Usuarios de su sitio de WordPress ¿Puedo dañar su negocio?

¿Pueden sus empleados ser una amenaza? Sí, muy posible, pero principalmente sin querer. Recientemente he escrito sobre estadísticas que resaltan la mayor fuente de vulnerabilidades de WordPress. Sin embargo, otra parte constitutiva significativa de su infraestructura es igual de vulnerable, si no más, y que a menudo pasamos por alto, nuestros usuarios, que están directamente atacados por los malos actores allí. contenido
Lecciones que podemos aprender de la CIA
¿Por qué los ataques? ¿Qué siguen?
¿Dónde y cómo tienen acceso?
¿Qué puedo hacer con todo esto?
¿Qué podemos aprender del enfoque de la CIA?
Privacidad
Comience por fortalecer el proceso de conexión
Aplicar políticas y seguridad fuertes para las contraseñas
Identificar y clasificar los datos almacenados de acuerdo con sus atributos de privacidad
Integridad
Limitar los permisos y privilegios
Mantenga el registro de diario de un usuario
Disponibilidad
Copia de seguridad de sus datos
Plan de fracasos
Amenazas a la disponibilidad de sus datos
Mantenimiento preventivo
Educación, capacitación
conclusiones
Las lecciones que podemos aprender de la CIA Phishing y el pretexto son dos de las tácticas más favoritas utilizadas por los ciberdelincuentes. Estos ataques sociales tientan a los usuarios a renunciar al inicio de sesión, junto con otra información personal. Estos detalles se utilizan en ataques de piratería, violando su defensa de seguridad, accediendo a sus aplicaciones web, sus sistemas, sus datos.
Pregunte en Twitter, T-Mobile, Marriot, Amtrak o Ritz Hotel, entre muchos otros. Aunque las marcas reconocidas son las que atraen todos los títulos y la atención, es alarmante observar que más de cuatro de cada cuatro (28%) pequeñas empresas están directamente dirigidas y comprometidas con éxito. Estas son algunas perspectivas que salen de la investigación de Verizon. Su informe de investigaciones sobre violación de datos (DBIR) para 2020 arroja un reflector forense detallado sobre la falsedad, las motivaciones y los métodos de los actores maliciosos. Están claramente después de una cosa: sus datos, pero también nos dan una comprensión de cómo podríamos planificar la defensa para aliviar tales violaciones de seguridad cibernética. ¿Por qué los ataques? ¿Qué siguen? La respuesta simple es que los atacantes quieren algo que tienes y que tiene valor: datos. Casi una de las nueve (86%) del sistema de violaciones exitosas está motivada por ganancias financieras. De estos, la mayoría (55%) involucra grupos de delitos organizados, definidos en relación como “un delincuente de juicio, no a la mafia”. “El 86% de las violaciones estaban motivadas financieramente” “” Los grupos criminales organizados estaban detrás del 55% de todas las violaciones “” 70% cometido por actores externos “” 30% involucraba actores internos “en común con otros, su negocio varios datos proporcionados por los clientes , proveedores, socios y empleados, etc., para facilitar el procesamiento de negocios electrónicos. Muchos de estos datos son, por supuesto, privados y sensibles.
La tarjeta de crédito y otros detalles de pago, la información de identificación personal, como detalles del Seguro Social, direcciones de correo electrónico, números de teléfono, direcciones de viviendas, etc., se pueden recopilar, utilizar y monetizar. Recuerde que este no es un juego para ellos. Tiene el deber de asegurarse de que estos datos sigan siendo privados y protegidos. También tiene la legislación sobre confidencialidad y obligaciones de cumplimiento de las regulaciones de la industria, como GDPR, que requiere que tome todas las medidas posibles para proteger los datos. Por lo tanto, cualquier plan de respuesta de seguridad implementado debe centrarse en la protección de datos. ¿Dónde y cómo tienen acceso? Los actores criminales allí saben que si pueden tener en sus manos las credenciales de sus usuarios, entonces su trabajo es mucho más fácil. Por lo tanto, no debe ser sorprendente que hagan grandes esfuerzos en phishing y pretexto cada vez más sofisticados, tratando de hacer que los usuarios renuncien a sus detalles y otra información personal. “El phishing representa el 22% de todas las violaciones de datos exitosas” “ataques sociales:” Las acciones sociales han alcanzado el 96% del tiempo “. Sus aplicaciones web en línea son el vector de ataque más común, y los atacantes obtienen la entrada utilizando la conexión del usuario perdida o robada o los ataques de fuerza bruta (explotando contraseñas débiles).
“Sus aplicaciones web se han dirigido específicamente en más del 90% de los ataques: más del 80% de las violaciones de piratería implican la fuerza bruta o el uso de credenciales perdidas o robadas”. ¿Qué puedo hacer con todo esto? Gracias a Verizon, quien hizo el análisis por nosotros, estamos mejor posicionados para comprender las amenazas y métodos. Ahora podemos comenzar a adoptar un enfoque informado, medido y lógico para fortalecer nuestras respuestas de seguridad, prevenir estos ataques y mitigar cualquier daño. ¿Qué podemos aprender del enfoque de la CIA? Desafortunadamente, no estamos hablando de una nueva tecnología que supera el mundo, proporcionada por la Agencia Central de Información aquí, que podemos usar para superar a los malvados. Estamos hablando de un marco elegante y flexible que puede usar, que se centra en proteger su activo principal amenazado, sus datos, que son. A y modificar sus datos, estos son:
Privacidad
Integridad
Disponibilidad
La confidencialidad de la privacidad nos pregunta qué medidas puede tomar para garantizar la seguridad de los datos que posee, restringiendo el acceso de los empleados solo a la información necesaria para permitirles cumplir con sus roles. Recuerde que más del 80% de las violaciones piratas exitosas han utilizado el usuario perdido o los ataques robados o brutos para explotar contraseñas débiles, como “administrador/administrador”, “usuario/contraseña”, “usuario/12345678”, etc.
Hay varias acciones que puede tomar para garantizar la confidencialidad de sus datos: comience por fortalecer el proceso de conexión implementado con dos factores. 2FA agrega un nivel adicional de seguridad al incorporar un dispositivo físico en el proceso de conexión de la cuenta de usuario. El proceso de conexión solicitará un código PIN único, limitado con el tiempo, además de las credenciales estándar del nombre del usuario y la contraseña, para permitir el acceso. Entonces, incluso si los datos de inicio de sesión se vieron comprometidos, sin que el atacante tenga acceso al dispositivo físico, solo el acto de solicitar el PIN será suficiente para contrarrestar el ataque. Aplique políticas y seguridad sólidas para las contraseñas más del 35% de las cuentas del usuario Utilizará contraseñas débiles que las herramientas de ataque de fuerza bruta se pueden romper fácilmente. Por lo tanto, la fuerte seguridad de las contraseñas y políticas es una necesidad. Implemente políticas de resistencia a las contraseñas, pero también políticas sobre el historial de contraseñas y el vencimiento. Estas contraseñas seguras que ha aplicado ahora tendrán que expirar de manera oportuna.
Entonces, si las credenciales de sus usuarios están realmente comprometidas, solo son útiles siempre que la contraseña sea válida. Por lo tanto, cambiar la contraseña frustrará cualquier acción maliciosa.
Junto con el método de autenticación de dos factores, la implementación de la contraseña segura garantiza una defensa considerablemente sólida.Identifique y clasifique los datos almacenados de acuerdo con sus atributos de confidencialidad, realice una revisión de las listas de control de acceso actuales para cada rol y luego asigne el acceso necesario a los datos, utilizando el principio del privilegio mínimo.El acceso a datos privados y confidenciales debe restringirse de acuerdo con la necesidad de conocimiento y necesario para que un empleado cumpla con su papel.Por ejemplo, su representante de atención al cliente puede necesitar acceso al historial de pedidos, detalles de envío, datos de contacto, etc.¿Necesitan la visibilidad de los datos de la tarjeta de crédito del cliente, el número de seguro social u otra información de identificación confidencial o personal?
O pregúntese, ¿proporcionaría a los empleados generales el saldo y los detalles de la cuenta bancaria de la empresa? ¿O las cuentas financieras actuales e históricas de la empresa? Entonces tomaremos esto como no. La integridad de integridad requiere que consideremos qué pasos podemos tomar para garantizar la validez de los datos controlando y sabiendo quién puede hacer cambios de datos y en qué circunstancias. Para garantizar la integridad de sus datos: limite los permisos y los privilegios limiten los permisos de sus usuarios, centrándose en los datos que pueden requerir el cambio. Muchos de sus datos nunca requerirán o rara vez cambian. A veces se llama el principio de los privilegios más pequeños, es una de las prácticas de seguridad más efectivas y una que generalmente se pasa por alto, pero es fácil de aplicar. Y si un ataque accede con éxito a las cuentas de su sistema, al implementar permisos restrictivos en los datos, cualquier violación de datos y cualquier daño resultante sería limitado. Mantenga el diario de cambio de un usuario si se realizaron cambios en los datos existentes, ¿dónde sabría qué cambios, cuándo y por quién? ¿Podrías estar seguro? ¿El cambio había sido autorizado y válido? Con un diario de actividad integral y de tiempo real, le dará una visibilidad total de todas las acciones realizadas en todos sus sistemas de WordPress y es fundamental para las buenas prácticas de seguridad.
Además, el archivo e informes de todas las actividades lo ayudará a cumplir con las leyes de confidencialidad y las obligaciones del cumplimiento de las regulaciones en su jurisdicción. La disponibilidad nos obliga a centrarnos en mantener nuestros datos de manera fácil y confiable accesible. Haciendo así, el negocio continúa ininterrumpido, permitiendo a los empleados realizar sus tareas, sus clientes realizan sus pedidos y usted puede honrar y enviar esos pedidos, de manera segura. El tiempo que no funcionan se refiere no solo a la pérdida potencial de ingresos, sino también a la erosión de la confianza de los usuarios, suscriptores, clientes, socios y empleados, como resultado de la falta de disponibilidad de sus sistemas de copia de reserva. almacenar a estos niños fuera del sitio. Aquí hay un buen artículo que desarrolla este tema y discute los riesgos de seguridad de almacenar la copia de seguridad de WordPress y los archivos antiguos en el acto. Plan de fallas Examine los componentes de infraestructura en los que se basa su negocio;

redes, servidores, aplicaciones, etc. Y tienen un plan de acción correctiva, por lo que si alguno de estos elementos integrales, individual o colectivamente, falla, puede recuperarse rápidamente. Es posible utilizar una empresa de alojamiento que aloje su sitio de WordPress y que se ocupará de muchas de estas tareas en su nombre. Sin embargo, es esencial hacer las preguntas relevantes para establecer los procesos y los niveles de servicio que también les ofrece si Se ajustan a sus requisitos comerciales. Por ejemplo, intente restaurar sus copias de seguridad de WordPress, probar sus sistemas de seguridad y simular un proceso de recuperación de desastres. Amenazas a la disponibilidad de sus datos en términos de seguridad, la amenaza número 1 de todos los incidentes registrados en el informe es el de un ataque de denegación de servicio distribuido (DDoS), primero diseñado para interrupciones y no un intento de obtener acceso. (( pirata). Muchas de las compañías de alojamiento de WordPress proporcionan una defensa adecuada a este tipo de ataques. Sin embargo, siempre es cauteloso investigar qué ofrecen los servicios de seguridad del perímetro y si estas medidas son suficientes o si debe fortalecer su defensa. El mantenimiento del mantenimiento preventivo juega un papel crucial en la disponibilidad, asegurando que su sitio de WordPress y los complementos asociados se actualicen de manera oportuna, idealmente automáticamente, para remediar cualquier vulnerabilidad conocida existente, lo que resulta en defensas de seguridad más sólidas.
La educación, la capacitación como Benjamin Franklin señaló una vez, “un gramo de prevención merece una libra de curación”, lo cual es tan cierto hoy como en cualquier momento. Y educar a los usuarios sobre posibles trampas e identificar las amenazas que existen, es una medida preventiva esencial. Instituya la capacitación relevante para los empleados, los educa sobre la importancia de las políticas de seguridad prescritas y por qué la empresa ha implementado tales políticas.
Ayúdelos a comprender los riesgos de seguridad, con un énfasis especial en las amenazas sociales, como el phishing y el pretexto, que discutimos. ¡Te lo agradecerán por eso!
Las conclusiones pueden parecer mucho más fáciles de dar a los usuarios acceso a todo, lo que garantiza que siempre tengan acceso a la información que necesitan y muchas cosas que no tienen. Este nivel de permiso a menudo se otorga a los usuarios para evitar posibles solicitudes para modificar los derechos y privilegios de acceso. Pero esto le falta la idea. Al implementar las recomendaciones de la CIA, viajará un largo camino para aliviar y limitar cualquier daño en el caso de una violación del sistema, restringiendo cualquier acceso (confidencialidad) y modificación (integridad) a datos privados y confidenciales. Y lo ayuda a cumplir con sus obligaciones legales y de cumplimiento.
Contraseñas seguras; Reduce el éxito de los ataques de la fuerza bruta.
Autenticación con dos factores; Evitar el uso de credenciales robadas
El principio del privilegio más pequeño; Restringe el acceso a los datos en función de la necesidad de conocer y limitar la modificación de estos datos.
Registro de actividad;Le mantiene informado sobre cualquier acceso, modificación y cambios en el sistema. Asegúrese de que todos los sistemas y complementos se actualicen automáticamente.
Y, finalmente, me gustaría aprovechar esta oportunidad para agradecer a Verizon por todos los esfuerzos realizados al compilar el Informe Anual de Verizon sobre la violación de datos (DBIR).