هذه ليست ملفات البيانات التي تبحث عنها

المتمردون اخترقوا The Death Star: هل مؤسستك هي التالية؟

منذ زمن طويل في مجرة ​​بعيدة ، بعيدة ، ارتكبت الإمبراطورية خطأ فادحًا وقاتلًا من شأنه أن يؤدي إلى سقوطها في نهاية المطاف. لم يصدقوا أبدًا أن المتمردين سيكونون قادرين على اختراق دفاعاتهم في Scarif وسرقة خطط سلاحهم الأكثر قيمة: The Death Star.

تم وضع الخطط في قبو ، في برج مرتفع ، محاطًا بالآلاف من القوات المدججة بالسلاح و Imperial Walkers ، على كوكب محاط تمامًا بحقل قوة لا يمكن اختراقه ، تدافع عنه مئات سفن الفضاء.

ومع ذلك ، لم يتطلب الأمر سوى مجموعة من الأفراد ذوي الدوافع العالية والتصميم لتجاوز دفاعاتهم ، وكانت العواقب وخيمة.

أين كانت خطة حادثة الإمبراطورية؟ لماذا لم يتم تشفير خطط Death Star؟ لماذا لم يستخدموا المصادقة الثنائية؟

كل يوم يأتي بأخبار خرق آخر للبيانات. بعضها عبارة عن خروقات ضخمة للبيانات مثل eBay أو Equifax أو Yahoo ، بينما بعضها أصغر بكثير. ومع ذلك ، فإنهم جميعًا لديهم شيء واحد مشترك: بمجرد الدخول ، تمكن المتسللون من الحصول على الكثير من البيانات.

غالبًا ما تقتصر عمليات الاختراق على البيانات الشخصية للمستخدمين ، ولكن في بعض الأحيان تُسرق أيضًا تفاصيل بطاقة ائتمان العملاء. العديد من الشركات التي تعاني من خرق لديها بالفعل إجراءات أمنية مطبقة: تقوم بتصحيح الخوادم والجدران النارية و WAFs و IDS. لدى الكثير منهم سياسة لأمن المعلومات ويقومون بإجراء اختبارات الاختراق ، لكن المتسللين يمرون بها على أي حال.

التخطيط للخرق

بغض النظر عن مدى ارتفاعك في بناء الجدران الخاصة بك ، يمكن لشخص لديه ما يكفي من المهارة والتصميم والموارد الدخول. تنخرط الدول القومية الآن في تجسس الشركات ، وإذا كانت كوريا الشمالية تريد حقًا ملفات البيانات الخاصة بك ، فستجد صعوبة كبيرة في ابقهم بالخارج.

غالبًا ما يكون البشر أكبر ناقل للهجوم في أي نظام ، ويمكن اختراق أنظمة الأمان المتطورة للغاية من خلال الهندسة الاجتماعية الذكية. في محاولة للحفاظ على أمان بياناتها ، تنفق المؤسسات أكثر فأكثر لبناء جدران أطول بتقنية متطورة بشكل متزايد ، ولكن يتم اختراقها مرارًا وتكرارًا وكشف البيانات - أحيانًا من خلال هجمات معقدة للغاية ، وأحيانًا من خلال خطأ بشري.

في حين أنه من المهم للغاية التركيز على أمن المعلومات القوي ، فإن ما نسيت الإمبراطورية دراسته هو كيفية تخفيف الضرر إذا وعندما تمكن المتمردون من خرق أمنهم. لم يخططوا لخرق لأنهم لم يعتقدوا أبدًا أنه سيحدث. هذا هو نفس الخطأ الذي ترتكبه العديد من المنظمات على هذا الكوكب أيضًا.

ضع خطة للحوادث

يجب أن يكون لدى كل منظمة خطة لحادث خرق البيانات. عندما يصطدم العنصر الذي يضرب به المثل بالمروحة ، فإن آخر شيء مطلوب هو أن يركض الموظفون مثل الدجاج مقطوع الرأس ، ويحاولون بشدة إدارة الموقف ، ويصنعون الأشياء أثناء تقدمهم.

تعتبر اللحظات التي تلي اكتشاف الخرق مرهقة للغاية لجميع المعنيين ، ولكنها أيضًا الأكثر أهمية. بدون خطة ، يمكن جعل الأمور أسوأ بكثير.

يمكن تدمير أدلة الطب الشرعي ، وكشف المزيد من البيانات ، ونشر معلومات مضللة. خلال هذا الوقت ، يجب أن يعرف الجميع ما يتعين عليهم القيام به لإدارة الأزمة.

تدقيق البيانات الخاصة بك

إحدى الميزات الرائعة للوائح اللوائح العامة لحماية البيانات (GDPR) القادمة هي أن المنظمات الأوروبية مجبرة على تدقيق بياناتها. لا تعرف العديد من المؤسسات ما هي البيانات التي تحتفظ بها ، ومقدارها ، ومكانها.

من المرجح أن تمتلك المنظمات التي نمت بشكل طبيعي بمرور الوقت العديد من الأنظمة القديمة ببيانات مختلفة موجودة في كل منها. يجب أن تفكر الشركات في البيانات الشخصية التي يحتاجون إليها فعليًا والتأكد من إزالة الباقي ، أو على الأقل تشفيرها بالكامل. هل من الضروري حقًا الاحتفاظ بالبيانات الشخصية لشخص اشترى منك قبل خمس سنوات؟

فصل الأنظمة لتجنب انتقال التلوث

إن قوة السلسلة لا تقل عن قوة أضعف حلقاتها. تم اختراق العديد من الأنظمة الآمنة بسبب ضعف نقطة الدخول. من المهم التأكد من فصل الأنظمة. وبهذه الطريقة ، إذا تم اختراق أحدهم ، فسيتم احتواء الخرق على هذا النظام بدلاً من جميع الأنظمة ، مما يحد من تعرضك للخرق.

إذا تم تنفيذ موقع التجارة الإلكترونية بشكل صحيح ، فسيكون من الصعب جدًا اختراقه. قد يكون لديك أيضًا مدونة WordPress موجودة في نفس البيئة. يعد WordPress إلى حد بعيد أكثر منصات الويب اختراقًا في العالم. أظهرت البيانات الصادرة عن Securi أن 74 ٪ من عينة من مواقع الويب التي تم اختراقها في عام 2016 تستخدم WordPress.

في حين أن بعض هذا اللوم يقع على مستخدمي WordPress الذين لا يحافظون على تحديث برامجهم ، فإن هذا الرقم يجب أن يثير قلقك إذا قمت بتشغيل موقع WordPress. يجب أن تتضخم مخاوفك إذا قمت بتشغيل موقع WordPress مستضاف في نفس بيئة متجر التجارة الإلكترونية الخاص بك.

إذا تم اختراق منصة WordPress الخاصة بك ، فيمكن استخدامها كنقطة دخول إلى موقع التجارة الإلكترونية الخاص بك ، حيث توجد البيانات الأكثر قيمة. يجب استضافة موقع WordPress في بيئة استضافة مختلفة تمامًا ومنفصلة عن منصة التجارة الإلكترونية الخاصة بك لضمان عدم وجود تلوث متبادل.

تشفير البيانات

تشفير البيانات أكثر تعقيدًا مما قد يظهر على الفور. من الناحية النظرية ، من المنطقي تمامًا تشفير جميع البيانات الشخصية الموجودة في قاعدة بيانات منصة التجارة الإلكترونية الخاصة بك. إذا تم اختراق البيانات بدون المفتاح فلا معنى لها.

أكبر مشكلة هي أن التطبيق الخاص بك يحتاج عمومًا إلى أن يكون قادرًا على فك تشفير البيانات سريعًا ، مما يعني أن المفتاح في مكان ما داخل الكود الخاص بك. لذلك ، إذا حصل شخص ما على تطبيقك والبيانات ، فقد يتمكن من فك تشفير البيانات باستخدام هذا المفتاح.

يعتبر الأداء تحديًا آخر للتشفير. إذا احتاج تطبيقك إلى فك تشفير البيانات في الوقت الفعلي ، فقد يؤدي ذلك إلى زيادة النفقات العامة في الأداء بشكل كبير ، وغالبًا ما يكون ذلك غير عملي. يعد التشفير طريقة رائعة لحماية بياناتك ، ولكنه يأتي مع مجموعة من التحديات الخاصة به.

الأمن القائم على الخداع

يقدم الأمان المستند إلى الخداع للمتسللين نقاط ضعف مزيفة ، أو حتى بيانات مزيفة يمكن أن تحجب الشيء الحقيقي.

يبحث المتسللون عمومًا عن نقاط الضعف الأساسية ، مثل الثغرات المعروفة ، قبل نشر تقنيات أكثر تقدمًا. بمجرد العثور على نقطة ضعف ، فمن المرجح أن يركزوا عليها. إذا تم منحهم إذن الوصول إلى البيانات التي تبدو حساسة وحقيقية ولكنها في الواقع مزيفة ، فلديك فرصة للتخلص من رائحتها.

يمكنك أيضًا مراقبة هذا النشاط بسهولة أكبر ، مما يزيد من احتمالات تحديد المهاجم ثم حظره. من خلال نشر أنظمة وبيانات خادعة ، يمكنك إعطاء المهاجم وهم اختراق شبكتك بنجاح.

أفضل ممارسات الأمن السيبراني للمستقبل

لا ينبغي للمنظمات التركيز فقط على إبعاد المتسللين لأن هذا وحده لن يحمي بياناتهم من الجميع. من المحتمل أن يتمكن فريق مصمم وذو خبرة وموارد جيدة اختراق أي منصة للتجارة الإلكترونية تقريبًا إذا حاولوا بجد بما فيه الكفاية.

بناء جدار أكبر لن يؤدي إلا إلى ردعهم لفترة طويلة. هناك حاجة إلى تركيز أكبر على التخفيف من الانتهاكات بدلاً من مجرد محاولة منعها للتأكد من أن جميع بياناتك محمية بقدر الإمكان.

إذا كلفت الإمبراطورية شخصًا ما بمراجعة بياناته وإنشاء خطة حوادث قوية ومُختبرة ، لكان من الممكن أن تسير الأمور بشكل مختلف تمامًا.

لا تفعل او لا تفعل. لا يوجد محاولة!

خلال الأوقات المضطربة ، ما الذي يجعل تجربة العملاء رائعة؟
انضم إلى الخبراء أثناء مناقشتهم.