Могут ли пользователи вашего веб-сайта WordPress нанести ущерб вашему бизнесу?

Могут ли ваши сотрудники представлять угрозу? Да, вполне возможно, но в основном невольно.

Недавно я писал о статистике, которая выделяет самый большой источник уязвимостей WordPress.

Тем не менее, другая значительная составная часть вашей инфраструктуры столь же уязвима, если не более, и которую мы слишком часто упускаем из виду — наши пользователи, на которых непосредственно нацелены злоумышленники.

Оглавление

• Уроки, которые мы можем извлечь из ЦРУ
• Почему атаки? Чего они добиваются?
• Откуда и как они получают доступ?
• Что я могу сделать со всем этим?
• Чему мы можем научиться из подхода ЦРУ?
  • Конфиденциальность
    • Начните с усиления процесса входа в систему
    • Обеспечьте надежную защиту паролей и политики
    • Идентифицировать и классифицировать данные, хранящиеся в соответствии с их атрибутами конфиденциальности.
  • Честность
    • Ограничьте разрешения и привилегии
    • Ведите журнал изменений пользователей
  • Доступность
    • Резервное копирование ваших данных
    • Планируйте неудачи
    • Угрозы безопасности доступности ваших данных
    • Профилактика
• Образование, обучение
• Выводы

Уроки, которые мы можем извлечь из ЦРУ

Фишинг и претекстинг — две наиболее популярные тактики, используемые киберпреступниками. Эти социальные атаки побуждают ваших пользователей отказаться от своих учетных данных для входа вместе с другой личной информацией. Эти данные затем используются для хакерских атак, взлома вашей системы безопасности, доступа к вашим веб-приложениям, вашим системам, вашим данным.

Просто спросите Twitter, T-Mobile, Marriot, Amtrak или отель Ritz среди множества других. Хотя все заголовки и внимание привлекают узнаваемые бренды, настораживает тот факт, что более чем каждый четвертый (28%) малый бизнес подвергается прямой атаке и успешно скомпрометирован.

Вот некоторые выводы из исследования Verizon. Их отчет о расследовании утечки данных (DBIR) за 2020 год проливает свет на лживость, мотивы и методы злоумышленников. Им явно нужно одно — ваши данные.

Но это также дает нам понимание того, как мы можем спланировать нашу защиту для смягчения последствий таких нарушений кибербезопасности.

Почему атаки? Чего они добиваются?

Простой ответ заключается в том, что злоумышленникам нужно что-то, что у вас есть, и что представляет ценность — данные. Почти каждый девятый (86%) успешный взлом системы мотивирован финансовой выгодой. Из них большинство (55%) связаны с организованными преступными группировками, определяемыми в отчете как «преступник с процессом, а не мафия».

«86% нарушений были финансово мотивированы»

«Организованные преступные группы стояли за 55% всех нарушений»

«70% совершено внешними субъектами»

«30% привлечены внутренние субъекты»

Как и другие, ваша компания хранит различные данные, предоставленные вам по доброй воле клиентами, поставщиками, партнерами и сотрудниками и т. д., чтобы облегчить обработку электронных деловых операций. Большая часть этих данных, конечно же, является частной и конфиденциальной.

Данные кредитной карты и другие платежные данные, личная информация, такая как данные социального обеспечения, адреса электронной почты, номера телефонов, домашние адреса и т. д., могут быть собраны, использованы и монетизированы. Помните, что это не игра для них.

Вы обязаны обеспечить, чтобы эти данные оставались конфиденциальными и защищенными. У вас также есть законодательство о конфиденциальности и обязательства по соблюдению отраслевых нормативных требований, таких как GDPR, которые требуют, чтобы вы демонстративно принимали все возможные меры для защиты данных.

Поэтому любой план реагирования на безопасность должен быть направлен на защиту данных.

Откуда и как они получают доступ?

Злоумышленники знают, что если они смогут получить учетные данные ваших пользователей, то их работа станет намного проще. Поэтому неудивительно, что они тратят огромные усилия на все более изощренные фишинговые и предлоговые атаки, пытаясь заставить ваших пользователей раскрыть данные для входа в систему и другую личную информацию.

«На фишинг приходится 22% всех успешных утечек данных»

«Социальные атаки: «Социальные действия поступали по электронной почте в 96% случаев».

Ваши онлайн-веб-приложения являются наиболее распространенным вектором атаки, и злоумышленники получают доступ, используя утерянные или украденные учетные данные пользователя или атаки методом грубой силы (используя слабые пароли).

«Ваши веб-приложения были конкретно нацелены в более чем 90 % атак — более 80 % нарушений в рамках взлома связаны с грубой силой или использованием утерянных или украденных учетных данных».

Что я могу сделать со всем этим?

Благодаря компании Verizon, которая провела для нас анализ, мы лучше разбираемся в угрозах и методах. Теперь мы можем приступить к осознанному, взвешенному и логичному подходу к усилению наших мер безопасности, отражению этих атак и уменьшению любого ущерба.

Чему мы можем научиться из подхода ЦРУ?

Увы, мы не говорим здесь о какой-то новой передовой технологии, предоставленной Центральным разведывательным управлением, которую мы можем использовать, чтобы победить плохих парней. Мы говорим об элегантной и гибкой структуре, которую вы можете использовать и которая фокусируется на защите вашего главного актива, которому угрожает опасность, ваших данных, и именно об этом идет речь.

Структура CIA включает в себя три основных основополагающих принципа, разработанных для предотвращения случайного и злонамеренного доступа к вашим данным и их модификации:

• Конфиденциальность
• Честность
• Доступность

Конфиденциальность

Конфиденциальность спрашивает нас, какие меры вы можете предпринять для обеспечения безопасности данных, которые у вас есть, — ограничивая доступ сотрудников только к той информации, которая необходима им для выполнения своих функций.

Помните, что в более чем 80% успешных взломов использовались либо утерянные, либо украденные учетные данные пользователя, либо атака методом грубой силы для использования слабых паролей, таких как «admin/admin», «user/password», «user/12345678» и т. д.

Есть несколько действий, которые вы можете предпринять, чтобы обеспечить конфиденциальность ваших данных:

Начните с усиления процесса входа в систему

Реализовать двухфакторную аутентификацию. 2FA добавляет дополнительный уровень безопасности, включая физическое устройство в процесс входа в учетную запись пользователя.

В процессе входа в систему, в дополнение к стандартным имени пользователя и паролю, для разрешения доступа потребуется уникальный, ограниченный по времени, одноразовый PIN-код.

Таким образом, даже если учетные данные для входа будут скомпрометированы, а злоумышленник не имеет доступа к физическому устройству, достаточно просто запросить PIN-код, чтобы предотвратить атаку.

Обеспечьте надежную защиту паролей и политики

Более 35% учетных записей пользователей будут использовать слабые пароли, которые можно легко взломать с помощью инструментов атаки методом перебора.

Следовательно, необходима надежная защита паролем и политики. Внедрите политики надежности паролей, а также историю паролей и политики истечения срока действия. Срок действия этих надежных паролей, которые вы сейчас применили, должен истечь своевременно.

Таким образом, если учетные данные ваших пользователей действительно будут скомпрометированы, они будут полезны только в том случае, если пароль действителен. Таким образом, изменение пароля предотвратит любые будущие вредоносные действия.

В сочетании с методом двухфакторной аутентификации реализация надежного пароля обеспечивает надежную защиту.

Идентифицировать и классифицировать данные, хранящиеся в соответствии с их атрибутами конфиденциальности.

Проведите обзор текущих списков управления доступом для каждой роли, а затем соответствующим образом назначьте требуемые права доступа к данным, используя принцип наименьших прав.

Доступ к личным и конфиденциальным данным должен быть ограничен по мере необходимости и требоваться от сотрудника для выполнения своей роли.

Например, вашему представителю службы поддержки может потребоваться доступ к истории заказов, сведениям о доставке, контактным данным и т. д. Нужен ли им доступ к данным кредитной карты клиента, номеру социального страхования или другой конфиденциальной или личной информации?

Или спросите себя, предоставили бы вы рядовым сотрудникам баланс и реквизиты банковского счета компании? Или текущие и исторические финансовые отчеты компании? Мы примем это как нет тогда.

Честность

Целостность просит нас рассмотреть, какие шаги мы можем предпринять, чтобы гарантировать достоверность данных, контролируя и зная, кто может вносить изменения в данные и при каких обстоятельствах. Чтобы обеспечить целостность ваших данных:

Ограничьте разрешения и привилегии

Ограничьте разрешения ваших пользователей, сосредоточив внимание на том, какие элементы данных могут потребовать модификации.

Большая часть ваших данных никогда или очень редко потребует модификации. Иногда его называют принципом наименьших привилегий. Это один из наиболее эффективных передовых методов обеспечения безопасности, которым обычно пренебрегают, но который легко применять.

И если атака успешно получит доступ к вашим системным учетным записям путем реализации ограничительных разрешений на данные, любое нарушение данных и любой связанный с этим ущерб будут ограничены.

Ведите журнал изменений пользователей

Если бы в существующие данные были внесены изменения, как бы вы узнали, какие изменения, когда и кем? Вы можете быть уверены? Была ли модификация разрешена и действительна?

Наличие всеобъемлющего журнала действий в режиме реального времени даст вам полную информацию обо всех действиях, выполняемых во всех ваших системах WordPress, и имеет основополагающее значение для хорошей практики безопасности.

Кроме того, архивирование и отчетность по любой деятельности поможет вам соблюдать законы о конфиденциальности и нормативные требования в вашей юрисдикции.

Доступность

Доступность заставляет нас сосредоточиться на обеспечении легкого и надежного доступа к нашим данным. Таким образом, обеспечивается бесперебойная работа бизнеса, что позволяет сотрудникам выполнять свои обязанности, вашим клиентам размещать заказы, а вы можете выполнять и отправлять эти заказы безопасным образом.

Время простоя связано не только с потенциальной потерей дохода, но и с подрывом доверия со стороны ваших пользователей, подписчиков, клиентов, партнеров и сотрудников в результате недоступности ваших систем.

Резервное копирование ваших данных

Регулярно создавайте резервные копии своих данных, подумайте также о том, чтобы эти резервные копии хранились вне офиса. Вот хорошая статья, которая развивает эту тему и обсуждает риски безопасности при хранении файлов резервных копий WordPress и старых файлов на месте.

Планируйте неудачи

Просмотрите компоненты инфраструктуры, от которых зависит ваш бизнес; сетей, серверов, приложений и т. д. и иметь план действий по устранению неполадок, чтобы в случае отказа любого из этих неотъемлемых элементов по отдельности или в совокупности можно было быстро восстановиться.

Вы вполне можете использовать хостинговую компанию, на которой размещен ваш веб-сайт WordPress, и которая будет выполнять многие из этих задач от вашего имени. Тем не менее, важно задать соответствующие вопросы, чтобы выяснить, какие процессы и уровни обслуживания они вам предоставляют, и соответствуют ли они вашим бизнес-требованиям.

Например, попробуйте восстановить резервные копии WordPress, протестировать системы безопасности и смоделировать процесс аварийного восстановления.

Угрозы безопасности доступности ваших данных

С точки зрения безопасности угроза № 1 из всех инцидентов, зафиксированных в отчете, — это атака распределенного отказа в обслуживании (DDoS), предназначенная в первую очередь для нарушения работы, а не для попытки получить доступ (взлом).

Многие хостинговые компании WordPress обеспечивают адекватную защиту от этих типов атак. Тем не менее, всегда разумно выяснить, какие услуги по охране периметра они предлагают, и достаточно ли этих мер или вам следует укрепить свою оборону.

Профилактика

Обслуживание играет решающую роль в доступности, гарантируя, что ваш веб-сайт WordPress и связанные с ним плагины своевременно обновляются, в идеале автоматически, для исправления любых существующих известных уязвимостей, что приводит к более надежной защите безопасности.

Образование, обучение

Как однажды заметил Бенджамин Франклин, «одна унция профилактики стоит фунта лечения», и сегодня это так же верно, как и всегда.

А информирование пользователей о потенциальных подводных камнях и выявление существующих угроз является важной превентивной мерой.

• Организуйте соответствующее обучение сотрудников, расскажите им о важности предписанных политик безопасности и о том, почему компания внедрила такие политики.
• Помогите им понять риски безопасности, уделив особое внимание социальным угрозам, таким как фишинг и предлог, которые мы обсуждали. Они будут вам за это благодарны!

Выводы

Может показаться, что гораздо проще предоставить пользователям доступ ко всему, что гарантирует, что они всегда будут иметь доступ к необходимой им информации и ко многому, что им не нужно. Этот уровень разрешений часто предоставляется пользователям, чтобы предотвратить возможные запросы на изменение прав доступа и привилегий. Но это упускает суть.

Выполняя рекомендации ЦРУ, вы значительно смягчите и ограничите любой ущерб в случае взлома системы, ограничив любой доступ (конфиденциальность) и модификацию (целостность) к частным и конфиденциальным данным . И помочь вам выполнить ваши юридические обязательства и обязательства по соблюдению требований.

1. Надежные пароли; снижает успешность атак грубой силы.
2. двухфакторная аутентификация; препятствует использованию украденных учетных данных
3. Принцип наименьших привилегий; ограничивает доступ к данным по мере необходимости и ограничивает модификацию таких данных.
4. Ведение журнала активности; информирует вас о любом доступе, модификации и системных изменениях.
5. Убедитесь, что все системы и плагины автоматически обновляются.

И, наконец, я хотел бы воспользоваться возможностью, чтобы поблагодарить команду Verizon за все их усилия по составлению ежегодного отчета Verizon о расследовании утечек данных (DBIR).