WordPress web sitesi kullanıcılarınız işinize zarar verebilir mi?
Yayınlanan: 2021-03-23Çalışanlarınız bir tehdit olabilir mi? Evet, büyük olasılıkla, ama esas olarak farkında olmadan.
Geçenlerde WordPress güvenlik açıklarının en büyük kaynağını vurgulayan istatistikler hakkında yazdım.
Bununla birlikte, altyapınızın bir diğer önemli bileşeni, daha fazla olmasa da eşit derecede savunmasızdır ve çoğu zaman gözden kaçırdığımız, doğrudan kötü aktörler tarafından hedeflenen kullanıcılarımızdır.
İçindekiler
- CIA'den öğrenebileceğimiz dersler
- Neden saldırılar? Neyin peşindeler?
- Nereden ve nasıl erişim kazanıyorlar?
- Bütün bunlar hakkında ne yapabilirim?
- CIA yaklaşımından ne öğrenebiliriz?
- Gizlilik
- Giriş sürecini güçlendirerek başlayın
- Güçlü parola güvenliği ve politikaları uygula
- Saklanan verileri gizlilik özelliklerine göre tanımlayın ve sınıflandırın
- Bütünlük
- İzinleri ve ayrıcalıkları sınırlayın
- Kullanıcı değişikliklerinin kaydını tutun
- kullanılabilirlik
- Verilerinizi yedekleme
- Başarısızlıklar için plan yapın
- Veri kullanılabilirliğinize yönelik güvenlik tehditleri
- Önleyici bakım
- Gizlilik
- Eğitim, eğitim
- paket servisler
CIA'den öğrenebileceğimiz dersler
Kimlik Avı ve Pretexting, siber suçlular tarafından kullanılan en çok tercih edilen taktiklerden ikisidir. Bu sosyal saldırılar, kullanıcılarınızı diğer kişisel bilgilerle birlikte oturum açma kimlik bilgilerini vermeye teşvik eder. Bu ayrıntılar daha sonra bilgisayar korsanlığı saldırılarında, güvenlik savunmalarınızın ihlal edilmesinde, web uygulamalarınıza, sistemlerinize, verilerinize erişimde kullanılır.
Diğerlerinin yanı sıra Twitter, T-Mobile, Marriot, Amtrak veya Ritz Hotel'e sormanız yeterli. Tüm manşetleri ve dikkati çeken tanınmış markalar olsa da, dört küçük işletmeden birinin (%28) doğrudan hedef alındığını ve başarılı bir şekilde tehlikeye atıldığını belirtmek endişe verici.
Bunlar, Verizon'un araştırmasından elde edilecek bazı bilgiler. 2020 yılına ilişkin Veri İhlali Araştırmaları Raporu (DBIR), yalancılık, motivasyonlar ve kötü niyetli aktörlerin yöntemleri hakkında ayrıntılı bir adli ışıldak aydınlatıyor. Açıkça bir şeyin peşindeler - verilerinizin.
Ancak aynı zamanda bu tür siber güvenlik ihlallerine karşı savunmamızı nasıl planlayabileceğimize dair bir anlayış da sağlar.
Neden saldırılar? Neyin peşindeler?
Basit cevap, saldırganların sahip olduğunuz ve değeri olan bir şeyi – veriyi istemesidir. Başarılı sistem ihlallerinin neredeyse dokuzda biri (%86) finansal kazançla motive oluyor. Bunların çoğunluğu (%55) raporda 'mafya değil, süreci olan bir suçlu' olarak tanımlanan organize suç gruplarını içeriyor.
"İhlallerin %86'sı finansal olarak motive edildi"
"Tüm ihlallerin %55'inin arkasında organize suç grupları vardı"
"Yüzde 70'i dış aktörler tarafından işleniyor"
“Yüzde 30'u dahil olan iç aktörler”
Diğerleriyle ortak olarak, işletmeniz sorunsuz elektronik iş işlemeyi kolaylaştırmak için müşteriler, tedarikçiler, ortaklar ve çalışanlar vb. tarafından size iyi niyetle verilen çeşitli verileri tutar. Bu verilerin çoğu, elbette, özel ve hassastır.
Kredi kartı ve diğer ödeme ayrıntıları, Sosyal Güvenlik bilgileri, e-posta adresleri, telefon numaraları, ev adresleri vb. gibi kişisel olarak tanımlanabilir bilgiler toplanabilir, kullanılabilir ve paraya çevrilebilir. Bunun onlar için bir oyun olmadığını unutmayın.
Bu verilerin gizli kalmasını ve korunmasını sağlamakla yükümlüsünüz. Ayrıca, verileri korumak için mümkün olan tüm önlemleri kanıtlanabilir bir şekilde almanızı gerektiren GDPR gibi gizlilik mevzuatına ve sektör düzenleyici uyumluluk yükümlülüklerine de sahipsiniz.
Bu nedenle, uygulanan herhangi bir güvenlik müdahale planı, verilerin korunmasına odaklanmalıdır.
Nereden ve nasıl erişim kazanıyorlar?
Dışarıdaki suç aktörleri, kullanıcılarınızın kimlik bilgilerini ellerine alabilirlerse işlerinin çok daha kolay olacağını biliyorlar. Bu nedenle, kullanıcılarınızın sistem oturum açma ayrıntılarını ve diğer kişisel bilgilerini vermelerini sağlamaya çalışan, her zamankinden daha karmaşık kimlik avı ve bahane saldırıları için büyük çaba harcamaları şaşırtıcı olmamalıdır.
"Kimlik avı, tüm başarılı veri ihlallerinin %22'sini oluşturuyor"
"Sosyal saldırılar: "Sosyal eylemler zamanın %96'sında e-postayla geldi."
Çevrimiçi web uygulamalarınız en yaygın saldırı vektörüdür ve saldırganlar, kaybolan veya çalınan kullanıcı oturum açma kimlik bilgilerini veya kaba kuvvet saldırılarını (zayıf parolaları kullanarak) kullanarak giriş elde eder.
"Web uygulamalarınız saldırıların %90'ından fazlasında özel olarak hedef alındı - bilgisayar korsanlığı kapsamındaki ihlallerin %80'inden fazlası kaba kuvvet veya kayıp ya da çalınan kimlik bilgilerinin kullanımını içeriyor."
Bütün bunlar hakkında ne yapabilirim?
Analizi bizim için yapan Verizon sayesinde, tehditleri ve yöntemleri anlamak için daha iyi bir konumdayız. Artık güvenlik yanıtlarımızı güçlendirmek, bu saldırıları engellemek ve herhangi bir hasarı azaltmak için bilinçli, ölçülü ve mantıklı bir yaklaşım benimsemeye başlayabiliriz.
CIA yaklaşımından ne öğrenebiliriz?
Ne yazık ki, burada Merkezi İstihbarat Teşkilatı tarafından sağlanan ve kötü adamları yenmek için kullanabileceğimiz, dünyayı etkisi altına alan yeni bir teknolojiden bahsetmiyoruz. Tehdit altındaki ana varlığınızı, verilerinizi korumaya odaklanan, kullanabileceğiniz zarif ve esnek bir çerçeveden bahsediyoruz.
CIA çerçevesi, verilerinize yanlışlıkla ve kötü niyetli erişimi ve verilerinizin değiştirilmesini azaltmak için tasarlanmış üç temel temel ilkeden oluşur:
- Gizlilik
- Bütünlük
- kullanılabilirlik
Gizlilik
Gizlilik, sakladığınız verilerin güvenliğini sağlamak için hangi önlemleri alabileceğinizi sorar; çalışanların yalnızca görevlerini yerine getirmelerini sağlamak için gereken bilgilere erişimini kısıtlar.
Başarılı bilgisayar korsanlığı ihlallerinin %80'inden fazlasının kayıp veya çalınmış kullanıcı kimlik bilgilerini ya da "yönetici/yönetici", "kullanıcı/parola", "kullanıcı/12345678" vb. gibi zayıf parolalardan yararlanmak için kaba kuvvet saldırısı kullandığını unutmayın.
Verilerinizin gizliliğini sağlamak için yapabileceğiniz birkaç işlem vardır:
Giriş sürecini güçlendirerek başlayın
İki faktörlü kimlik doğrulamayı uygulayın. 2FA, kullanıcı hesabı oturum açma işlemine fiziksel bir cihaz ekleyerek ek bir güvenlik katmanı ekler.
Erişime izin vermek için, standart kullanıcı adı ve şifre kimlik bilgilerine ek olarak, oturum açma işlemi için benzersiz, zaman sınırlı, tek seferlik bir PIN gerekecektir.
Bu nedenle, saldırganın fiziksel cihaza erişimi olmadan oturum açma kimlik bilgilerinin güvenliği ihlal edilse bile, yalnızca PIN'i isteme eylemi saldırıyı engellemek için yeterli olacaktır.
Güçlü parola güvenliği ve politikaları uygula
Kullanıcı hesaplarının %35'inden fazlası, kaba kuvvet saldırı araçlarıyla kolayca kırılabilen zayıf parolalar kullanacak.
Bu nedenle, güçlü parola güvenliği ve politikaları bir zorunluluktur. Parola gücü politikalarının yanı sıra parola geçmişi ve sona erme politikaları da uygulayın. Şu anda zorunlu kıldığınız bu güçlü parolaların zaman içinde süresinin dolması gerekecektir.
Bu nedenle, kullanıcılarınızın kimlik bilgileri gerçekten tehlikeye girerse, yalnızca parola geçerli olduğu sürece yararlıdırlar. Bu nedenle, parolanın değiştirilmesi gelecekteki kötü niyetli eylemleri engelleyecektir.
İki faktörlü kimlik doğrulama yöntemiyle birlikte, güçlü parola uygulaması oldukça sağlam bir savunma sağlar.
Saklanan verileri gizlilik özelliklerine göre tanımlayın ve sınıflandırın
Her bir rol için mevcut erişim kontrol listelerini gözden geçirin ve ardından en az ayrıcalık ilkesini kullanarak gerekli veri erişim ayrıcalıklarını uygun şekilde atayın.
Özel ve hassas verilere erişim, bilme ihtiyacı temelinde sınırlandırılmalı ve bir çalışanın rolünü yerine getirmesi için gerekli olmalıdır.
Örneğin, Müşteri Destek Temsilcinizin sipariş geçmişine, gönderi ayrıntılarına, iletişim bilgilerine vb. erişmesi gerekebilir. Müşterilerin kredi kartı ayrıntılarının, Sosyal Güvenlik Numarasının veya diğer hassas veya kişisel tanımlayıcı bilgilerin görünürlüğüne ihtiyaçları var mı?
Veya kendinize sorun, genel çalışanlara şirketin banka hesap bakiyesini ve ayrıntılarını verir misiniz? Veya şirketin cari ve tarihsel mali hesapları? O zaman bunu hayır olarak kabul edeceğiz.
Bütünlük
Bütünlük, verilerde kimlerin ve hangi koşullar altında değişiklik yapabileceğini kontrol ederek ve bilerek verilerin geçerliliğini garanti altına almak için hangi adımları atabileceğimizi düşünmemizi ister. Verilerinizin bütünlüğünü sağlamak için:
İzinleri ve ayrıcalıkları sınırlayın
Kullanıcılarınızın izinlerini, değişiklik gerektirebilecek veri öğelerine odaklanarak sınırlayın.
Verilerinizin çoğu asla veya çok nadiren değişiklik gerektirmez. Bazen En Az Ayrıcalıklar İlkesi olarak da adlandırılan bu, en etkili en iyi güvenlik uygulamalarından biridir ve genellikle gözden kaçan ancak kolayca uygulanan bir yöntemdir.
Ve bir saldırı, veriler üzerinde kısıtlayıcı izinler uygulayarak sistem hesaplarınıza başarılı bir şekilde erişirse, herhangi bir veri ihlali ve bundan kaynaklanan hasar sınırlı olacaktır.
Kullanıcı değişikliklerinin kaydını tutun
Mevcut verilerde değişiklik yapılmış olsaydı, hangi değişikliklerin, ne zaman ve kim tarafından yapıldığını nasıl bileceksiniz? Emin olabilir misin? Değişiklik yetkili ve geçerli miydi?
Kapsamlı ve gerçek zamanlı bir etkinlik günlüğüne sahip olmak, tüm WordPress sistemlerinizde gerçekleştirilen tüm eylemlerin tam görünürlüğünü sağlar ve iyi güvenlik uygulamaları için esastır.
Ayrıca, tüm faaliyetlerin arşivlenmesi ve raporlanması, yetki alanınızdaki gizlilik yasalarına ve düzenleyici uyumluluk yükümlülüklerine uymanıza yardımcı olacaktır.
kullanılabilirlik
Kullanılabilirlik, verilerimizi kolayca ve güvenilir bir şekilde erişilebilir tutmaya odaklanmamızı sağlar. Böylece işin kesintisiz devam etmesi, çalışanların görevlerini yerine getirmelerini, müşterilerinizin siparişlerini vermesini ve siz de bu siparişleri güvenli bir şekilde yerine getirip kargolamanızı sağlar.
Kesinti süresi yalnızca potansiyel gelir kaybıyla ilgili değil, aynı zamanda sistemlerinizin kullanılamamasından kaynaklanan kullanıcılarınız, aboneleriniz, müşterileriniz, iş ortaklarınız ve çalışanlarınızın güveninin erozyona uğramasıyla da ilgilidir.
Verilerinizi yedekleme
Verilerinizi düzenli olarak yedekleyin, bu yedekleri site dışında da saklamayı düşünün. İşte bu temayı geliştiren ve WordPress Yedekleme Dosyalarını ve Eski Dosyaları Yerinde Saklamanın Güvenlik Risklerini tartışan iyi bir makale.
Başarısızlıklar için plan yapın
İşletmenizin dayandığı altyapı bileşenlerini gözden geçirin; ağlar, sunucular, uygulamalar vb. ve bir düzeltici eylem planına sahiptir, bu nedenle bu ayrılmaz öğelerden herhangi biri tek tek veya toplu olarak arızalanırsa, hızlı bir şekilde kurtarabilirsiniz.
WordPress web sitenizi barındırdığınız ve bu görevlerin çoğunu sizin adınıza yapacak bir barındırma şirketi kullanıyor olabilirsiniz. Ancak, size sağladıkları süreçleri ve hizmet düzeylerini ve iş gereksinimlerinizi karşılayıp karşılamadıklarını belirlemek için ilgili soruları sormak önemlidir.
Örneğin, WordPress yedeklerinizi geri yüklemeyi deneyin, güvenlik sistemlerinizi test edin ve bir olağanüstü durum kurtarma sürecini simüle edin.
Veri kullanılabilirliğinize yönelik güvenlik tehditleri
Güvenlik açısından, raporda kaydedilen tüm olayların 1 numaralı tehdidi, erişim elde etme (hack) girişimi değil, öncelikli olarak kesintiye yönelik tasarlanmış bir Dağıtılmış Hizmet Reddi (DDoS) saldırısıdır.
WordPress barındırma şirketlerinin çoğu, bu tür saldırılara karşı yeterli savunma sağlar. Yine de, hangi çevre güvenlik hizmetlerini sunduklarını ve bu önlemlerin yeterli olup olmadığını veya savunmanızı güçlendirmeniz gerekip gerekmediğini araştırmak her zaman ihtiyatlı olur.
Önleyici bakım
Bakım, WordPress web sitenizin ve ilgili eklentilerin, mevcut bilinen güvenlik açıklarını düzeltmek için zamanında, ideal olarak otomatik bir şekilde güncellenmesini sağlayarak, Kullanılabilirlikte çok önemli bir rol oynar ve daha sağlam güvenlik savunmaları sağlar.
Eğitim, eğitim
Benjamin Franklin'in bir zamanlar söylediği gibi, "bir gram önlem bir kilo tedaviye bedeldir", bu her zaman olduğu gibi bugün de doğrudur.
Kullanıcılarınızı olası tuzaklar hakkında eğitmek ve var olan tehditleri belirlemek kritik bir önleyici tedbirdir.
- Çalışanlar için ilgili eğitimleri başlatın, onları öngörülen güvenlik politikalarının önemi ve şirketin neden bu politikaları uyguladığı konusunda eğitin.
- Bahsettiğimiz Kimlik Avı ve Pretexting gibi sosyal tehditlere özellikle odaklanarak güvenlik risklerini anlamalarına yardımcı olun. Bunun için sana teşekkür edecekler!
paket servisler
Kullanıcılara her şeye erişim vermek çok daha kolay görünebilir, bu da onların ihtiyaç duydukları ve ihtiyaç duymadıkları birçok bilgiye her zaman erişebilmelerini sağlar. Bu izin düzeyi genellikle kullanıcılara, erişim haklarını ve ayrıcalıklarını değiştirmeye yönelik olası talepleri engellemeleri için verilir. Ama bu nokta eksik.
CIA tavsiyelerini uygulayarak, özel ve hassas verilere herhangi bir erişimi (gizlilik) ve değişikliği (bütünlük) kısıtlayarak bir sistem ihlali durumunda herhangi bir hasarı azaltmak ve sınırlamak için uzun bir yol kat edeceksiniz. Ve yasal ve uyumluluk yükümlülüklerinizi yerine getirmenize yardımcı olur.
- Güçlü Parolalar; kaba kuvvet saldırılarının başarısını azaltır.
- İki Faktörlü Kimlik Doğrulama; çalınan kimlik bilgilerinin kullanımını engeller
- En Az Ayrıcalık İlkesi; bilinmesi gereken bazında verilere erişimi kısıtlar ve bu tür verilerin değiştirilmesini sınırlar.
- Etkinlik günlüğü; sizi herhangi bir erişim, değişiklik ve sistem değişikliği konusunda bilgilendirir.
- Tüm sistemlerin ve eklentilerin otomatik olarak güncel tutulduğundan emin olun.
Ve son olarak, burada, yıllık Verizon Veri İhlali Araştırma Raporlarını (DBIR) derleme konusundaki tüm çabaları için Verizon ekibine teşekkür etmek istiyorum.