10 coses que podem aprendre d’un lloc web que incompleix les dades d’un amfitrió

La pirateria s’està convertint ràpidament en una indústria de diversos bilions de dòlars.


Pitjor encara, tenir una petita empresa no significa que no estigueu protegits dels danys.

Per contra, el 58% dels incompliments de dades s’orienten a petites empreses. I dels afectats, només un 20% sobreviu més de 18 mesos després de la prova.

Naturalment, protegir les vostres dades dels indiscutibles ciberdelinqüents necessaris han de ser una prioritat empresarial.

Però què es pot fer exactament al respecte?

Mirem què podem aprendre dels incompliments de dades anteriors per mantenir la vostra empresa en línia segura.

# 1: Utilitzeu un gestor de contrasenyes

Gestor de contrasenyes

Com probablement sabeu, tenir una contrasenya única per a tots els vostres comptes no és la manera més segura de protegir-vos contra intrusos no desitjats. A més, obliga els teus empleats a recordar una sèrie de contrasenyes úniques podria provocar una complaença.

Un exemple molt digne és Equifax a l’Argentina, on els empleats inicien la sessió amb les credencials “administrador / administrador”.

Un gestor de contrasenyes com KeePass o LastPass fàcilment permet als usuaris gestionar una complexa matriu de contrasenyes mitjançant una sola clau mestra.

Al cap i a la fi, les contrasenyes compromeses causen fins a un 81% dels incompliments de dades.

# 2: utilitzeu l’autenticació de dos factors (2FA)

Les institucions financeres del món han estat recollint aquesta solució eficaç i inequívoca en les accions.

Essencialment, l’autenticació de dos factors utilitza fitxes de programari o de maquinari per verificar la identitat d’un usuari. Les opcions de maquinari com RSA o YubiKey són les millors perquè són pràcticament impossibles de fer malbé.

Alguns proveïdors d’allotjament web de renom com GoDaddy i Hostinger també ofereixen 2FA per als usuaris per afegir una capa addicional de seguretat als seus comptes d’allotjament.

Tot i que el procés és relativament feixuc, ho és Val la pena tenir en compte els empleats que gestionen informació sensible.

Només cal demanar a Zomato. El 2017, un dels comptes dels seus desenvolupadors es va veure compromès, que va suposar un incompliment de dades que va afectar 17 milions d’usuaris. L’autenticació de dos factors hauria evitat el fiasco fàcilment.

Vaja!.

# 3: desenvolupar un pla de recuperació amb còpies de seguretat regulars

Un pla de recuperació pot no evitar una infracció, però sí recórrer un llarg camí per minimitzar els danys en cas que es produís.

Determineu el punt de recuperació i l’objectiu de temps de recuperació abans de formular un pla d’acord amb les necessitats del vostre negoci. I no oblideu provar tot el procés a fons.

La majoria dels serveis d’allotjament web oferiu còpies de seguretat remotes automàtiques cada 24 hores més o menys. Per exemple, InMotion Hosting inclou aquest servei gratuïtament per als clients del seu VPS i els plans d’allotjament compartits amb menys de 10 GB de dades. HostGator, en canvi, cobra uns dòlars al mes.

Tingueu en compte que aquests serveis estan dissenyats per a situacions més desastroses. Sempre serà prudent també executar les vostres còpies de seguretat.

# 4: Utilitzeu programari de detecció de força bruta

A mesura que els ordinadors es tornen més potents, Els atacs de força bruta estan destinats a augmentar.

Essencialment, és quan l’atacant utilitza un guió per endevinar totes les combinacions de contrasenyes possibles fins que trobi la correcta. Pot semblar desgavellat, però un PC modern ara és capaç d’escriure una contrasenya de 26 caràcters en tan sols 35 minuts.

Apple va caure de la popular tècnica el 2014, quan milers de comptes d’iTunes van ser objectius i compromeses individualment. El resultat? Es van filtrar nombroses fotos privades de celebritats.

Per sort, és relativament fàcil de protegir contra aquests atacs. El programari de detecció de força bruta pot prohibir als usuaris que s’iniciïn en l’adreça IP específica després d’un nombre predeterminat d’intents.

# 5: Insisteix en HTTPS

Insisteix en HTTPS

Sense un certificat SSL vàlid, un hacker podria ser escoltar el vostre trànsit i transmetre dades sensibles amb caprici.

Amfitrions web reputables com ara 1&1 inclou el certificat gratuït, de manera que no hi ha excusa per no tenir-ne un el 2018. A més, el prefix HTTPS tan enyorat serà augmentar el vostre SEO i crear confiança dels consumidors en la vostra marca.

# 6: Llanceu un tallafoc

Els tallafocs són una eina important per mantenir les dades segures tal com són capaç de bloquejar la majoria de connexions no desitjades.

O bé opteu per un maquinari o un tallafoc de programari o tots dos, segons les vostres necessitats empresarials. Linux i Windows tenen els seus propis (Iptables i Windows Firewall), de manera que no cal deixar de banda aquest element essencial de seguretat.

# 7: Assegureu-vos que tot el programari estigui actualitzat

Ja sabeu com va.

Un pirata informàtic troba una vulnerabilitat i causa molts danys. El venedor el soluciona mitjançant un pedaç i el procés es repeteix indefinidament.

Amb tantes vulnerabilitats conegudes per aquí, iÉs imprescindible que us assegureu sempre que el vostre programari estigui actualitzat. Millor encara, aneu un pas més enllà fent una prova del vostre host web per assegurar-se que també han pegat o respaldat totes les darreres actualitzacions.

Per utilitzar un exemple famós, la debacle d’Equifax va ser el resultat d’una vulnerabilitat coneguda en el seu programari Apache Struts..

Entre els seus programes principals s’actualitzen les empreses sistemes operatius, servidors cPanel, PHP, tecnologia de caché, servidors phpMyAdmin i MySQL.

Si esteu a WordPress, assegureu-vos que el CMS estigui sempre actualitzat a la versió més recent. Els proveïdors d’allotjament de WordPress gestionats, com Bluehost, ho faran automàticament, però si el vostre pla no inclou la actualització automàtica com a funció, ho hauràs de fer pel teu compte. Obteniu més informació sobre la prevenció dels hacks de WordPress aquí.

# 8: Cerca activament de vulnerabilitats

L’única manera de protegir el vostre lloc web realment és fer-ho busqueu vulnerabilitats potencials abans que ho facin els dolents.

Els provadors de penetració estan especialitzats en aquestes coses, tot i que els seus serveis no són barats. No obstant això, ells podria estalviar al vostre negoci una enorme quantitat de diners identificant una vulnerabilitat nociva abans que sigui massa tard.

Cas concret: es podria evitar fàcilment l’atac d’un hacker novell a Freedom Hosting II buscant la vulnerabilitat abans d’hora..

# 9: Ser transparent

Un cop s’ha produït un incompliment, és crucial ser obert i honest des del primer moment. En cas contrari, causareu més danys a la vostra reputació ja afectada i podríeu violar la llei.

L’empresa Wonga de préstecs de pagament és un exemple d’empresa que ha fallat espectacularment en aquest sentit. En lloc d’informar de manera immediata i directa als seus 245.000 clients d’una greu violació de dades, van decidir escriure discretament l’ocurrència en una secció poc vistosa del seu lloc web..

Ningú no es va impressionar.

# 10: Aneu amb compte amb el núvol

Tot i que l’emmagatzematge al núvol és relativament segur, Les dades altament sensibles es conserven millor en un servidor dedicat. Només allà els administradors poden tenir un control total sobre la seva configuració de seguretat i la màxima confiança per evitar infiltracions no desitjades.

L’antiga plataforma de comunicacions en línia HipChat coneix massa bé els perills del núvol. El 2017 van exposar inadvertidament una gran quantitat de dades personals conservades en una biblioteca de tercers basada en núvol.

L’adopció

Aprendre dels teus errors és genial. L’aprenentatge dels errors dels altres és encara millor.

Porteu aquesta informació fàcilment obtinguda a bord i utilitzeu-la per protegir el vostre negoci contra un incompliment de dades potencialment catastròfic.

Fonts:

Imatge de la contrasenya: https://ultimatepeter.com/wp-content/uploads/2014/01/cain-rdp.jpg

Imatge HTTPS: https://www.x-cart.com/wp-content/uploads/2017/02/http_to_https-1.jpg

La veritat sobre la indústria de la pirateria global: https://www.globalresearch.ca/the-truth-about-the-global-hacking-industry/5620279

Informe d’investigacions sobre incompliment de dades de Verizon 2018: https://www.verizonenterprise.com/verizon-insights-lab/dbir/

Equifax tenia “administrador” com a login i contrasenya a l’Argentina: https://www.bbc.com/news/technology-41257576

Les contrasenyes pirates causen el 81% de les incomplències de dades: https://www.cso.com.au/mediareleases/29642/hacked-passwords-cause-81-of-data-breaches/

Piratada de Zomato: la infracció de seguretat dóna lloc a 17 milions de dades d’usuaris robats: https://economictimes.indiatimes.com/small-biz/security-tech/security/zomato-hacked-security-breach-results-in-17-million-user -data-robada / articleshow / 58729251.cms

El pirateig filtra centenars de fotos de celebritats nues: https://www.theverge.com/2014/9/1/6092089/nude-celebrity-hack

Primer cop d’ull a la filtració de Freedom Hosting II: https://pirate.london/inside-the-freedom-hosting-ii-leak-aae1104ab693

El prestador de pagament Wonga admet l’incompliment de dades: https://www.theregister.co.uk/2017/04/10/wonga_data_breach/

HipChat s’ha pirat: aquí és el motiu que va suposar: https://thenextweb.com/insider/2017/04/24/hipchat-hacked-weekend-bad/

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map