Questi non sono i file di dati che stai cercando
Pubblicato: 2017-12-15I ribelli hanno hackerato la Morte Nera: la tua organizzazione è la prossima?
Molto tempo fa, in una galassia molto, molto lontana, l'Impero fece un errore critico e fatale che avrebbe portato alla loro caduta finale. Non hanno mai creduto che i ribelli sarebbero stati in grado di violare le loro difese a Scarif e rubare i piani per la loro arma più preziosa: la Morte Nera.
I piani furono collocati in una cripta, in un'alta torre, circondata da migliaia di truppe pesantemente armate e Imperial Walker, su un pianeta completamente circondato da un campo di forza impenetrabile, difeso da centinaia di astronavi.
Eppure ci volle solo un gruppo di individui altamente motivati e determinati per superare le loro difese, e le conseguenze furono terribili.
Dov'era il piano dell'incidente dell'Impero? Perché i piani della Morte Nera non erano criptati? Perché non hanno utilizzato l'autenticazione a 2 fattori?
Ogni giorno porta notizie di un'altra violazione dei dati. Alcuni sono enormi violazioni dei dati come eBay, Equifax o Yahoo, mentre altri sono molto più piccoli. Tuttavia, hanno tutti una cosa in comune: una volta entrati, gli hacker sono stati in grado di ottenere molti dati.
Spesso gli hack sono limitati ai dati personali degli utenti, ma a volte vengono rubati anche i dettagli della carta di credito dei clienti. Molte aziende che subiscono una violazione dispongono già di misure di sicurezza: applicano patch a server, firewall, WAF e IDS. Molti hanno una politica di sicurezza delle informazioni ed eseguono test di penetrazione, ma gli hacker riescono comunque a farcela.
Piano per la violazione
Non importa quanto in alto costruisci i tuoi muri, qualcuno con abbastanza abilità, determinazione e risorse può entrare. Gli stati nazione ora si stanno impegnando nello spionaggio aziendale e se la Corea del Nord vuole davvero i tuoi file di dati, troverai molto difficile tienili fuori.
Gli esseri umani sono spesso il più grande vettore di attacco in qualsiasi sistema e sistemi di sicurezza altamente sofisticati possono essere violati attraverso un'intelligente ingegneria sociale. Nel tentativo di mantenere i propri dati al sicuro, le organizzazioni stanno spendendo sempre di più per costruire muri più alti con una tecnologia sempre più sofisticata, ma, di volta in volta, questi vengono violati e i dati vengono esposti, a volte attraverso attacchi molto sofisticati e talvolta a causa di errori umani.
Sebbene sia estremamente importante concentrarsi su una forte sicurezza delle informazioni, ciò che l'Impero ha dimenticato di studiare è come mitigare i danni se e quando i ribelli sono riusciti a violare la loro sicurezza. Non avevano pianificato una violazione perché non avrebbero mai pensato che sarebbe successo. Questo è lo stesso errore che stanno facendo anche molte organizzazioni su questo pianeta.
Crea un piano per gli incidenti
Ogni organizzazione dovrebbe disporre di un piano per gli incidenti di violazione dei dati. Quando l'oggetto proverbiale colpisce il fan, l'ultima cosa di cui hanno bisogno sono i dipendenti che corrono in giro come polli senza testa, cercando disperatamente di gestire la situazione e inventando le cose mentre vanno avanti.
I momenti successivi alla scoperta di una violazione sono estremamente stressanti per tutti i soggetti coinvolti, ma sono anche i più cruciali. Senza un piano, le cose possono essere molto, molto peggio.
Le prove forensi possono essere distrutte, ulteriori dati esposti e la disinformazione può essere diffusa. Durante questo periodo, tutti dovrebbero sapere cosa devono fare affinché la crisi possa essere gestita.
Controlla i tuoi dati
Una delle grandi caratteristiche delle imminenti normative GDPR è che le organizzazioni europee sono costrette a controllare i propri dati. Molte organizzazioni non sanno quali dati detengono, quanti ne hanno e dove si trovano.
È probabile che le organizzazioni che sono cresciute organicamente nel tempo abbiano molti sistemi legacy con dati diversi che risiedono in ciascuno. Le aziende dovrebbero considerare di quali dati personali hanno effettivamente bisogno e assicurarsi che il resto venga rimosso, o almeno completamente crittografato. È davvero necessario conservare i dati personali di qualcuno che ha acquistato da te cinque anni fa?
Separazione dei sistemi per evitare la contaminazione incrociata
Una catena è forte solo quanto il suo anello più debole. Molti sistemi sicuri sono stati violati a causa di un punto di ingresso debole. È importante garantire che i sistemi siano separati. In questo modo, se uno viene violato, la violazione è contenuta in quel sistema piuttosto che in tutti i sistemi, limitando così la tua esposizione.
Se implementato correttamente, un sito di e-commerce costruito su una piattaforma altamente sicura sarà molto difficile da violare. Potresti anche avere un blog WordPress che si trova all'interno dello stesso ambiente. WordPress è di gran lunga la piattaforma web più hackerata al mondo. I dati diffusi da Securi hanno mostrato che il 74% di un campione di siti Web compromessi nel 2016 utilizzava WordPress.
Mentre parte di quella colpa è sugli utenti di WordPress che non mantengono aggiornato il loro software, questo numero dovrebbe preoccuparti se gestisci un sito WordPress. La tua preoccupazione dovrebbe essere amplificata se gestisci un sito WordPress ospitato nello stesso ambiente del tuo negozio di e-commerce.
Se la tua piattaforma WordPress viene violata, potrebbe essere utilizzata come punto di ingresso nel tuo sito di e-commerce, dove risiedono i dati più preziosi. Il sito WordPress dovrebbe essere ospitato su un ambiente di hosting completamente diverso e separato rispetto alla tua piattaforma di e-commerce per garantire che non vi sia contaminazione incrociata.
Crittografia dei dati
La crittografia dei dati è più complessa di quanto possa sembrare immediatamente. In teoria, ha perfettamente senso crittografare tutti i dati personali contenuti nel database della tua piattaforma di e-commerce. Se i dati vengono violati senza la chiave, non ha senso.
Il problema più grande è che la tua applicazione generalmente deve essere in grado di decrittografare i dati al volo, il che significa che da qualche parte all'interno del tuo codice c'è la chiave. Pertanto, se qualcuno si impossessa della tua applicazione e dei dati, potrebbe essere in grado di decrittografare i dati utilizzando quella chiave.
Un'altra sfida di crittografia sono le prestazioni. Se la tua applicazione ha bisogno di decrittografare i dati in tempo reale, ciò può aumentare significativamente i costi generali delle prestazioni e spesso non è pratico. La crittografia è un ottimo modo per proteggere i tuoi dati, ma presenta una serie di sfide.
Sicurezza basata sull'inganno
La sicurezza basata sull'inganno presenta agli hacker vulnerabilità false o persino dati falsi che possono oscurare la realtà.
Gli hacker generalmente cercano le vulnerabilità più basilari, come gli exploit noti, prima di implementare tecniche più avanzate. Una volta trovata una vulnerabilità, è probabile che si concentrino su quella. Se viene quindi dato loro accesso a dati che sembrano sensibili e reali ma in realtà sono falsi, hai la possibilità di eliminarli.
Puoi anche monitorare più facilmente quell'attività, il che aumenta le tue probabilità di identificare, quindi bloccare, l'attaccante. Distribuendo sistemi e dati esca, puoi dare all'attaccante l'illusione di violare con successo la tua rete.
Le migliori pratiche di sicurezza informatica per il futuro
Le organizzazioni non dovrebbero concentrarsi esclusivamente sul tenere fuori gli hacker poiché questo, da solo, non proteggerà i loro dati da tutti. Un team determinato, esperto e con risorse adeguate potrebbe probabilmente hackerare quasi tutte le piattaforme di e-commerce se si impegnassero abbastanza.
Costruire un muro più grande li scoraggerà solo per così tanto tempo. È necessaria una maggiore attenzione alla mitigazione delle violazioni piuttosto che semplicemente al tentativo di prevenirle per garantire che tutti i tuoi dati siano protetti il più possibile.
Se l'Impero avesse incaricato qualcuno di controllare i propri dati e creare un piano per gli incidenti solido e testato, le cose sarebbero potute andare in modo molto diverso.
Fare o non fare. Non c'è una prova!