10 stvari, ki se jih lahko naučimo iz kršitve podatkov gostitelja spletnega mesta

Hakiranje hitro postaja industrija več milijard dolarjev.


Še huje, Če imate majhno podjetje, še ne pomeni, da ste varni pred škodo.

Nasprotno, 58% kršitev podatkov je namenjenih malim podjetjem. In prizadetih, le 20% jih preživi več kot 18 mesecev po izsiljevanju.

Seveda mora biti zaščita vaših podatkov pred radovednimi očmi zloglasnih kibernetskih kriminalcev glavna poslovna prioriteta.

Toda kaj točno lahko storite glede tega?

Oglejmo si, kaj se lahko naučimo iz preteklih kršitev podatkov, da vaše spletno poslovanje ostane varno.

# 1: Uporabite upravitelja gesla

Upravitelj gesel

Kot verjetno veste, enotno geslo za vse račune ni najbolj varen način za zaščito pred neželenimi vsiljivci. Poleg tega si prisili, da si zaposleni zapomnijo niz unikatnih gesel lahko privede do samozadovoljnosti.

Primer, ki je vreden primera, je Equifax v Argentini, kjer bi se zaposleni prijavili s poverilnicami “admin / admin.”

Upravitelj gesel, kot sta KeePass ali LastPass, enostavno uporabnikom omogoča upravljanje zapletenega niza gesel z enim glavnim ključem.

Konec koncev, ogrožena gesla povzročijo kar 81% kršitev podatkov.

# 2: Uporabite dvofaktorsko overjanje (2FA)

Finančne institucije po vsem svetu tečejo k tej uber učinkoviti rešitvi.

V bistvu dvofaktorna avtentikacija za preverjanje identitete uporabnika uporablja bodisi programsko ali strojno žetone. Možnosti strojne opreme, kot sta RSA ali YubiKey, so najboljše, ker jih je skoraj nemogoče zavajati.

Nekateri ugledni ponudniki spletnega gostovanja, kot sta GoDaddy in Hostinger, ponujajo tudi 2FA, da uporabniki dodajo dodatno plast varnosti na svoje račune gostovanja.

Čeprav je postopek razmeroma okoren, je vredno razmisliti za zaposlene, ki obdelujejo občutljive informacije.

Samo vprašaj Zomato. Leta 2017 je bil eden od računov njihovih razvijalcev ogrožen, zaradi česar je prišlo do kršitve podatkov, ki je prizadela 17 milijonov uporabnikov. Dvofaktorski avtentikaciji bi se fiasku zlahka izognili.

Ups.

# 3: Razviti načrt obnovitve z rednimi varnostnimi kopijami

Načrt obnovitve morda ne bo preprečil kršitve, vendar bo pojdite po dolgi poti k zmanjšanju škode bi se moral pojaviti.

Preden oblikujete načrt v skladu s poslovnimi potrebami, določite svojo točko obnovitve in čas obnovitve. In ne pozabite temeljito preizkusiti celotnega postopka.

Večina storitev spletnega gostovanja ponujajo samodejno oddaljeno varnostno kopiranje vsakih 24 ur. Na primer, InMotion Hosting vključuje brezplačno to storitev za stranke na svojih VPS in skupne načrte gostovanja z manj kot 10 GB podatkov. HostGator po drugi strani zaračuna nekaj dolarjev na mesec.

Upoštevajte, da so te storitve zasnovane za najbolj katastrofalne razmere. Vedno je preudarno zagnati tudi svoje varnostne kopije.

# 4: Uporabljajte programsko opremo za odkrivanje sil

Ko računalniki postajajo eksponentno močnejši, napade grobe sile so usojene za povečanje.

V bistvu je to kdaj napadalec uporablja skript, da ugiba vsako možno kombinacijo gesla, dokler ne najde prave. Morda se sliši navidezno, vendar sodobni računalnik zdaj lahko zruši 26-znakovno geslo v samo 35 minutah.

Apple je padel med priljubljeno tehniko leta 2014, ko je bilo na tisoče računov iTunes posamično usmerjenih in ogroženih. Rezultat? Puščale so številne zasebne fotografije slavnih.

K sreči se je pred takšnimi napadi razmeroma enostavno zaščititi. Programska oprema Brute Force Detection lahko prepovedati uporabnikom na določenih IP naslovih prijavo po vnaprej določenem številu poskusov.

# 5: Vztrajajte pri HTTPS

Vztrajajte pri HTTPS

Brez veljavnega SSL potrdila bi bil lahko heker poslušanje prometa in kramljanje občutljivih podatkov.

Ugledni spletni gostitelji, kot je 1&1 vključuje brezplačno potrdilo, tako da resnično ni opravičila, da ga v letu 2018 ne bomo imeli. Poleg tega bo zelo pohvalna predpona HTTPS povečajte svoj SEO in si ustvarite zaupanje potrošnikov v svojo znamko.

# 6: Vrzite požarni zid

Požarni zidovi so izvrstno orodje za varovanje podatkov, kot so lahko blokira večino nezaželenih povezav.

Odločite se za požarni zid strojne ali programske opreme ali oboje, odvisno od poslovnih potreb. Linux in Windows imata svoje – Iptables in Windows Firewall – tako da tega bistvenega pomena varnosti res ni treba zanemarjati..

# 7: Zagotovite, da je vsa programska oprema posodobljena

Veste, kako gre.

Heker najde ranljivost in povzroči cel kup škode. Prodajalec ga popravi s popravkom in postopek se ponavlja v nedogled.

S tako znanimi ranljivostmi tam, tjNujno je zagotoviti, da je vaša programska oprema ves čas posodobljena. Še bolje, pojdite korak dlje, tako da preverite spletnega gostitelja da so tudi popravili ali podprli vse najnovejše posodobitve.

Če želite uporabiti zloglasni primer, je bil razplet Equifax posledica znane ranljivosti v njihovi programski opremi Apache Struts.

Ključni programi za posodobitev podjetij vključujejo svoje operacijski sistemi, cPanel, PHP, predpomnilna tehnologija, phpMyAdmin in MySQL strežniki.

Če uporabljate WordPress, poskrbite, da bo CMS vedno posodobljen na najnovejšo različico. Upravljavci ponudnikov gostovanja WordPress, kot je Bluehost, bodo to storili za vas samodejno, če pa vaš načrt ne vključuje samodejnega posodabljanja kot funkcijo, morate to storiti sami. Preberite več o preprečevanju WordPress kramp tukaj.

# 8: Aktivno iskanje ranljivosti

Edini način za resnično zaščito vašega spletnega mesta je poiščite potencialne ranljivosti, preden to storijo negativci.

Preizkuševalci penetracije so specializirani za takšne stvari, čeprav njihove storitve niso poceni. Kljub temu jih bi lahko prihranili vaše podjetje ogromno denarja z določitvijo škodljive ranljivosti, preden bo prepozno.

Primer: napad napadalca novincev na Freedom Hosting II bi bilo mogoče preprosto preprečiti z iskanjem ranljivosti pred časom.

# 9: Bodite prozorni

Ko je prišlo do kršitve, ključnega pomena je biti odkrit in iskren od začetka vožnje. V nasprotnem primeru boste povzročili nadaljnjo škodo svojemu že tako izmučenemu slovesu in lahko kršite tudi zakon.

Družba za plačilo posojila Wonga je primer podjetja, ki v tem pogledu ni uspelo. Namesto da bi svoje 245.000 kupcev takoj in neposredno obvestili o hudi kršitvi podatkov, so se odločili, da bodo diskretno zapisali dogodek na redko vidnem odseku svojega spletnega mesta..

Nihče ni bil navdušen.

# 10: Bodite previdni v oblaku

Čeprav je shranjevanje v oblaku razmeroma varno, visoko občutljive podatke je najbolje hraniti na namenskem strežniku. Le tam imajo skrbniki popoln nadzor nad svojimi varnostnimi nastavitvami in izjemno zaupanje v preprečevanje neželenih infiltracij.

Nekdanja spletna komunikacijska platforma HipChat vse preveč dobro pozna nevarnosti v oblaku. Leta 2017 so nenamerno razkrili ogromno osebnih podatkov, shranjenih v knjižnici tretjih oseb v oblaku.

The Take-Away

Učiti se iz svojih napak je super. Učenje iz napak drugih je še boljše.

Vzemite to zlato pridobljeno informacijo na krovu in jo uporabite za zaščito vašega podjetja pred potencialno katastrofalnimi kršitvami podatkov.

Viri:

Slika gesla: https://ultimatepeter.com/wp-content/uploads/2014/01/cain-rdp.jpg

HTTPS slika: https://www.x-cart.com/wp-content/uploads/2017/02/http_to_https-1.jpg

Resnica o globalni hekerski industriji: https://www.globalresearch.ca/the-truth-about-the-global-hacking-industry/5620279

Poročilo o preiskavah kršitev podatkov Verizon 2018: https://www.verizonenterprise.com/verizon-insights-lab/dbir/

V Argentini je Equifax imel “admin” kot prijavo in geslo: https://www.bbc.com/news/technology-41257576

Hakirana gesla povzročajo 81% kršitev podatkov: https://www.cso.com.au/mediareleases/29642/hacked-passwords- why-81-of-data-breaches/

Zomato vdrl: Kršitev varnosti povzroči 17 milijonov ukradenih podatkov o uporabnikih: https://economictimes.indiatimes.com/small-biz/security-tech/security/zomato-hacked-security-breach-results-in-17-million-user -podatki ukradeni / članki / 58729251.cms

Hack pušča na stotine golih fotografij slavnih: https://www.theverge.com/2014/9/1/6092089/nude-celebrity-hack

Prvi pogled v puščanje Freedom Hosting II: https://pirate.london/inside-the-freedom-hosting-ii-leak-aae1104ab693

Posojilodajalec Payday Wonga priznava kršitev podatkov: https://www.theregister.co.uk/2017/04/10/wonga_data_breach/

HipChat se je zasukal: Evo, zakaj je šlo za velike težave: https://thenextweb.com/insider/2017/04/24/hipchat-hacked-weekend-bad/

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me