您的 WordPress 网站用户会损害您的业务吗?

已发表: 2021-03-23

您的员工会成为威胁吗? 是的,很可能,但主要是在不知不觉中。

我最近写了一篇关于突出 WordPress 漏洞最大来源的统计数据。

但是,您的基础设施的另一个相当大的组成部分同样容易受到攻击,甚至更容易受到攻击,而且我们经常忽略 - 我们的用户 - 他们正被外面的不良行为者直接瞄准。

目录

  • 我们可以从中央情报局学到的教训
  • 为什么要攻击? 他们追求什么?
  • 他们从哪里以及如何获得访问权限?
  • 我能做些什么呢?
  • 我们可以从 CIA 的方法中学到什么?
    • 保密
      • 从加强登录流程开始
      • 实施强大的密码安全和政策
      • 根据隐私属性识别和分类存储的数据
    • 正直
      • 限制权限和特权
      • 记录用户更改
    • 可用性
      • 备份您的数据
      • 计划失败
      • 对您的数据可用性的安全威胁
      • 预防性的维护
  • 教育、培训
  • 外卖

我们可以从中央情报局学到的教训

网络钓鱼和伪装是网络犯罪分子最常用的两种策略。 这些社交攻击会诱使您的用户放弃他们的登录凭据以及其他个人信息。 然后,这些详细信息被用于黑客攻击、破坏您的安全防御、访问您的 Web 应用程序、您的系统和您的数据。

只需询问 Twitter、T-Mobile、Marriot、Amtrak 或 Ritz Hotel 等众多其他公司。 虽然获得所有头条新闻和关注的是知名品牌,但令人震惊的是,超过四分之一 (28%) 的小企业成为直接目标,并被成功入侵。

这些是 Verizon 研究得出的一些见解。 他们的 2020 年数据泄露调查报告 (DBIR) 为谎言、动机和恶意行为者的方法提供了详细的法医探照灯。 他们显然是在追求一件事——你的数据。

但它也让我们了解如何规划我们的防御措施以减轻此类网络安全漏洞。

为什么要攻击? 他们追求什么?

简单的答案是,攻击者想要你拥有的东西,并且这些东西是有价值的——数据。 几乎九分之一 (86%) 的成功系统违规行为是出于经济利益。 其中,大多数(55%)涉及有组织的犯罪集团,报告中将其定义为“有程序的犯罪分子,而不是黑手党”。

“86% 的违规行为是出于经济动机”

“有组织的犯罪集团是所有违规行为的 55% 的幕后黑手”

“70% 由外部行为者实施”

“30% 涉及内部参与者”

与其他人一样,您的企业持有客户、供应商、合作伙伴和员工等出于善意提供给您的各种数据,以促进电子商务的顺利处理。 当然,这些数据中的大部分都是私密和敏感的。

信用卡和其他支付详细信息、个人身份信息(例如社会保障详细信息、电子邮件地址、电话号码、家庭住址等)可以被收集、使用和货币化。 请记住,这不是他们的游戏。

您有责任确保这些数据保持私密和受保护。 您还有隐私立法和行业监管合规义务,例如 GDPR,这要求您明显地采取一切可能的措施来保护数据。

因此,任何制定的安全响应计划都必须专注于保护数据。

他们从哪里以及如何获得访问权限?

那里的犯罪分子知道,如果他们能够获得用户的凭据,那么他们的工作就会变得容易得多。 因此,他们花费巨大精力进行更复杂的网络钓鱼和借口攻击,试图让您的用户放弃他们的系统登录详细信息和其他个人信息,也就不足为奇了。

“网络钓鱼占所有成功数据泄露的 22%”

“社交攻击:“社交行​​为 96% 的时间都通过电子邮件发送。”

您的在线 Web 应用程序是最常见的攻击媒介,攻击者通过使用丢失或被盗的用户登录凭据或暴力攻击(利用弱密码)获得进入权限。

“超过 90% 的攻击专门针对您的 Web 应用程序 - 超过 80% 的黑客攻击涉及暴力破解或使用丢失或被盗的凭据。”

我能做些什么呢?

感谢 Verizon 为我们完成了分析,我们能够更好地了解威胁和方法。 我们现在可以开始采取知情、衡量和合乎逻辑的方法来加强我们的安全响应,阻止这些攻击并减轻任何损害。

我们可以从 CIA 的方法中学到什么?

唉,我们这里不是在谈论中央情报局提供的一些新的世界级技术,我们可以用它来击败坏人。 我们谈论的是一个优雅而灵活的框架,您可以使用它专注于保护您受到威胁的主要资产、您的数据,这就是这一切的意义所在。

CIA 框架包含三个核心基本原则,旨在减少对数据的意外和恶意访问和修改,它们是:

  • 保密
  • 正直
  • 可用性

保密

保密性询问我们您可以采取哪些措施来确保您持有的数据的安全性——限制员工仅访问使其能够履行职责所需的信息。

请记住,超过 80% 的成功黑客攻击使用丢失或被盗的用户凭据,或暴力攻击来利用弱密码,例如“admin/admin”、“user/password”、“user/12345678”等。

您可以采取多种措施来确保数据的机密性:

从加强登录流程开始

实施两因素身份验证。 2FA 通过将物理设备合并到用户帐户登录过程中添加了额外的安全层。

除了标准的用户名和密码凭证外,登录过程还需要一个唯一的、有时间限制的一次性 PIN 以允许访问。

因此,即使登录凭据被泄露,攻击者也无法访问物理设备,仅需要 PIN 的行为就足以阻止攻击。

实施强大的密码安全和政策

超过 35% 的用户帐户将使用很容易被暴力攻击工具破解的弱密码。

因此,强大的密码安全性和策略是必须的。 实施密码强度策略,以及密码历史和过期策略。 您现在强制执行的这些强密码将需要及时过期。

因此,如果您的用户凭据确实被泄露,它们只有在密码有效时才有用。 因此,更改密码将阻止任何未来的恶意行为。

与双因素身份验证方法一起,强密码实施可提供相当强大的防御。

根据隐私属性识别和分类存储的数据

对每个角色的当前访问控制列表进行审查,然后使用最小权限原则适当地分配所需的数据访问权限。

对私人和敏感数据的访问应限制在需要知道的基础上,并要求员工履行其职责。

例如,您的客户支持代表可能需要访问订单历史记录、运输详细信息、联系方式等。他们是否需要了解客户的信用卡详细信息、社会安全号码或其他敏感或个人身份信息?

或者问问自己,你会向普通员工提供公司的银行账户余额和详细信息吗? 还是公司的当前和历史财务账户? 我们会认为这是一个不。

正直

完整性要求我们考虑通过控制和了解谁可以更改数据以及在什么情况下可以采取哪些步骤来保证数据的有效性。 为确保您的数据的完整性:

限制权限和特权

限制用户的权限,重点关注可能需要修改的数据项。

您的大部分数据永远不会或很少需要修改。 有时称为最小权限原则,它是最有效的安全最佳实践之一,也是一种通常被忽视但很容易应用的方法。

如果攻击成功访问您的系统帐户,通过对数据实施限制性权限,任何数据泄露和任何由此造成的损害都将受到限制。

记录用户更改

如果对现有数据进行了更改,您如何知道哪些更改、何时以及由谁更改? 你能确定吗? 修改是否授权且有效?

拥有全面的实时活动日志将使您能够全面了解在所有 WordPress 系统中执行的所有操作,并且是良好安全实践的基础。

此外,对任何和所有活动进行归档和报告,将有助于您遵守您所在辖区的隐私法和监管合规义务。

可用性

可用性迫使我们专注于保持我们的数据易于且可靠地访问。 从而确保业务持续不间断,使员工能够履行职责,您的客户下订单,您可以以安全的方式履行和运送这些订单。

停机不仅与潜在的收入损失有关,还与您的用户、订阅者、客户、合作伙伴和员工的信心受损有关,因为您的系统不可用。

备份您的数据

定期备份您的数据,同时考虑将这些备份存储在异地。 这是一篇很好的文章,它开发了这个主题并讨论了在现场存储 WordPress 备份文件和旧文件的安全风险。

计划失败

查看您的业务所依赖的基础架构组件; 网络、服务器、应用程序等,并有一个补救行动计划,因此如果这些组成部分中的任何一个单独或集体出现故障,您可以快速恢复。

您很可能正在使用托管公司来托管您的 WordPress 网站,他们将代表您处理其中的许多任务。 但是,必须提出相关问题以确定他们为您提供的流程和服务水平,以及它们是否符合您的业务需求。

例如,尝试恢复您的 WordPress 备份、测试您的安全系统并模拟灾难恢复过程。

对您的数据可用性的安全威胁

从安全角度来看,报告中记录的所有事件中排名第一的威胁是分布式拒绝服务 (DDoS) 攻击,主要是为了破坏,而不是试图获得访问权限(黑客攻击)。

许多 WordPress 托管公司为这些类型的攻击提供了足够的防御。 尽管如此,调查他们提供的外围安全服务以及这些措施是否足够或者您是否应该加强防御始终是谨慎的。

预防性的维护

维护在可用性中起着至关重要的作用,确保您的 WordPress 网站和相关插件及时更新,最好是自动更新,以修复任何现有的已知漏洞,从而形成更强大的安全防御。

教育、培训

正如本杰明富兰克林曾经说过的“一盎司的预防胜过一磅的治疗”,这在今天和以往一样真实。

让您的用户了解潜在的陷阱并识别确实存在的威胁,是一项关键的预防措施。

  • 对员工进行相关培训,让他们了解规定的安全政策的重要性,以及公司实施此类政策的原因。
  • 帮助他们了解安全风险,特别关注社会威胁,例如我们讨论过的网络钓鱼和伪装。 他们会为此感谢你的!

外卖

让用户访问所有内容似乎要容易得多,这确实可以确保他们始终可以访问他们需要的信息,而很多他们不需要。 此级别的权限通常授予用户以阻止更改访问权限和特权的潜在请求。 但这没有抓住重点。

通过实施 CIA 建议,您将通过限制对私人和敏感数据的任何访问(机密性)和修改(完整性)来减轻和限制系统破坏时的任何损害。 并帮助您履行法律和合规义务。

  1. 强密码; 降低蛮力攻击的成功率。
  2. 双重身份验证; 妨碍使用被盗凭据
  3. 最小特权原则; 在需要知道的基础上限制对数据的访问,并限制对此类数据的修改。
  4. 活动记录; 让您随时了解任何访问、修改和系统更改。
  5. 确保所有系统和插件自动保持最新。

最后,我想借此机会感谢 Verizon 团队为编制年度 Verizon 数据泄露调查报告 (DBIR) 所做的一切努力。