Czy użytkownicy Twojej witryny WordPress mogą zaszkodzić Twojej firmie?

Czy Twoi pracownicy mogą być zagrożeniem? Tak, całkiem możliwe, ale w większości nieświadomie.

Niedawno pisałem o statystykach, które wskazują na największe źródło luk w WordPressie.

Jednak inna znaczna część twojej infrastruktury jest równie podatna, jeśli nie bardziej, i którą zbyt często pomijamy – nasi użytkownicy – ​​którzy są bezpośrednio atakowani przez złych aktorów.

Spis treści

• Lekcje, których możemy się nauczyć od CIA
• Dlaczego ataki? Czego oni chcą?
• Skąd i jak uzyskują dostęp?
• Co mogę z tym wszystkim zrobić?
• Czego możemy się nauczyć z podejścia CIA?
  • Poufność
    • Zacznij od wzmocnienia procesu logowania
    • Egzekwuj silne hasła i zasady bezpieczeństwa
    • Identyfikować i klasyfikować przechowywane dane pod kątem ich atrybutów prywatności
  • Uczciwość
    • Ogranicz uprawnienia i przywileje
    • Prowadź dziennik zmian użytkownika
  • Dostępność
    • Tworzenie kopii zapasowej danych
    • Plan na awarie
    • Zagrożenia bezpieczeństwa dla Twojej dostępności danych
    • Konserwacja zapobiegawcza
• Edukacja, szkolenia
• Na wynos

Lekcje, których możemy się nauczyć od CIA

Phishing i Pretexting to dwie z najpopularniejszych taktyk stosowanych przez cyberprzestępców. Te ataki społecznościowe zachęcają użytkowników do rezygnacji z danych logowania wraz z innymi danymi osobowymi. Dane te są następnie wykorzystywane w atakach hakerskich, łamaniu zabezpieczeń, uzyskiwaniu dostępu do aplikacji internetowych, systemów i danych.

Po prostu zapytaj Twittera, T-Mobile, Marriot, Amtrak lub Ritz Hotel, między innymi. Chociaż to rozpoznawalne marki przyciągają uwagę wszystkich nagłówków i uwagi, niepokojące jest to, że ponad jedna na cztery (28%) małych firm jest bezpośrednio atakowana i skutecznie zagrożona.

Oto kilka spostrzeżeń wynikających z badań Verizon. Ich raport z dochodzenia w sprawie naruszenia danych (DBIR) na 2020 r. rzuca szczegółowy reflektor kryminalistyczny na zakłamania, motywacje i metody złośliwych podmiotów. Najwyraźniej chodzi im o jedno – Twoje dane.

Ale daje nam również zrozumienie, w jaki sposób możemy zaplanować nasze mechanizmy obronne w celu złagodzenia takich naruszeń cyberbezpieczeństwa.

Dlaczego ataki? Czego oni chcą?

Prosta odpowiedź brzmi, że atakujący chcą czegoś, co masz i co ma wartość – danych. Prawie jedno na dziewięć (86%) udanych naruszeń systemu jest motywowane korzyściami finansowymi. Spośród nich większość (55%) dotyczy zorganizowanych grup przestępczych, określonych w raporcie jako „przestępca z procesem, a nie mafia”.

„86% naruszeń było motywowanych finansowo”

„Zorganizowane grupy przestępcze były odpowiedzialne za 55% wszystkich naruszeń”

„70% sprawców zewnętrznych”

„30% zaangażowanych aktorów wewnętrznych”

Podobnie jak inne, Twoja firma przechowuje różne dane przekazane Ci w dobrej woli przez klientów, dostawców, partnerów i pracowników itp. w celu ułatwienia sprawnego elektronicznego przetwarzania biznesowego. Wiele z tych danych jest oczywiście prywatnych i wrażliwych.

Dane karty kredytowej i inne dane dotyczące płatności, informacje umożliwiające identyfikację, takie jak dane ubezpieczenia społecznego, adresy e-mail, numery telefonów, adresy domowe itp., mogą być zbierane, wykorzystywane i zarabiane. Pamiętaj, że to nie jest gra dla nich.

Masz obowiązek zapewnić, że te dane pozostaną prywatne i chronione. Masz również prawodawstwo dotyczące prywatności i obowiązki w zakresie zgodności z przepisami branżowymi, takie jak RODO, które wymagają podjęcia wszelkich możliwych środków w celu ochrony danych.

Dlatego każdy wprowadzony plan bezpieczeństwa musi koncentrować się na ochronie danych.

Skąd i jak uzyskują dostęp?

Przestępcy wiedzą, że jeśli uda im się zdobyć dane uwierzytelniające użytkowników, ich praca będzie znacznie łatwiejsza. Dlatego nie powinno dziwić, że wkładają dużo wysiłku w coraz bardziej wyrafinowane ataki phishingowe i pretekstowe, próbując skłonić użytkowników do zrezygnowania z danych logowania do systemu i innych danych osobowych.

„Wyłudzanie informacji stanowi 22% wszystkich udanych naruszeń danych”

„Ataki społecznościowe: „Akcje społecznościowe docierały do ​​wiadomości e-mail w 96% przypadków”.

Twoje aplikacje internetowe online są najczęstszym wektorem ataku, a atakujący uzyskują dostęp, korzystając z utraconych lub skradzionych danych logowania użytkownika lub ataków typu brute force (wykorzystywanie słabych haseł).

„Twoje aplikacje internetowe były specjalnie celem ponad 90% ataków – ponad 80% naruszeń w ramach hakowania obejmuje brutalną siłę lub użycie zgubionych lub skradzionych danych uwierzytelniających”.

Co mogę z tym wszystkim zrobić?

Dzięki firmie Verizon, która wykonała dla nas analizę, jesteśmy lepiej przygotowani do zrozumienia zagrożeń i metod. Możemy teraz zacząć stosować świadome, wyważone i logiczne podejście, aby wzmocnić nasze reakcje w zakresie bezpieczeństwa, powstrzymać te ataki i złagodzić wszelkie szkody.

Czego możemy się nauczyć z podejścia CIA?

Niestety, nie mówimy tutaj o jakiejś nowej, światowej sławy technologii dostarczonej przez Centralną Agencję Wywiadowczą, której możemy użyć do pokonania złych ludzi. Mówimy o eleganckich i elastycznych ramach, z których można korzystać, które skupiają się na ochronie zagrożonego głównego zasobu, czyli danych, o co w tym wszystkim chodzi.

Ramy CIA składają się z trzech podstawowych zasad mających na celu ograniczenie przypadkowego i złośliwego dostępu do danych oraz ich modyfikacji. Są to:

• Poufność
• Uczciwość
• Dostępność

Poufność

Poufność pyta nas, jakie środki możesz podjąć, aby zapewnić bezpieczeństwo przechowywanych danych — ograniczając dostęp pracowników tylko do informacji wymaganych do wykonywania ich zadań.

Pamiętaj, że ponad 80% udanych naruszeń hakerskich wykorzystywało utracone lub skradzione dane uwierzytelniające użytkownika lub atak typu brute force w celu wykorzystania słabych haseł, takich jak „admin/admin”, „użytkownik/hasło”, „użytkownik/12345678” itp.

Istnieje kilka działań, które możesz podjąć, aby zapewnić poufność swoich danych:

Zacznij od wzmocnienia procesu logowania

Implementuj uwierzytelnianie dwuskładnikowe. 2FA dodaje dodatkową warstwę bezpieczeństwa, włączając urządzenie fizyczne do procesu logowania na konto użytkownika.

Unikalny, ograniczony czasowo, jednorazowy kod PIN będzie wymagany w procesie logowania, oprócz standardowej nazwy użytkownika i hasła, aby umożliwić dostęp.

Tak więc, nawet jeśli dane logowania zostaną naruszone, a atakujący nie ma dostępu do urządzenia fizycznego, samo wymaganie kodu PIN wystarczy, aby udaremnić atak.

Egzekwuj silne hasła i zasady bezpieczeństwa

Ponad 35% kont użytkowników będzie używać słabych haseł, które można łatwo złamać za pomocą narzędzi ataku typu brute force.

Dlatego konieczne są silne zabezpieczenia haseł i zasady. Wdrażaj zasady siły haseł, ale także historię haseł i zasady wygaśnięcia. Te silne hasła, które teraz wymusiłeś, będą musiały wygasnąć w odpowiednim czasie.

Tak więc, jeśli dane uwierzytelniające użytkowników rzeczywiście zostaną naruszone, są one przydatne tylko pod warunkiem, że hasło jest prawidłowe. Zmiana hasła będzie zatem udaremniać wszelkie przyszłe złośliwe działania.

Wraz z dwuskładnikową metodą uwierzytelniania, implementacja silnych haseł zapewnia znacznie solidną obronę.

Identyfikować i klasyfikować przechowywane dane pod kątem ich atrybutów prywatności

Dokonaj przeglądu aktualnych list kontroli dostępu dla każdej roli, a następnie odpowiednio przypisz wymagane uprawnienia dostępu do danych, stosując zasadę najmniejszych uprawnień.

Dostęp do danych prywatnych i wrażliwych powinien być ograniczony w zależności od potrzeb i wymagany do pełnienia przez pracownika swojej roli.

Na przykład przedstawiciel obsługi klienta może potrzebować dostępu do historii zamówień, szczegółów wysyłki, danych kontaktowych itp. Czy potrzebują widoczności danych karty kredytowej klienta, numeru ubezpieczenia społecznego lub innych poufnych lub umożliwiających identyfikację danych?

Lub zadaj sobie pytanie, czy udostępniłbyś pracownikom ogólne saldo konta bankowego firmy i szczegóły? A może bieżące i historyczne rachunki finansowe firmy? Wtedy przyjmiemy to jako nie.

Uczciwość

Integrity prosi nas o rozważenie, jakie kroki możemy podjąć, aby zagwarantować ważność danych, kontrolując i wiedząc, kto i w jakich okolicznościach może wprowadzać zmiany w danych. Aby zapewnić integralność Twoich danych:

Ogranicz uprawnienia i przywileje

Ogranicz uprawnienia użytkowników, koncentrując się na elementach danych, które mogą wymagać modyfikacji.

Wiele Twoich danych nigdy lub bardzo rzadko będzie wymagało modyfikacji. Czasami nazywana zasadą najmniejszych uprawnień, jest to jedna z najskuteczniejszych najlepszych praktyk w zakresie bezpieczeństwa, która jest powszechnie pomijana, ale łatwa do zastosowania.

A jeśli atak pomyślnie dostanie się do kont systemowych, wdrażając restrykcyjne uprawnienia do danych, wszelkie naruszenia danych i wszelkie wynikające z tego szkody będą ograniczone.

Prowadź dziennik zmian użytkownika

Gdyby dokonano zmian w istniejących danych, skąd wiedziałbyś, jakie zmiany, kiedy i przez kogo? Czy możesz być pewien? Czy modyfikacja była autoryzowana i ważna?

Posiadanie kompleksowego dziennika aktywności w czasie rzeczywistym zapewni pełny wgląd we wszystkie działania wykonywane we wszystkich systemach WordPress i ma fundamentalne znaczenie dla dobrych praktyk bezpieczeństwa.

Ponadto archiwizowanie i raportowanie wszelkich działań pomoże Ci zachować zgodność z przepisami dotyczącymi prywatności i zobowiązaniami dotyczącymi zgodności z przepisami obowiązującymi w Twojej jurysdykcji.

Dostępność

Dostępność zmusza nas do skupienia się na zapewnieniu łatwego i niezawodnego dostępu do naszych danych. W ten sposób zapewniając nieprzerwaną działalność biznesową, umożliwiając pracownikom wykonywanie ich obowiązków, Twoi klienci składają zamówienia, a Ty możesz realizować i wysyłać te zamówienia w bezpieczny sposób.

Przestój to nie tylko potencjalna utrata przychodów, ale także erozja zaufania użytkowników, subskrybentów, klientów, partnerów i pracowników, wynikająca z niedostępności systemów.

Tworzenie kopii zapasowej danych

Regularnie twórz kopie zapasowe danych, rozważ również przechowywanie tych kopii zapasowych poza siedzibą firmy. Oto dobry artykuł, który rozwija ten temat i omawia zagrożenia bezpieczeństwa związane z przechowywaniem plików kopii zapasowych WordPress i starych plików na miejscu.

Plan na awarie

Przejrzyj składniki infrastruktury, na których opiera się Twoja firma; sieci, serwery, aplikacje itp. i mają plan działań naprawczych, więc jeśli którykolwiek z tych integralnych elementów, indywidualnie lub zbiorowo, ulegnie awarii, możesz szybko odzyskać.

Równie dobrze możesz korzystać z firmy hostingowej, w której przechowujesz swoją witrynę WordPress i która zajmie się wieloma z tych zadań w Twoim imieniu. Jednak ważne jest, aby zadać odpowiednie pytania, aby upewnić się, jakie procesy i poziomy usług Ci świadczą i czy odpowiadają Twoim wymaganiom biznesowym.

Na przykład spróbuj przywrócić kopie zapasowe WordPress, przetestuj systemy bezpieczeństwa i zasymuluj proces odzyskiwania po awarii.

Zagrożenia bezpieczeństwa dla Twojej dostępności danych

Z punktu widzenia bezpieczeństwa, zagrożeniem nr 1 we wszystkich incydentach odnotowanych w raporcie jest atak typu Distributed Denial of Service (DDoS), którego celem jest przede wszystkim zakłócenie, a nie próba uzyskania dostępu (hakowanie).

Wiele firm hostingowych WordPress zapewnia odpowiednią ochronę przed tego typu atakami. Mimo to zawsze rozsądnie jest zbadać, jakie usługi ochrony obwodowej oferują i czy te środki są wystarczające, czy też należy wzmocnić swoją obronę.

Konserwacja zapobiegawcza

Konserwacja odgrywa kluczową rolę w dostępności, zapewniając, że Twoja witryna WordPress i powiązane wtyczki są aktualizowane na czas, najlepiej automatycznie, w celu naprawienia wszelkich istniejących znanych luk w zabezpieczeniach, co skutkuje bardziej solidnymi zabezpieczeniami.

Edukacja, szkolenia

Jak kiedyś zauważył Benjamin Franklin, „jedna grama prewencji jest warta funta leczenia”, co jest tak samo prawdziwe dzisiaj, jak zawsze.

A edukowanie użytkowników o potencjalnych pułapkach i identyfikowanie istniejących zagrożeń jest krytycznym środkiem zapobiegawczym.

• Zainicjuj odpowiednie szkolenia dla pracowników, edukuj ich, jak ważne są określone zasady bezpieczeństwa i dlaczego firma je wdrożyła.
• Pomóż im zrozumieć zagrożenia bezpieczeństwa, ze szczególnym uwzględnieniem zagrożeń społecznych, takich jak phishing i preteksty, o których mówiliśmy. Podziękują ci za to!

Na wynos

Danie użytkownikom dostępu do wszystkiego może wydawać się o wiele łatwiejsze, co gwarantuje, że zawsze będą mieli dostęp do informacji, których potrzebują, a do wielu, których nie mają. Ten poziom uprawnień jest często przyznawany użytkownikom, aby zapobiec potencjalnym prośbom o zmianę praw dostępu i przywilejów. Ale to nie ma sensu.

Wdrażając zalecenia CIA, przejdziesz długą drogę, aby złagodzić i ograniczyć wszelkie szkody w przypadku naruszenia systemu, ograniczając wszelki dostęp (poufność) i modyfikację (integralność) do danych prywatnych i wrażliwych. I pomóc w spełnieniu zobowiązań prawnych i zgodności.

1. Silne hasła; zmniejsza skuteczność ataków brute force.
2. Uwierzytelnianie dwuetapowe; utrudnia wykorzystanie skradzionych danych uwierzytelniających
3. zasada najmniejszego przywileju; ogranicza dostęp do danych w razie potrzeby oraz ogranicza modyfikację tych danych.
4. Rejestrowanie aktywności; informuje Cię o wszelkich dostępach, modyfikacjach i zmianach w systemie.
5. Upewnij się, że wszystkie systemy i wtyczki są automatycznie aktualizowane.

I na koniec, chciałbym skorzystać z okazji, aby podziękować zespołowi Verizon za wszystkie wysiłki związane z opracowaniem rocznego raportu Verizon Data Breach Investigations Report (DBIR).