這些不是您要查找的數據文件

已發表: 2017-12-15

叛軍入侵死星:你的組織是下一個嗎?

很久以前,在一個遙遠的星系中,帝國犯了一個嚴重而致命的錯誤,最終導致了他們的垮台。 他們從不相信叛軍能夠突破他們在斯卡里夫的防禦並竊取他們最珍貴的武器的計劃:死星。

計劃被放置在一個金庫中,在一座高塔中,被數千名全副武裝的軍隊和帝國步行者包圍,在一個完全被不可穿透的力場包圍的星球上,由數百艘宇宙飛船保護。

然而,只需要一群積極性高、意志堅定的人就可以通過他們的防禦,後果是可怕的。

帝國的事件計劃在哪裡? 為什麼死星計劃沒有加密? 他們為什麼不使用 2 因素身份驗證?

每天都有關於另一次數據洩露的消息。 有些是 eBay、Equifax 或雅虎等大型數據洩露事件,而有些則要小得多。 但是,它們都有一個共同點:一旦進入,黑客就能夠獲取大量數據。

黑客攻擊通常僅限於用戶的個人數據,但有時客戶的信用卡詳細信息也會被盜。 許多遭受破壞的公司已經採取了安全措施:他們修補服務器、防火牆、WAF 和 IDS。 許多人制定了信息安全政策並進行了滲透測試,但黑客無論如何都能通過。

計劃違約

不管你建多高的牆,有足夠技能、決心和資源的人都可以進去。民族國家現在都在從事企業間諜活動,如果朝鮮真的想要你的數據文件,你會發現很難把他們擋在外面。

人類通常是任何系統中最大的攻擊媒介,而高度複雜的安全系統可以通過巧妙的社會工程被破壞。 為了保證他們的數據安全,組織正在花費越來越多的資金來使用越來越複雜的技術來建造更高的牆,但是,這些牆一次又一次地被破壞並且數據被暴露——有時是通過非常複雜的攻擊,有時是通過人為錯誤。

雖然專注於強大的信息安全非常重要,但帝國忘記研究的是,如果叛軍設法破壞他們的安全,如何減輕損失。 他們沒有計劃破壞,因為他們從未想過它會發生。 這也是這個星球上許多組織正在犯的同樣錯誤。

創建事件計劃

每個組織都應該有一個數據洩露事件計劃。 當這句諺語引起轟動時,最不需要的就是員工像無頭雞一樣四處奔波,拼命試圖控制局面,並在進行中編造。

發現漏洞後的那一刻對所有相關人員來說都是非常緊張的,但它們也是最關鍵的。 如果沒有計劃,事情可能會變得更加糟糕。

法醫證據可能被銷毀,進一步的數據暴露,錯誤信息可能被傳播。 在此期間,每個人都應該知道他們需要做什麼才能管理危機。

審核您的數據

即將出台的 GDPR 法規的一大特點是歐洲組織被迫審計其數據。 許多組織不知道他們擁有哪些數據、擁有多少數據以及數據位於何處。

隨著時間的推移而有機增長的組織可能擁有許多遺留系統,每個系統中都存在不同的數據。 公司應考慮他們實際需要哪些個人數據,並確保刪除其餘數據,或至少完全加密。 是否真的有必要保留五年前從您那裡購買的人的個人詳細信息?

系統分離以避免交叉污染

鏈條的強度取決於其最薄弱的環節。 由於入口點薄弱,許多安全系統遭到破壞。 確保系統分離很重要。 這樣一來,如果一個被破壞,則該破壞被包含在該系統中,而不是在所有系統中,從而限制了您的暴露。

如果實施得當,建立在高度安全平台上的電子商務網站將很難被攻破。 您可能還擁有一個位於同一環境中的 WordPress 博客。 WordPress 是迄今為止世界上被黑客入侵最多的網絡平台。 Securi 發布的數據顯示,2016 年被黑網站樣本中有 74% 運行 WordPress。

雖然其中一些責任歸咎於 WordPress 用戶沒有使他們的軟件保持最新,但如果您運行 WordPress 網站,這個數字應該會引起您的關注。 如果您運行託管在與您的電子商務商店相同的環境中的 WordPress 網站,您的擔憂應該會被放大。

如果您的 WordPress 平台遭到破壞,它可以用作您的電子商務網站的入口點,其中最有價值的數據所在的位置。 WordPress 網站應託管在與您的電子商務平台完全不同且獨立的託管環境中,以確保沒有交叉污染。

數據加密

數據加密比看起來要復雜得多。 從理論上講,對電子商務平台數據庫中保存的所有個人數據進行加密是完全有意義的。 如果數據在沒有密鑰的情況下被破壞,那將毫無意義。

最大的問題是您的應用程序通常需要能夠動態解密數據,這意味著您的代碼中的某處是關鍵。 因此,如果有人掌握了您的應用程序和數據,他們可能能夠使用該密鑰解密數據。

另一個加密挑戰是性能。 如果您的應用程序需要實時解密數據,這會顯著增加性能開銷,而且通常是不切實際的。 加密是保護數據的好方法,但也有其自身的挑戰。

基於欺騙的安全性

基於欺騙的安全性為黑客提供了虛假的漏洞,甚至可以掩蓋真實事物的虛假數據。

黑客通常會在部署更先進的技術之前尋找最基本的漏洞,例如已知的漏洞利用。 一旦他們發現了一個漏洞,他們很可能會專注於這個漏洞。 如果他們隨後獲得了看似敏感和真實但實際上是假的數據的訪問權限,那麼您就有機會將他們從氣味中剔除。

您還可以更輕鬆地監控該活動,從而增加識別然後阻止攻擊者的機率。 通過部署誘餌系統和數據,您可以給攻擊者一種成功入侵您網絡的錯覺。

未來的最佳網絡安全實踐

組織不應僅僅專注於將黑客拒之門外,因為僅此一項並不能保護他們的數據免受所有人的侵害。 如果他們足夠努力,一個堅定、經驗豐富且資源充足的團隊可能幾乎可以破解任何電子商務平台。

建造更大的牆只會阻止他們這麼久。 為了確保您的所有數據盡可能受到保護,需要更加關注減輕違規行為,而不僅僅是試圖阻止它們。

如果帝國委託某人審核他們的數據並製定一個可靠且經過測試的事件計劃,事情可能會變得非常不同。

做或不做。 沒有嘗試!

在不確定的時期,是什麼造就了出色的客戶體驗?
與專家一起討論。