobile, Marriot, Amtrak sau Hotelul Ritz, printre o mulțime de altele. Deși mărcile recunoscute sunt cele care atrag toate titlurile și atenția, este alarmant să observăm că peste una din patru (28%) întreprinderi mici sunt direct vizate și compromise cu succes.
Acestea sunt câteva perspective care ies din cercetările Verizon. Raportul lor de investigații privind încălcarea datelor (DBIR) pentru 2020 aruncă un reflector criminalistic detaliat asupra falsității, motivațiilor și metodelor actorilor rău intenționați. Ei sunt în mod clar după un singur lucru - datele dvs.
Dar, de asemenea, ne oferă o înțelegere a modului în care ne-am putea planifica apărarea pentru a atenua astfel de încălcări ale securității cibernetice.
De ce atacurile? Ce urmăresc ei?
Răspunsul simplu este că atacatorii vor ceva ce aveți și care are valoare – date. Aproape una din nouă (86%) dintre încălcările de succes ale sistemului sunt motivate de câștiguri financiare. Dintre acestea, majoritatea (55%) implică grupuri de crimă organizată, definite în raport drept „un infractor cu proces, nu mafia”.
„86% dintre încălcări au fost motivate financiar”
„Grupurile criminale organizate au fost în spatele a 55% din toate încălcările”
„70% săvârșite de actori externi”
„30% au implicat actori interni”
În comun cu ceilalți, afacerea dvs. deține diverse date oferite de către clienți, furnizori, parteneri și angajați etc., pentru a facilita procesarea electronică a afacerilor. Multe dintre aceste date sunt, desigur, private și sensibile.
Cardul de credit și alte detalii de plată, informații de identificare personală, cum ar fi detalii de securitate socială, adrese de e-mail, numere de telefon, adrese de domiciliu etc., pot fi colectate, utilizate și monetizate. Amintiți-vă că acesta nu este un joc pentru ei.
Aveți datoria să vă asigurați că aceste date rămân private și protejate. Aveți, de asemenea, legislația privind confidențialitatea și obligațiile de conformitate cu reglementările din industrie, cum ar fi GDPR, care vă cere să luați toate măsurile posibile pentru a proteja datele.
Prin urmare, orice plan de răspuns de securitate pus în aplicare trebuie să se concentreze pe protejarea datelor.
De unde și cum au acces?
Actorii criminali de acolo știu că, dacă pot pune mâna pe acreditările utilizatorilor tăi, atunci munca lor este mult mai ușoară. Prin urmare, nu ar trebui să fie surprinzător faptul că aceștia depun eforturi mari în atacuri din ce în ce mai sofisticate de phishing și pretext, încercând să-i determine pe utilizatori să renunțe la detaliile lor de conectare la sistem și alte informații personale.
„Phishingul reprezintă 22% din toate încălcările de date cu succes”
„Atacuri sociale: „Acțiunile sociale au ajuns prin e-mail în 96% din timp”.
Aplicațiile dvs. web online sunt cel mai obișnuit vector de atac, iar atacatorii obțin intrarea utilizând acreditările de conectare ale utilizatorului pierdute sau furate sau atacuri de forță brută (exploatând parole slabe).
„Aplicațiile dvs. web au fost vizate în mod special în peste 90% dintre atacuri – peste 80% dintre încălcările de hacking implică forța brută sau utilizarea acreditărilor pierdute sau furate.”
Ce pot face cu toate acestea?
Mulțumită lui Verizon, care a făcut analiza pentru noi, suntem mai bine poziționați să înțelegem amenințările și metodele. Acum putem începe să adoptăm o abordare informată, măsurată și logică pentru a ne consolida răspunsurile de securitate, a împiedica aceste atacuri și a atenua orice daune.
Ce putem învăța din abordarea CIA?
Din păcate, nu vorbim de o nouă tehnologie care bate lumea, furnizată de Agenția Centrală de Informații aici, pe care o putem folosi pentru a-i învinge pe cei răi. Vorbim despre un cadru elegant și flexibil pe care îl puteți utiliza, care se concentrează pe protejarea activului dvs. principal amenințat, datele dvs., despre care este vorba.
Cadrul CIA cuprinde trei principii fundamentale de bază concepute pentru a atenua accesul accidental și rău intenționat la și modificarea datelor dvs., acestea sunt:
- Confidențialitate
- Integritate
- Disponibilitate
Confidențialitate
Confidențialitatea ne întreabă ce măsuri puteți lua pentru a asigura securitatea datelor pe care le dețineți — restricționând accesul angajaților doar la informațiile necesare pentru a le permite să își îndeplinească rolurile.
Amintiți-vă că peste 80% dintre încălcările reușite de piratare au folosit fie acreditările utilizatorului pierdute, fie furate, fie atacuri de forță brută pentru a exploata parole slabe, cum ar fi „admin/admin”, „utilizator/parolă”, „utilizator/12345678”, etc.
Există mai multe acțiuni pe care le puteți lua pentru a asigura confidențialitatea datelor dvs.:
Începeți prin a consolida procesul de conectare
Implementați autentificarea cu doi factori. 2FA adaugă un nivel suplimentar de securitate prin încorporarea unui dispozitiv fizic în procesul de conectare a contului de utilizator.
Procesul de conectare va solicita un cod PIN unic, limitat în timp, pe lângă acreditările standard de nume de utilizator și parolă, pentru a permite accesul.
Deci, chiar dacă datele de conectare ar fi compromise, fără ca atacatorul să aibă acces la dispozitivul fizic, doar actul de a solicita PIN-ul va fi suficient pentru a contracara atacul.
Aplicați politici și securitate puternice pentru parole
Peste 35% dintre conturile de utilizator vor folosi parole slabe care pot fi sparte cu ușurință de instrumentele de atac cu forță brută.
Prin urmare, securitatea puternică a parolelor și politicile sunt o necesitate. Implementați politici de rezistență a parolelor, dar și politici privind istoricul parolelor și expirarea. Aceste parole puternice pe care le-ați aplicat acum vor trebui să expire în timp util.
Deci, în cazul în care acreditările utilizatorilor dvs. sunt într-adevăr compromise, acestea sunt utile doar atâta timp cât parola este validă. Prin urmare, schimbarea parolei va frustra orice acțiune rău intenționată viitoare.
Împreună cu metoda de autentificare cu doi factori, implementarea parolei puternice asigură o apărare considerabil robustă.
Identificați și clasificați datele stocate în funcție de atributele lor de confidențialitate
Efectuați o revizuire a listelor actuale de control al accesului pentru fiecare rol și apoi atribuiți privilegiile necesare de acces la date în mod corespunzător, folosind principiul privilegiului minim.
Accesul la date private și sensibile ar trebui să fie restricționat în funcție de necesitatea cunoașterii și necesar pentru ca un angajat să își îndeplinească rolul.
De exemplu, reprezentantul dvs. de asistență pentru clienți poate avea nevoie de acces la istoricul comenzilor, detaliile de expediere, detaliile de contact etc. Au nevoie de vizibilitatea detaliilor cardului de credit ale clienților, a numărului de securitate socială sau a altor informații sensibile sau de identificare personală?
Sau întrebați-vă, ați furniza angajaților generali soldul și detaliile contului bancar al companiei? Sau conturile financiare curente și istorice ale companiei? Atunci vom lua asta ca un nu.
Integritate
Integritatea ne cere să luăm în considerare ce pași putem lua pentru a garanta validitatea datelor controlând și știind cine poate face modificări ale datelor și în ce circumstanțe. Pentru a asigura integritatea datelor dvs.:
Limitați permisiunile și privilegiile
Limitați permisiunile utilizatorilor dvs., concentrându-vă asupra elementelor de date care pot necesita modificare.
Multe dintre datele dumneavoastră nu vor necesita niciodată sau foarte rar modificări. Denumit uneori Principiul celor mai mici privilegii, este una dintre cele mai eficiente bune practici de securitate și una care este de obicei trecută cu vederea, dar ușor de aplicat.
Și dacă un atac accesează cu succes conturile dvs. de sistem, prin implementarea permisiunilor restrictive asupra datelor, orice încălcare a datelor și orice daune care rezultă ar fi limitate.
Păstrați un jurnal al modificărilor utilizatorului
Dacă s-ar aduce modificări datelor existente, de unde ați ști ce modificări, când și de către cine? Ai putea fi sigur? Modificarea a fost autorizată și valabilă?
Având un jurnal de activitate cuprinzător și în timp real, vă va oferi vizibilitate deplină a tuturor acțiunilor efectuate pe toate sistemele dvs. WordPress și este fundamental pentru bunele practici de securitate.
De asemenea, arhivarea și raportarea tuturor activităților vă va ajuta să respectați legile de confidențialitate și obligațiile de conformitate cu reglementările din jurisdicția dvs.
Disponibilitate
Disponibilitatea ne obligă să ne concentrăm pe păstrarea datelor noastre ușor și fiabile accesibile. Asigurându-vă astfel că afacerea continuă neîntreruptă, permițând angajaților să își îndeplinească sarcinile, clienții dvs. plasează comenzile, iar dvs. puteți onora și expedia acele comenzi, într-un mod sigur.
Timpul de nefuncționare nu se referă doar la pierderea potențială a veniturilor, ci și la erodarea încrederii utilizatorilor, abonaților, clienților, partenerilor și angajaților dvs., ca urmare a indisponibilității sistemelor dvs.
Copiere de rezervă a datelor dvs
Efectuați o copie de rezervă a datelor în mod regulat, luați în considerare și stocarea acestor copii în afara site-ului. Iată un articol bun care dezvoltă această temă și discută despre riscurile de securitate ale stocării fișierelor de rezervă WordPress și fișierelor vechi la fața locului.
Planificați pentru eșecuri
Examinați componentele de infrastructură pe care se bazează afacerea dvs.; rețele, servere, aplicații etc. și au un plan de acțiune de remediere, astfel încât dacă oricare dintre aceste elemente integrale, fie individual, fie colectiv, eșuează, vă puteți recupera rapid.
Este posibil să utilizați o companie de găzduire pe care vă găzduiți site-ul WordPress și care se va ocupa de multe dintre aceste sarcini în numele dvs. Cu toate acestea, este esențial să puneți întrebările relevante pentru a stabili procesele și nivelurile de servicii pe care vi le oferă și dacă se potrivesc cerințelor dvs. de afaceri.
De exemplu, încercați să vă restaurați backup-urile WordPress, să vă testați sistemele de securitate și să simulați un proces de recuperare în caz de dezastru.
Amenințări la adresa disponibilității datelor dvs
Din punct de vedere al securității, amenințarea numărul 1 a tuturor incidentelor înregistrate în raport este cea a unui atac Distributed Denial of Service (DDoS), conceput în primul rând pentru întreruperi, și nu o încercare de a obține acces (piratare).
Multe dintre companiile de găzduire WordPress oferă apărare adecvată la aceste tipuri de atacuri. Cu toate acestea, este întotdeauna prudent să investigați ce servicii de securitate perimetrală oferă și dacă aceste măsuri sunt suficiente sau dacă ar trebui să vă consolidați apărarea.
Întreținerea preventivă
Întreținerea joacă un rol crucial în Disponibilitate, asigurându-se că site-ul dvs. WordPress și pluginurile asociate sunt actualizate în timp util, în mod ideal automat, pentru a remedia orice vulnerabilități cunoscute existente, rezultând apărări de securitate mai solide.
Educație, instruire
Așa cum a remarcat odată Benjamin Franklin, „o gramă de prevenire merită o liră de vindecare”, ceea ce este la fel de adevărat astăzi ca oricând.
Iar educarea utilizatorilor despre potențialele capcane și identificarea amenințărilor care există, este o măsură preventivă esențială.
- Instigați formarea relevantă pentru angajați, educați-i cu privire la importanța politicilor de securitate prescrise și de ce compania a implementat astfel de politici.
- Ajutați-i să înțeleagă riscurile de securitate, cu un accent deosebit pe amenințările sociale, cum ar fi phishingul și pretextul, despre care am discutat. Îți vor mulțumi pentru asta!
Concluzii
Poate părea mult mai ușor să le oferi utilizatorilor acces la tot, ceea ce asigură că aceștia vor avea întotdeauna acces la informațiile de care au nevoie și la multe lucruri pe care nu le au. Acest nivel de permisiune este adesea acordat utilizatorilor pentru a evita potențialele solicitări de modificare a drepturilor de acces și a privilegiilor. Dar asta lipsește ideea.
Prin implementarea recomandărilor CIA, veți parcurge un drum lung pentru a atenua și limita orice daune în cazul unei breșe de sistem, prin restricționarea oricărui acces (confidențialitate) și modificarea (integritatea) la date private și sensibile. Și vă ajută să vă îndepliniți obligațiile legale și de conformitate.
- Parole puternice; reduce succesul atacurilor cu forță brută.
- Autentificare cu doi factori; împiedică utilizarea acreditărilor furate
- Principiul celui mai mic privilegiu; restricționează accesul la date pe baza necesității de a cunoaște și limitează modificarea acestor date.
- Înregistrarea activității; vă ține informat cu privire la orice acces, modificare și modificări ale sistemului.
- Asigurați-vă că toate sistemele și pluginurile sunt actualizate automat.
Și, în cele din urmă, aș dori să profit de această ocazie pentru a mulțumi echipei Verizon pentru toate eforturile depuse în compilarea Raportului anual Verizon privind investigațiile privind încălcarea datelor (DBIR).