¿Pueden los usuarios de su sitio web de WordPress dañar su negocio?

Publicado: 2021-03-23

¿Pueden sus empleados ser una amenaza? Sí, muy posiblemente, pero en su mayor parte sin saberlo.

Recientemente escribí sobre las estadísticas que destacan la mayor fuente de vulnerabilidades de WordPress.

Sin embargo, otra parte constitutiva importante de su infraestructura es igualmente vulnerable, si no más, y que con demasiada frecuencia pasamos por alto: nuestros usuarios, que están siendo atacados directamente por los malos actores.

Tabla de contenido

  • Lecciones que podemos aprender de la CIA
  • ¿Por qué los ataques? Que están buscando?
  • ¿Desde dónde y cómo acceden?
  • ¿Qué puedo hacer con todo esto?
  • ¿Qué podemos aprender del enfoque de la CIA?
    • Confidencialidad
      • Comience por fortalecer el proceso de inicio de sesión
      • Hacer cumplir fuertes políticas y seguridad de contraseñas
      • Identificar y clasificar los datos almacenados en cuanto a sus atributos de privacidad
    • Integridad
      • Limite los permisos y privilegios
      • Mantenga un registro de los cambios de usuario
    • Disponibilidad
      • Copia de seguridad de sus datos
      • Plan para fallas
      • Amenazas de seguridad a la disponibilidad de sus datos
      • Mantenimiento preventivo
  • Educación, formación
  • comida para llevar

Lecciones que podemos aprender de la CIA

El phishing y el pretexto son dos de las tácticas más utilizadas por los ciberdelincuentes. Estos ataques sociales tientan a sus usuarios a entregar sus credenciales de inicio de sesión junto con otra información personal. Estos detalles luego se utilizan en ataques de piratería, violando sus defensas de seguridad, accediendo a sus aplicaciones web, sus sistemas, sus datos.

Pregúntele a Twitter, T-Mobile, Marriot, Amtrak o el Hotel Ritz, entre muchos otros. Si bien son las marcas reconocibles las que obtienen todos los titulares y la atención, es alarmante observar que más de una de cada cuatro (28%) pequeñas empresas son atacadas directamente y comprometidas con éxito.

Estas son algunas ideas que surgen de la investigación de Verizon. Su Informe de investigaciones de violación de datos (DBIR) para 2020 arroja una luz de búsqueda forense detallada sobre la mentira, las motivaciones y los métodos de los actores maliciosos. Claramente buscan una cosa: sus datos.

Pero también nos da una idea de cómo podemos planificar nuestras defensas para mitigar tales infracciones de seguridad cibernética.

¿Por qué los ataques? Que están buscando?

La respuesta simple es que los atacantes quieren algo que usted tenga y que tenga valor: datos. Casi una de cada nueve (86%) de las infracciones exitosas del sistema están motivadas por ganancias financieras. De estos, la mayoría (55%) involucran a grupos del crimen organizado, definidos en el informe como 'un criminal con un proceso, no la mafia'.

“El 86 % de las infracciones tuvieron una motivación económica”

“Los grupos delictivos organizados estuvieron detrás del 55% de todas las infracciones”

“70% perpetrado por actores externos”

“30% actores internos involucrados”

Al igual que otros, su empresa conserva varios datos que le han proporcionado de buena voluntad clientes, proveedores, socios y empleados, etc. para facilitar el procesamiento comercial electrónico sin problemas. Gran parte de estos datos son, por supuesto, privados y confidenciales.

La tarjeta de crédito y otros detalles de pago, la información de identificación personal, como los detalles del Seguro Social, las direcciones de correo electrónico, los números de teléfono, las direcciones de las casas, etc., se pueden recopilar, usar y monetizar. Recuerda que esto no es un juego para ellos.

Tiene el deber de asegurarse de que estos datos permanezcan privados y protegidos. También tiene la legislación de privacidad y las obligaciones de cumplimiento normativo de la industria, como el RGPD, que exige que de manera demostrable tome todas las medidas posibles para salvaguardar los datos.

Por lo tanto, cualquier plan de respuesta de seguridad implementado debe centrarse en proteger los datos.

¿Desde dónde y cómo acceden?

Los delincuentes saben que si pueden obtener las credenciales de sus usuarios, entonces su trabajo será mucho más fácil. Por lo tanto, no debería sorprender que hagan un gran esfuerzo en ataques de phishing y pretexting cada vez más sofisticados, intentando que sus usuarios revelen sus datos de inicio de sesión del sistema y otra información personal.

“El phishing representa el 22% de todas las violaciones de datos exitosas”

“Ataques sociales: “Las acciones sociales llegaron por correo electrónico el 96% de las veces”.

Sus aplicaciones web en línea son el vector de ataque más común, y los atacantes obtienen acceso utilizando las credenciales de inicio de sesión de usuario perdidas o robadas, o ataques de fuerza bruta (explotación de contraseñas débiles).

“Sus aplicaciones web fueron el objetivo específico de más del 90 % de los ataques; más del 80 % de las infracciones dentro de la piratería involucran la fuerza bruta o el uso de credenciales perdidas o robadas”.

¿Qué puedo hacer con todo esto?

Gracias a Verizon, que realizó el análisis por nosotros, estamos mejor posicionados para comprender las amenazas y los métodos. Ahora podemos comenzar a adoptar un enfoque informado, medido y lógico para fortalecer nuestras respuestas de seguridad, bloquear estos ataques y mitigar cualquier daño.

¿Qué podemos aprender del enfoque de la CIA?

Por desgracia, no estamos hablando de una nueva tecnología líder en el mundo proporcionada por la Agencia Central de Inteligencia aquí, que podemos usar para vencer a los malos. Estamos hablando de un marco elegante y flexible que puede usar y que se enfoca en proteger su principal activo amenazado, sus datos, que es de lo que se trata todo esto.

El marco de la CIA comprende tres principios fundamentales fundamentales diseñados para mitigar el acceso accidental y malicioso a sus datos y la modificación de estos, estos son:

  • Confidencialidad
  • Integridad
  • Disponibilidad

Confidencialidad

La confidencialidad nos pregunta qué medidas puede tomar para garantizar la seguridad de los datos que posee, restringiendo el acceso de los empleados solo a la información necesaria para que puedan desempeñar sus funciones.

Recuerde que más del 80% de las infracciones de piratería exitosas utilizaron credenciales de usuario perdidas o robadas, o ataques de fuerza bruta para explotar contraseñas débiles como 'admin/admin', 'user/password', 'user/12345678', etc.

Hay varias acciones que puede tomar para garantizar la confidencialidad de sus datos:

Comience por fortalecer el proceso de inicio de sesión

Implemente la autenticación de dos factores. 2FA agrega una capa de seguridad adicional al incorporar un dispositivo físico en el proceso de inicio de sesión de la cuenta de usuario.

El proceso de inicio de sesión requerirá un PIN único, por tiempo limitado y de una sola vez, además de las credenciales estándar de nombre de usuario y contraseña, para permitir el acceso.

Por lo tanto, incluso si las credenciales de inicio de sesión se ven comprometidas, sin que el atacante tenga acceso al dispositivo físico, solo el hecho de solicitar el PIN será suficiente para frustrar el ataque.

Hacer cumplir fuertes políticas y seguridad de contraseñas

Más del 35% de las cuentas de usuario usarán contraseñas débiles que pueden descifrarse fácilmente con herramientas de ataque de fuerza bruta.

Por lo tanto, las políticas y la seguridad de contraseñas sólidas son imprescindibles. Implemente políticas de seguridad de contraseñas, pero también políticas de caducidad y de historial de contraseñas. Estas contraseñas seguras que ahora ha aplicado deberán caducar oportunamente.

Por lo tanto, en caso de que las credenciales de sus usuarios se vean comprometidas, solo son útiles siempre que la contraseña sea válida. Cambiar la contraseña, por lo tanto, frustrará cualquier acción maliciosa futura.

Junto con el método de autenticación de dos factores, la implementación de contraseñas seguras constituye una defensa considerablemente sólida.

Identificar y clasificar los datos almacenados en cuanto a sus atributos de privacidad

Lleve a cabo una revisión de las listas de control de acceso actuales para cada rol y luego asigne los privilegios de acceso a los datos necesarios de manera adecuada, utilizando el principio de privilegio mínimo.

El acceso a datos privados y confidenciales debe restringirse en función de la necesidad de conocerlos y ser necesarios para que un empleado cumpla con su función.

Por ejemplo, su representante de atención al cliente puede necesitar acceso al historial de pedidos, detalles de envío, detalles de contacto, etc. ¿Necesitan ver los detalles de la tarjeta de crédito de los clientes, el número de seguro social u otra información confidencial o de identificación personal?

O pregúntese, ¿proporcionaría a los empleados generales el saldo y los detalles de la cuenta bancaria de la empresa? ¿O las cuentas financieras actuales e históricas de la empresa? Tomaremos eso como un no entonces.

Integridad

Integrity nos pide que consideremos qué pasos podemos tomar para garantizar la validez de los datos mediante el control y el conocimiento de quién puede realizar cambios en los datos y en qué circunstancias. Para garantizar la integridad de sus datos:

Limite los permisos y privilegios

Limite los permisos de sus usuarios, enfocándose en qué elementos de datos pueden requerir modificación.

Gran parte de sus datos nunca, o muy raramente, requerirán modificación. A veces llamado el Principio de los privilegios mínimos, es una de las mejores prácticas de seguridad más efectivas, y una que comúnmente se pasa por alto pero se aplica fácilmente.

Y en caso de que un ataque acceda con éxito a las cuentas de su sistema, mediante la implementación de permisos restrictivos en los datos, cualquier violación de datos y cualquier daño resultante serían limitados.

Mantenga un registro de los cambios de usuario

Si se hicieran cambios a los datos existentes, ¿cómo sabría qué cambios, cuándo y por quién? ¿Podrías estar seguro? ¿La modificación fue autorizada y válida?

Tener un registro de actividad completo y en tiempo real le brindará una visibilidad completa de todas las acciones realizadas en todos sus sistemas de WordPress y es fundamental para una buena práctica de seguridad.

Además, archivar e informar sobre cualquiera y todas las actividades lo ayudará a cumplir con las leyes de privacidad y las obligaciones de cumplimiento normativo en su jurisdicción.

Disponibilidad

La disponibilidad nos obliga a centrarnos en mantener nuestros datos accesibles de manera fácil y confiable. De este modo, garantiza que el negocio continúe sin interrupciones, lo que permite a los empleados realizar sus tareas, sus clientes realizan sus pedidos y usted puede cumplir y enviar esos pedidos de manera segura.

El tiempo de inactividad no se trata solo de la posible pérdida de ingresos, sino también de la erosión de la confianza de sus usuarios, suscriptores, clientes, socios y empleados, como resultado de que sus sistemas no estén disponibles.

Copia de seguridad de sus datos

Realice una copia de seguridad de sus datos regularmente, considere también tener estas copias de seguridad almacenadas fuera del sitio. Aquí hay un buen artículo que desarrolla este tema y analiza los riesgos de seguridad de almacenar archivos de respaldo y archivos antiguos de WordPress en el sitio.

Plan para fallas

Revise los componentes de infraestructura de los que depende su empresa; redes, servidores, aplicaciones, etc. y tenga un plan de acción correctivo, por lo que si alguno de estos elementos integrales, ya sea individualmente o colectivamente falla, puede recuperarse rápidamente.

Es posible que esté utilizando una empresa de alojamiento en la que aloja su sitio web de WordPress y que se encargará de muchas de estas tareas en su nombre. Sin embargo, es esencial hacer las preguntas pertinentes para determinar los procesos y los niveles de servicio que le brindan y si coinciden con los requisitos de su negocio.

Por ejemplo, intente restaurar sus copias de seguridad de WordPress, pruebe sus sistemas de seguridad y simule un proceso de recuperación ante desastres.

Amenazas de seguridad a la disponibilidad de sus datos

Desde una perspectiva de seguridad, la amenaza número 1 de todos los incidentes registrados en el informe es un ataque de denegación de servicio distribuido (DDoS), diseñado principalmente para interrumpir, y no para intentar obtener acceso (piratería).

Muchas de las empresas de alojamiento de WordPress brindan defensas adecuadas para este tipo de ataques. Aún así, siempre es prudente investigar qué servicios de seguridad perimetral ofrecen y si estas medidas son suficientes o si debes reforzar tus defensas.

Mantenimiento preventivo

El mantenimiento juega un papel crucial en la disponibilidad, asegurando que su sitio web de WordPress y los complementos asociados se actualicen de manera oportuna, idealmente automática, para corregir cualquier vulnerabilidad conocida existente, lo que resulta en defensas de seguridad más sólidas.

Educación, formación

Como dijo una vez Benjamin Franklin, "una onza de prevención vale más que una libra de cura", lo cual es tan cierto hoy como siempre.

Y educar a sus usuarios sobre los peligros potenciales e identificar las amenazas que existen es una medida preventiva fundamental.

  • Fomentar la formación pertinente para los empleados, educarlos sobre la importancia de las políticas de seguridad prescritas y por qué la empresa ha implementado tales políticas.
  • Ayúdelos a comprender los riesgos de seguridad, con un enfoque particular en las amenazas sociales como el phishing y el pretexto que discutimos. ¡Te lo agradecerán!

comida para llevar

Puede parecer mucho más fácil dar a los usuarios acceso a todo, lo que garantiza que siempre tendrán acceso a la información que necesitan y mucho que no. Este nivel de permiso a menudo se otorga a los usuarios para evitar posibles solicitudes de cambio de derechos y privilegios de acceso. Pero eso es perder el punto.

Al implementar las recomendaciones de la CIA, recorrerá un largo camino para mitigar y limitar cualquier daño en caso de una violación del sistema al restringir cualquier acceso (confidencialidad) y la modificación (integridad) a datos privados y confidenciales. Y ayudarlo a cumplir con sus obligaciones legales y de cumplimiento.

  1. contraseñas seguras; reduce el éxito de los ataques de fuerza bruta.
  2. Autenticación de dos factores; dificulta el uso de credenciales robadas
  3. Principio de Mínimo Privilegio; restringe el acceso a los datos en función de la necesidad de conocerlos y limita la modificación de dichos datos.
  4. registro de actividades; le mantiene informado, de cualquier acceso, modificación y cambios en el sistema.
  5. Asegúrese de que todos los sistemas y complementos se mantengan actualizados automáticamente.

Y, por último, me gustaría aprovechar la oportunidad para agradecer al equipo de Verizon por todos sus esfuerzos en la compilación de su Informe anual de investigaciones de violación de datos de Verizon (DBIR).