Το 2017 ήταν ένα πανό έτος για παραβιάσεις της ασφάλειας στον κυβερνοχώρο. Equifax, WannaCry και NotPetya, για να μην αναφέρουμε την ανακοίνωση ότι κάθε Ο λογαριασμός Yahoo παραβιάστηκε—υπήρχε κάτι σημαντικό να ανακοινωθεί για παραβιάσεις ασφαλείας κάθε μήνα (και σχεδόν κάθε εβδομάδα). Η χρονιά ήταν αναμφισβήτητη απόδειξη ότι οι κίνδυνοι στον κυβερνοχώρο είναι πραγματικοί και πρέπει να τους δώσουμε μεγαλύτερη προσοχή.
Η αντιμετώπιση των κινδύνων ασφαλείας είναι ακόμη πιο σημαντική για τις επιχειρήσεις που, κατά τη διάρκεια της καθημερινής τους λειτουργίας, συγκεντρώνουν ευαίσθητες πληροφορίες από μεγάλο αριθμό ατόμων. Με οργανισμούς τόσο μεγάλους όπως το Yahoo και το Experian (που είναι αρκετά μεγάλοι για να χωρέσουν τις δικές τους ομάδες InfoSec) που υποφέρουν από παραβιάσεις δεδομένων, είναι επιτακτική ανάγκη οι επιχειρήσεις να κάνουν ό,τι μπορούν για να μετριάσουν τους κινδύνους που αντιμετωπίζουν από χάκερ και άλλους κακόβουλους χρήστες.
Το πρώτο βήμα για να προστατεύσετε την επιχείρησή σας είναι να οπλιστείτε με γνώσεις—να γνωρίζετε ποιοι είναι οι κίνδυνοι και τι μπορείτε να κάνετε για να αμυνθείτε από αυτούς. Δεν μπορούμε να είμαστε όλοι PKI εμπειρογνώμονες ή ελεγκτές διείσδυσης, αλλά ο καθένας μας μπορεί να μάθει λίγα περισσότερα για το τι είναι ευάλωτο σε ένα δεδομένο σύστημα και ποιες είναι οι ευθύνες μας σε περίπτωση παραβίασης.
Αυτός ο οδηγός έχει σχεδιαστεί για να σας βοηθήσει με αυτό. Διαβάστε παρακάτω για να μάθετε τι κινδυνεύει, το πραγματικό κόστος μιας παραβίασης δεδομένων και πόσο πολύτιμα μπορεί να είναι τα προληπτικά μέτρα.
Τι είδους κυβερνοεπιθέσεις χρησιμοποιούνται;
ο τρόποι με τους οποίους οι χάκερ μπορούν να αποκτήσουν πρόσβαση στο σύστημά σας είναι ποικίλα και πολυάριθμα, και κάθε μέρα ανακαλύπτονται νέοι δρόμοι. Συνήθως, κινδυνεύετε από χάκερ να χρησιμοποιήσουν τον ιστότοπό σας, τις συσκευές σας, ακόμη και τους ανθρώπους σας για να αποκτήσουν πρόσβαση. Είστε επίσης ευάλωτοι σε εσωτερικές απειλές, σκόπιμες και τυχαίες.
Αν και η παρακάτω λίστα είναι αρκετά εξαντλητική, δεν είναι σε καμία περίπτωση περιεκτική. Η λίστα και η συζήτηση κάθε μεθόδου εισβολής θα ήταν δύσκολη (και πέρα από το πεδίο εφαρμογής αυτού του άρθρου). Τούτου λεχθέντος, θέλαμε να σας δώσουμε μια σταθερή βάση κατανόησης, ώστε να είστε καλύτερα προετοιμασμένοι να χειριστείτε τις πιο συνηθισμένες απειλές που χρησιμοποιούν οι χάκερ.
Χρήση των Συσκευών σας
Από μικρές νεοφυείς επιχειρήσεις έως μεγάλες εταιρείες, οι εταιρείες χρειάζονται κάπου να αποθηκεύσουν τα δεδομένα τους. Οι μεγάλες ποσότητες ευαίσθητων πληροφοριών σε μία μόνο συσκευή είναι ακριβώς ο λόγος για τον οποίο αυτά τα μηχανήματα γίνονται στόχοι. Από τους αριθμούς πιστωτικών καρτών έως τα διαπιστευτήρια σύνδεσης, υπάρχει πλήθος πληροφοριών που θα ήθελαν να πάρουν στα χέρια τους οι χάκερ και οι εγκληματίες και υπάρχουν διάφοροι τρόποι για να τις λάβουν:
- Ιοί υπολογιστών—κακόβουλος κώδικας που, όταν εκτελείται, μολύνει τη συσκευή σας, προκαλεί βλάβη και εξαπλώνεται σε άλλες συσκευές.
- Ευπάθειες λογισμικού—τα κενά στην ασφάλεια των προγραμμάτων και των λειτουργικών συστημάτων μπορούν να παραχωρήσουν πρόσβαση σε κερκόπορτα σε όσους είναι αρκετά έμπειροι ώστε να τα εκμεταλλεύονται, αποκαλύπτοντας ρυθμίσεις και αρχεία που προτιμάτε να κρατάτε ιδιωτικά.
- Φυσική κλοπή—οι αποφασισμένοι χάκερ μπορεί να καταφύγουν σε πιο άμεσες μεθόδους απόκτησης πρόσβασης, όπως η κλοπή της συσκευής και το σπάσιμο της στο σπίτι, όπου μπορούν να το κάνουν με τον ελεύθερο χρόνο τους.
Μια ειδική σημείωση εδώ πηγαίνει στο ransomware, κάτι που συνήθως δεν συμβαίνει κλέβω πληροφορίες, αλλά περιέχει δεδομένα και συσκευές για λύτρα (εξ ου και το όνομα). Συνήθως, εκμεταλλευόμενος ένα θέμα ευπάθειας λογισμικού, εξαπλώνεται σαν ιός, μολύνοντας κάθε συσκευή που μπορεί και κρυπτογραφώντας τον σκληρό δίσκο, κλειδώνοντάς σας έξω από τη συσκευή. Αυτή μπορεί να είναι μια αποτελεσματική —και πολύ δαπανηρή— τακτική και πολλοί άνθρωποι και επιχειρήσεις αποφασίζουν να πληρώσουν τα λύτρα για να ανακτήσουν τον έλεγχο της συσκευής τους.
Χρήση του ιστότοπού σας
Η φιλοξενία μιας διαδικτυακής παρουσίας προσφέρει πρόσθετους τρόπους εισόδου στους χάκερ που θέλουν πρόσβαση στις πληροφορίες σας. Μερικές από αυτές τις επιθέσεις είναι περίπλοκες, κάποιες είναι στοιχειώδεις, αλλά όλες είναι αποτελεσματικές εάν δεν προστατεύονται προσεκτικά. Εδώ είναι μερικά από αυτά:
- SQL injection—αυτό συμβαίνει όταν οι κακόβουλοι χρήστες βάζουν μια εντολή SQL σε ένα πεδίο φόρμας στον ιστότοπό σας και, στη συνέχεια, πατούν υποβολή. η εντολή ερωτά τη βάση δεδομένων σας και δίνει στον χρήστη αυτό που ζήτησε (συνήθως πληροφορίες που δεν θα έπρεπε να έχει).
- Επιθέσεις XSS—Το XSS σημαίνει “Σενάριο διασταυρούμενου ιστότοπου”. Το πιο συνηθισμένο παράδειγμα είναι όταν ένας χάκερ αφήνει ένα σχόλιο σε μια από τις ιστοσελίδες σας με μια εντολή JavaScript μέσα. όταν ένας κανονικός χρήστης ανοίγει τη σελίδα, η εντολή εκτελείται, μολύνοντας τη συσκευή του με κακόβουλο λογισμικό.
- Επιθέσεις μεταφόρτωσης αρχείων—αν ο ιστότοπός σας διαθέτει επιλογή μεταφόρτωσης αρχείων (για αλλαγή φωτογραφιών προφίλ ή για υποβολή βιογραφικών για αίτηση εργασίας), οι χάκερ μπορούν να ανεβάσουν ένα αρχείο που έχει ενσωματωμένες εντολές. κατά τη μεταφόρτωση του αρχείου, η εντολή εκτελείται, επιτρέποντάς τους να υποστούν κάποια σοβαρή ζημιά.
- Επιθέσεις MitM—Χρειάζεται κάποια ενέργεια, αλλά οι χάκερ μπορούν, με κάποια προσπάθεια, να τοποθετήσουν τη συσκευή τους μεταξύ του διακομιστή σας και ενός χρήστη, γι’ αυτό ονομάζεται επίθεση Man-in-the-Middle. κοροϊδεύουν τον χρήστη και τον διακομιστή πιστεύοντας ότι έχουν απευθείας γραμμή, όταν πραγματικά, κάθε μετάδοση δρομολογείται μέσω του χάκερ, δίνοντάς τους πρόσβαση σε όλες τις προσωπικές πληροφορίες του χρήστη.
- Επιθέσεις υποβάθμισης HTTPS—Το HTTPS κάνει συνήθως καλή δουλειά στην αποτροπή επιθέσεων MitM, αλλά μπορεί να νικηθεί. εάν ο χάκερ μπορεί να αναγκάσει τον διακομιστή να υποβαθμίσει ξανά σε HTTP—ή ακόμα και σε παλαιότερη, λιγότερο ασφαλή έκδοση του HTTPS—μπορεί να εισαχθεί με επιτυχία μεταξύ του διακομιστή και του χρήστη.
Όπως και το ransomware, οι επιθέσεις DDoS (Distributed Denial of Service) λαμβάνουν ειδική μνεία. Δεν έχουν σχεδιαστεί για να κλέβουν από το σύστημά σας, αλλά για να το καταρρεύσουν. Χρησιμοποιώντας έναν στρατό υπολογιστών που έχουν παραβιαστεί μέσω κακόβουλου λογισμικού (περισσότερα για αυτό αργότερα), πλημμυρίζουν τον ιστότοπό σας με ταυτόχρονα αιτήματα. Αυτό υπερφορτώνει το σύστημά σας και το διακόπτει.
Χρησιμοποιώντας τους ανθρώπους σας
Μερικές φορές, οι χάκερ δεν χρειάζεται να εκμεταλλευτούν καθόλου την τεχνολογία για να ολοκληρώσουν τη δουλειά. Παρακάμπτουν τόσο το υλικό όσο και το λογισμικό και πυροβολούν κατευθείαν για το βρεγμένοςπροϊόντα, ένας όρος που αναφέρεται στον απαλό, σαρκώδη οργανισμό που κάθεται ανάμεσα στην καρέκλα και το πληκτρολόγιο. Με χειραγώγηση των εργαζομένων στην εταιρεία σας, οι χάκερ μπορούν να αποκτήσουν πρόσβαση σε πολλά πράγματα που συνήθως είναι κλειδωμένα.
- Κακόβουλο λογισμικό— η καρδιά και η ψυχή του hacking wetware, αυτά είναι κακόβουλα προγράμματα που είναι μεταμφιεσμένα ως κάτι καλό ή επιθυμητό. Αν και δεν είναι τόσο μεταδοτικοί όσο οι ιοί, μπορούν να κάνουν πολύ κακό στις συσκευές σας. Το μόνο που χρειάζεται είναι ο χρήστης να μπερδέψει το κακόβουλο λογισμικό με κάτι που είναι ασφαλές για λήψη και εκτέλεση.
- Απάτες phishing—ορισμένοι χάκερ δεν αρκούνται στο να κάθονται και να περιμένουν να βρεθεί το κακόβουλο λογισμικό τους. Γίνονται προληπτικοί και επιτίθενται, στέλνοντας μηνύματα ηλεκτρονικού ταχυδρομείου που μοιάζουν σαν να προέρχονται από αξιόπιστες ή αξιόπιστες πηγές που δίνουν οδηγίες στον παραλήπτη να κατεβάσει το κακόβουλο λογισμικό.
- Κοινωνική μηχανική— Ξεσπώντας τις δεξιότητες απατεώνων, οι χάκερ μπορούν μερικές φορές να πάρουν αυτό που θέλουν απλά να τους παραδοθεί. τηλεφωνώντας στο IT και λέγοντάς τους «ξέχασα τον κωδικό πρόσβασής μου» ή παρόμοιες τακτικές που χειραγωγούν την προθυμία ενός ανθρώπου να εμπιστευτεί κάποιον που μιλάει σαν να ανήκει.
Εσωτερικές Απειλές
Οι εσωτερικές απειλές είναι αυτές που προέρχονται από τα τείχη της επιχείρησής σας, δηλαδή από τους δικούς σας υπαλλήλους. Δεν είναι όλα σκόπιμα, αλλά όλα μπορεί να είναι καταστροφικά:
- Εγκατάσταση επικίνδυνου λογισμικού
- Μη ασφαλής απόρριψη/επαναχρησιμοποίηση συσκευών
- Μη σκόπιμη διανομή ευαίσθητων πληροφοριών
- Κλοπή/χειρισμός ευαίσθητων δεδομένων
- Κοινή χρήση κωδικών πρόσβασης/διαπιστευτηρίων σύνδεσης
- Χρήση αδύναμων κωδικών πρόσβασης
- Λήψη κακόβουλου λογισμικού
- Αποτυχία ενημέρωσης λογισμικού
Οι εργαζόμενοι σχεδόν σε κάθε εταιρεία κάνουν λάθη σαν αυτό καθημερινά. Μερικές φορές το ξεφεύγουν. Μερικές φορές οδηγεί σε καταστροφές που τελειώνουν τις επιχειρήσεις.
Ποιοι είναι οι νόμοι σχετικά με την ευθύνη για την ασφάλεια στον κυβερνοχώρο;
Ομοσπονδιακή νομοθεσία περί απορρήτου
Μέχρι στιγμής, οι ομοσπονδιακοί κανονισμοί ήταν πολύ «σταθεροί» όσον αφορά τις πρακτικές απορρήτου και τη νομοθεσία για την ασφάλεια στον κυβερνοχώρο. Οι μόνοι σημαντικοί νόμοι που προστατεύουν το δικαίωμα των ανθρώπων στην ιδιωτική ζωή είναι οι Νόμος περί απορρήτου του 1974—το οποίο διέπει τον τρόπο με τον οποίο οι ομοσπονδιακές υπηρεσίες χειρίζονται ευαίσθητες πληροφορίες—και το Νόμος περί φορητότητας και λογοδοσίας ασφάλισης υγείας (HIPAA)— το οποίο διέπει τον τρόπο με τον οποίο οι πάροχοι υγειονομικής περίθαλψης και οι εταιρείες ασφάλισης υγείας υποτίθεται ότι προστατεύουν τις πληροφορίες των ασθενών. Μπορεί να μην έχετε σκεφτεί HIPAA όσον αφορά την ασφάλεια στον κυβερνοχώροαλλά 1 στα 4 Οι επιθέσεις στον κυβερνοχώρο στοχεύουν στην απόκτηση αρχείων υγειονομικής περίθαλψης ή στη διείσδυση σε νοσοκομεία.
Για την κατάταξη και το αρχείο των επιχειρήσεων, δεν υπάρχει ομοσπονδιακός νόμος που να απαιτεί συγκεκριμένες πρακτικές απορρήτου ή πολιτικές ειδοποιήσεων. Επίσης, δεν υπάρχει συγκεκριμένος νόμος που να καθιστά υπεύθυνες τις επιχειρήσεις σε περίπτωση που αμελούν τον τρόπο με τον οποίο προστατεύουν ευαίσθητες πληροφορίες. Με το κύμα των πρόσφατων παραβιάσεων, ωστόσο, δεν υπάρχει καμία εγγύηση ότι θα παραμείνει έτσι.
Τοπικοί νόμοι περί απορρήτου (συγκεκριμένα στη Γιούτα)
Η Γιούτα, όπως και οι περισσότερες πολιτείες, έχει εφαρμόσει τους δικούς της κανονισμούς για παραβιάσεις δεδομένων (που βρίσκονται στο Utah Code Ann §§ 13–44–101). Αφορά πρωτίστως τι μετράει ως «προσωπικές πληροφορίες», τι συνιστά παραβίαση και με την επιβολή μιας πολιτικής ειδοποιήσεων σε περίπτωση παραβίασης. Κάτω από τον κωδικό, τα προσωπικά στοιχεία ορίζονται ως το όνομα ενός ατόμου (όνομα και επίθετο ή ονοματεπώνυμο), σε συνδυασμό με ένα ή περισσότερα από τα ακόλουθα:
- Κρατικός αριθμός ταυτότητας (δηλαδή αριθμός άδειας οδήγησης)
- Αριθμός κοινωνικής ασφάλισης
- Αριθμός πιστωτικής κάρτας ή αριθμός οικονομικού λογαριασμού και οποιοσδήποτε σχετικός κωδικός ασφαλείας ή κωδικός πρόσβασης που απαιτείται για την πρόσβαση
Εάν ένας οργανισμός, ίδρυμα ή εταιρεία έχει λόγους να πιστεύει ότι τα προσωπικά στοιχεία ενός κατοίκου της Γιούτα έχουν παραβιαστεί, απαιτείται μια καλή τη πίστη έρευνα για την πιθανή παραβίαση. Εάν αυτή η έρευνα παρέχει εύλογες αποδείξεις ότι τα προσωπικά δεδομένα έχουν γίνει κατάχρηση, απαιτείται ειδοποίηση σε κάθε κάτοικο της Γιούτα που επηρεάζεται. Από κει και πέρα, υπάρχει ελάχιστη λογοδοσία μέχρι στιγμής στο νόμο. Και πάλι, με τόσους πολλούς κατοίκους της Γιούτα που επηρεάζονται από πρόσφατες παραβιάσεις, είναι πιθανό οι νομοθέτες να το αλλάξουν σύντομα.
Ποιο είναι το κόστος μιας παραβίασης δεδομένων;
Ανάλογα με το μέγεθος της επιχείρησής σας, το μέσο κόστος μιας παραβίασης δεδομένων μπορεί να είναι καταστροφικό ή απλώς μια σταγόνα στον κάδο. Από το 2017, η μέση παραβίαση κοστίζει μια εταιρεία 3,62 εκατομμύρια δολάρια. Ωστόσο, οι μέσοι όροι μπορεί να εξαπατήσουν, και είναι απολύτως πιθανό να σας κοστίσει πολύ περισσότερο. Να μερικά παραδείγματα:
- IRS: εξέδωσε η ομοσπονδιακή υπηρεσία 39 εκατομμύρια δολάρια σε πλαστές φορολογικές δηλώσεις σε εγκληματίες που εξαπάτησαν θύματα το 2015.
- Yahoo: ο γίγαντας του Διαδικτύου ήταν στη διαδικασία να πουλήσει την επιχείρηση στη Verizon για 4,8 δισεκατομμύρια δολάρια. η συμφωνία σχεδόν δεν ολοκληρώθηκε, και όπως ήταν, η τιμή πώλησης μειώθηκε 350 εκατομμύρια δολάρια.
- Equifax: η πρόσφατη παραβίαση έχει κοστίσει στο πιστωτικό γραφείο 4 δισεκατομμύρια δολάρια μόνο στην πτώση των αξιών των μετοχών.
Σαφώς, μια παραβίαση δεδομένων είναι μια ατυχία που δεν μπορεί να αντέξει κάθε επιχείρηση. Αυτός είναι ο λόγος για τον οποίο η λήψη μέτρων για την πρόληψη μιας εισβολής είναι τόσο κρίσιμη.
Πώς μπορώ να προστατεύσω την επιχείρησή μου;
Η προστασία μιας επιχείρησης από τους κινδύνους παραβίασης δεδομένων γίνεται καλύτερα με μια προσέγγιση δύο πλευρών: πρόληψη και αντιμετώπιση.
Πρόληψη
Το κλειδί για την πρόληψη είναι ο εντοπισμός των τρωτών σημείων πριν χρησιμοποιηθούν εναντίον σας και στη συνέχεια το κλείσιμο αυτών των τρωτών σημείων. Ξεκινά με την φυσική ασφάλεια των συσκευών και τη θέσπιση καλύτερων εταιρικών πολιτικών σχετικά με τις συνδέσεις των εργαζομένων, τη χρήση υπολογιστή, την κρυπτογράφηση δεδομένων κ.λπ. Στη συνέχεια, αρχίζετε να ενεργείτε με ελέγχους κυβερνοασφάλειας. Αυτές οι σαρώσεις ασφαλείας βοηθούν στον εντοπισμό σημείων αδυναμίας. Για πρόσθετα επίπεδα ανίχνευσης, προχωρήστε ένα βήμα παραπέρα με τη δοκιμή διείσδυσης—αυτό είναι ουσιαστικά σαν ασκήσεις πυρός για την ασφάλεια στον κυβερνοχώρο σας. προσλαμβάνετε κάποιον για να χακάρει το σύστημά σας και όταν είναι επιτυχής, προσδιορίζετε τη διαδρομή που χρησιμοποίησε και κλείνετε την ευπάθεια
Απάντηση
Εδώ είναι που ασφάλεια στον κυβερνοχώρο έρχεται σε βολικό. Έχοντας μια ομάδα ειδικών στο συγκρατητή που μπορεί να σας βοηθήσει να καθαρίσετε το χάος—και να το καθαρίσετε γρήγορα. Κυβερνοασφάλιση σημαίνει ότι έχετε βοήθεια για να κλείσετε γρήγορα την παραβίαση, να εντοπίσετε τι ήταν σε κίνδυνο και να βοηθήσετε να ανακάμψετε από τη ζημιά και να επαναφέρετε την επιχείρησή σας στα πόδια της.
Αυτή η διπλή προσέγγιση είναι το είδος προστασίας που μπορεί να προσφέρει η Fibernet στην επιχείρησή σας. Εάν είστε περίεργοι εάν η εταιρεία σας μπορεί να επωφεληθεί από την προστασία σε επίπεδο ειδικών και την ασφάλεια στον κυβερνοχώρο, ξεκινήστε τη διαδικασία σήμερα κατεβάζοντας τη λίστα ελέγχου ελέγχου της ασφάλειας στον κυβερνοχώρο σήμερα. Δώστε το στον διαχειριστή IT και ζητήστε του να αξιολογήσει το επίπεδο ασφάλειάς σας. Στη συνέχεια, ελάτε σε εμάς με οποιεσδήποτε ερωτήσεις ή ανησυχίες έχετε και μπορούμε να σας βοηθήσουμε να στεγανοποιήσετε την επιχείρησή σας.
Ένα ασφαλέστερο, πιο ασφαλές Διαδίκτυο είναι ευθύνη όλων. Ήρθε η ώρα να αρχίσουμε όλοι να συμμετέχουμε.
Βρήκατε αυτό το άρθρο κατατοπιστικό και χρήσιμο; Αφιερώστε λίγο χρόνο για να το μοιραστείτε στο Facebook, το Twitter και το LinkedIn.
Θέλετε να μάθετε περισσότερα για το τι μπορείτε να κάνετε για να προστατεύσετε την επιχείρησή σας; Επικοινωνία Δίκτυο οπτικών ινών σήμερα για να έχετε την ησυχία σας να γνωρίζετε ότι προστατεύεστε από τους χάκερ.
