Лучшие советы по кибербезопасности во Всемирный день паролей

Что может быть лучше, чем Всемирный день паролей 2 мая, чтобы подумать о том, как ваша организация реализует комплексный подход к кибербезопасности. Разумеется, пароли являются ключевым компонентом, поскольку обычные пользователи часто получают доступ к сетевым ресурсам с помощью этих паролей. Но кибербезопасность — это гораздо более широкое и глубокое мероприятие, особенно с учетом того, что в последнее время киберпреступность достигла рекордно высокого уровня, что, по оценкам, будет стоить миру примерно 6 триллионов долларов в год к 2021 году. От серверов и маршрутизаторов до Интернета вещей, мобильных систем и систем удаленного доступа — существует множество объектов, которые необходимо охватить и защитить. В этот Всемирный день паролей вот несколько советов, которые помогут вашей команде быть на шаг впереди злоумышленников.

Знайте векторы атак

Сначала подумайте, сколько утечек данных произошло в последнее время и насколько распространенными стали точки входа. Недавний опрос 1200 компаний показал, что 71 процент когда-либо подвергалась как минимум одной утечке данных, причем 46 процентов сообщили об утечке в прошлом году. Насколько масштабными были эти нарушения? Утечка данных Marriott в конце 2018 года стала одной из крупнейших за всю историю, в ней участвовало 500 миллионов человек По данным компании, эти клиенты могли получить доступ к своей личной информации в результате взлома базы данных бронирования гостей Starwood.

Еще одна кибератака была обнаружена в мае 2018 года с участием ботнета, затронувшего как минимум 500 000 уязвимых маршрутизаторов и устройств хранения данных (NAS) расположены в 54 странах. Вредоносное ПО в этой атаке предоставило хакерам контроль над зараженными устройствами и раскрытие пользовательских данных. Тем временем Атаки Интернета вещей увеличились на 600 процентов В прошлом году это вынудило компании улучшить обнаружение инцидентов в своих платформах IoT и найти способы улучшить прозрачность своих обширных сетей и устройств IoT. Один из примеров, комичный, если не столь опасный, связан с хакерами, скомпрометировавшими база данных хайроллеров казино получив доступ к своей сети через умный термостат в аквариуме в вестибюле, он закрепился в сети.

Разработайте соответствующий план реагирования на инциденты

Существуют различные статистические данные, которые указывают на то, насколько неподготовлены компании к защите своих корпоративных и сетевых ресурсов. В одном недавнем исследовании 77 процентов ИТ-специалистов заявили, что в их организациях нет официального плана реагирования на инциденты кибербезопасности, а каждый четвертый имеет только неформальный план. Удивительно, но даже после атаки около половины специалистов по ИТ-безопасности редко меняют свой протокол безопасностил. Вы можете начать с обучения своих специалистов по ИТ-безопасности управлению стратегическими аспектами реагирования на инциденты. Например, сертификация CISSP (Certified Information Systems Security Professional) готовит менеджеров по безопасности в области архитектуры, проектирования, управления и контроля, а также того, как они могут создавать и реализовывать план безопасности, который защищает всю ИТ-инфраструктуру. Еще один сертификат — CISA (сертифицированный аудитор информационных систем), который обучен управлять и контролировать корпоративные ИТ, особенно при проведении эффективного и действенного аудита безопасности в любой ИТ-организации.

Подготовьте сотрудников к повышению безопасности

Одним из наиболее сложных векторов атак для контроля является сотрудник, который может стать жертвой атак социальной инженерии. Семьдесят шесть процентов организаций подверглись фишинговым атакам в 2017 году, когда киберпреступники получили черный доступ к сетям через ничего не подозревающих сотрудников, которые непреднамеренно раскрывают свои учетные данные для доступа. Был 300-процентное увеличение в атаках программ-вымогателей в прошлом году, а также в «наборах» программ-вымогателей и предложениях программ-вымогателей в даркнете выросли на 2500 процентов. Сотрудники должны заранее знать о потенциальных атаках и никогда не должны нажимать на подозрительные ссылки в электронной почте, даже если кажется, что они исходят от надежного источника, такого как финансовый директор. Проводноймежду тем, предполагает более строгие политики паролейвключая использование более длинных паролей (12–15 символов) для минимизации вероятности атаки методом перебора, использование менеджеров паролей и двухфакторную аутентификацию, которая теперь стала более удобной с помощью мобильных приложений для аутентификации.

Компании должны начать переориентировать свои усилия по кибербезопасности, а это можно сделать только тогда, когда высшее руководство сделает это корпоративным императивом. Убедитесь, что у вас есть директор по информационной безопасности (CISO), которому поручено совершенствовать стратегии кибербезопасности. В настоящее время большинство из них обычно занимают руководящие корпоративные должности, причем 40 процентов из них теперь подчиняются непосредственно генеральному директору.

Научитесь думать как киберпреступник

Печальная правда заключается в том, что многие специалисты по кибербезопасности уступают хакерам и киберпреступникам, которые целыми днями и ночами обдумывают новые способы проникновения в корпоративные сети. К счастью, сегодняшние команды по кибербезопасности могут научиться думать как хакеры, пройдя обучение навыкам сертифицированного этического хакера (CEH), где они обучаются тем же методам, которые используют хакеры, но без опасности попасть в беду. Они учатся осваивать передовые концепции написания вирусных кодов, написания эксплойтов, обратного проектирования и других популярных тактик.

Мы должны поблагодарить наши компетентные команды ИТ-безопасности за доблестную работу, которую они выполняют. И тем не менее, во Всемирный день паролей мы должны помнить, что тактика, которую используют киберпреступники, постоянно меняется, и профессионалы в области кибербезопасности должны улучшить свою игру, чтобы обеспечить по-настоящему безопасность своей инфраструктуры.