찾고 있는 데이터 파일이 아닙니다.

반군이 데스 스타를 해킹했습니다. 다음은 귀하의 조직입니까?

아주 오래 전, 아주 멀리 떨어진 은하계에서 제국은 결국 몰락으로 이어질 결정적이고 치명적인 실수를 저질렀습니다. 그들은 반군이 스카리프에서 방어선을 뚫고 가장 소중한 무기인 데스 스타에 대한 계획을 훔칠 수 있을 거라고 결코 믿지 않았습니다.

계획은 수백 척의 우주선이 방어하는 뚫을 수 없는 포스 필드로 완전히 둘러싸인 행성에서 수천 명의 중무장한 군대와 임페리얼 워커로 둘러싸인 높은 탑에 있는 금고에 배치되었습니다.

그러나 매우 의욕이 넘치고 결단력 있는 개인 그룹이 방어선을 통과하는 데만 필요했으며 그 결과는 끔찍했습니다.

제국의 사건 계획은 어디에 있었습니까? 데스 스타 계획이 암호화되지 않은 이유는 무엇입니까? 2단계 인증을 사용하지 않은 이유는 무엇입니까?

매일 다른 데이터 유출에 대한 뉴스가 제공됩니다. 일부는 eBay, Equifax 또는 Yahoo와 같은 대규모 데이터 침해이고 일부는 훨씬 작습니다. 그러나 모두 한 가지 공통점이 있습니다. 일단 침입하면 해커가 많은 데이터를 얻을 수 있다는 것입니다.

종종 해킹은 사용자의 개인 데이터로 제한되지만 때로는 고객의 신용 카드 정보도 도용됩니다. 침해로 고통받는 많은 회사는 이미 보안 조치를 취하고 있습니다. 서버, 방화벽, WAF 및 IDS에 패치를 적용합니다. 많은 사람들이 정보 보안 정책을 가지고 침투 테스트를 수행하지만 해커는 어쨌든 통과합니다.

침해에 대한 계획

아무리 높은 벽을 쌓더라도 충분한 기술, 결단력, 자원을 갖춘 사람이 침입할 수 있습니다. 국가들은 현재 기업 스파이 활동에 참여하고 있으며 북한이 정말로 귀하의 데이터 파일을 원할 경우 매우 어려울 것입니다. 그들을 멀리하십시오.

인간은 모든 시스템에서 가장 큰 공격 벡터이며 고도로 정교한 보안 시스템은 영리한 사회 공학을 통해 침해될 수 있습니다. 데이터를 안전하게 유지하기 위한 노력의 일환으로 조직은 점점 더 정교한 기술로 더 높은 벽을 구축하는 데 점점 더 많은 비용을 지출하고 있지만, 때로는 매우 정교한 공격을 통해 때로는 사람의 실수를 통해 이러한 장벽이 무너지고 데이터가 노출됩니다.

강력한 정보 보안에 중점을 두는 것이 매우 중요하지만 제국은 반군이 보안을 위반할 경우 피해를 완화하는 방법을 연구하는 것을 잊었습니다. 그들은 침해가 일어날 것이라고 생각하지 않았기 때문에 침해에 대한 계획을 세우지 않았습니다. 이것은 지구상의 많은 조직들이 저지르고 있는 것과 동일한 실수입니다.

사고 계획 만들기

모든 조직에는 데이터 유출 사고 계획이 있어야 합니다. 속담이 팬을 때릴 때 마지막으로 필요한 것은 머리없는 닭처럼 뛰어 다니고 필사적으로 상황을 관리하기 위해 노력하고 상황에 따라 일을 꾸미는 직원입니다.

침해가 발견된 후의 순간은 관련된 모든 사람에게 극도로 스트레스를 주기도 하지만 가장 중요하기도 합니다. 계획이 없으면 문제가 훨씬 더 악화될 수 있습니다.

법의학적 증거가 파괴되고 추가 데이터가 노출되며 잘못된 정보가 유포될 수 있습니다. 이 시기에 모두가 위기를 관리할 수 있도록 무엇을 해야 하는지 알아야 합니다.

데이터 감사

다가오는 GDPR 규정의 가장 큰 특징 중 하나는 유럽 조직이 데이터를 감사해야 한다는 것입니다. 많은 조직에서 보유하고 있는 데이터가 무엇인지, 보유하고 있는 데이터의 양과 위치를 모릅니다.

시간이 지남에 따라 유기적으로 성장한 조직에는 각기 다른 데이터가 있는 많은 레거시 시스템이 있을 수 있습니다. 회사는 실제로 필요한 개인 데이터가 무엇인지 고려하고 나머지는 제거하거나 최소한 완전히 암호화해야 합니다. 5년 전에 당신에게서 구매한 사람의 개인 정보를 보관해야 합니까?

교차 오염 방지를 위한 시스템 분리

사슬은 가장 약한 고리만큼만 강합니다. 취약한 진입점으로 인해 많은 보안 시스템이 침해되었습니다. 시스템이 분리되어 있는지 확인하는 것이 중요합니다. 그렇게 하면 하나가 침해되는 경우 침해가 모든 시스템이 아닌 해당 시스템에 포함되어 노출이 제한됩니다.

올바르게 구현되면 매우 안전한 플랫폼에 구축된 전자 상거래 사이트를 침해하기가 매우 어려울 것입니다. 동일한 환경에 WordPress 블로그가 있을 수도 있습니다. WordPress는 지금까지 세계에서 가장 많이 해킹된 웹 플랫폼입니다. Securi가 발표한 데이터에 따르면 2016년 해킹된 웹사이트 샘플의 74%가 WordPress를 실행한 것으로 나타났습니다.

그 비난 중 일부는 소프트웨어를 최신 상태로 유지하지 않는 WordPress 사용자에 대한 것이지만 WordPress 사이트를 운영하는 경우 이 수치가 문제가 됩니다. 전자 상거래 상점과 동일한 환경에서 호스팅되는 WordPress 사이트를 실행하는 경우 우려가 확대되어야 합니다.

WordPress 플랫폼이 침해되면 가장 중요한 데이터가 있는 전자 상거래 웹사이트의 진입점으로 사용될 수 있습니다. WordPress 사이트는 교차 오염이 없도록 전자 상거래 플랫폼과 완전히 다른 별도의 호스팅 환경에서 호스팅되어야 합니다.

데이터 암호화

데이터 암호화는 즉시 나타나는 것보다 더 복잡합니다. 이론적으로 전자 상거래 플랫폼의 데이터베이스에 보관된 모든 개인 데이터를 암호화하는 것은 완전히 의미가 있습니다. 키 없이 데이터가 유출되면 의미가 없습니다.

가장 큰 문제는 애플리케이션이 일반적으로 즉석에서 데이터를 해독할 수 있어야 한다는 것입니다. 즉, 코드 내의 어딘가에 키가 있습니다. 따라서 누군가가 귀하의 애플리케이션과 데이터를 손에 넣은 경우 해당 키를 사용하여 데이터를 해독할 수 있습니다.

또 다른 암호화 문제는 성능입니다. 애플리케이션이 실시간으로 데이터를 해독해야 하는 경우 성능 오버헤드가 크게 증가할 수 있으며 종종 실용적이지 않습니다. 암호화는 데이터를 보호하는 좋은 방법이지만 자체적인 문제가 있습니다.

기만 기반 보안

기만 기반 보안은 해커에게 가짜 취약점을 제공하거나 실제를 가릴 수 있는 가짜 데이터를 제공합니다.

해커는 일반적으로 고급 기술을 배포하기 전에 알려진 익스플로잇과 같은 가장 기본적인 취약점을 찾습니다. 취약점을 찾으면 해당 취약점에 집중할 가능성이 높습니다. 그런 다음 민감하고 실제처럼 보이지만 실제로는 가짜인 데이터에 대한 액세스 권한이 부여되면 냄새를 맡을 수 있습니다.

또한 해당 활동을 보다 쉽게 ​​모니터링할 수 있으므로 공격자를 식별한 다음 차단할 가능성이 높아집니다. 미끼 시스템과 데이터를 배포하여 공격자가 네트워크를 성공적으로 위반한 것처럼 보이게 할 수 있습니다.

미래를 위한 최고의 사이버 보안 사례

조직은 해커를 막는 데에만 집중해서는 안 됩니다. 이것만으로는 모든 사람으로부터 데이터를 보호할 수 없기 때문입니다. 결단력 있고 경험이 풍부하고 자원이 풍부한 팀은 충분히 노력하면 거의 모든 전자 상거래 플랫폼을 해킹할 수 있습니다.

더 큰 벽을 세우는 것은 오랫동안 그들을 막을 것입니다. 모든 데이터를 최대한 보호하려면 침해를 방지하는 것보다 침해를 완화하는 데 더 중점을 두어야 합니다.

제국이 누군가에게 데이터를 감사하고 강력하고 테스트된 사고 계획을 세우는 임무를 부여했다면 상황은 매우 다르게 나타났을 수 있습니다.

하거나 하지 않습니다. 시도가 없습니다!

불확실한 시대에 훌륭한 CX는 무엇입니까?
전문가가 토론할 때 참여하십시오.