Video: Power of AngularDart and Trustwave's Customer Portal (DartConf 2018) (Lokakuu 2024)
Oletko vastuussa yrityksesi Internet-tietoturvasta? Hallitsetko ihmisiä, jotka ovat? Sitten sinun pitäisi lukea vuoden 2014 Trustwave-tietoturvaraportti. Älä pudota sen koon (lähes 100 sivua) mukaan. Raportti on muotoiltu kuin jättiläinen infografia, joten sen esitteistä on helppo ymmärtää. Itse asiassa, vaikka sinulla ei olisi mitään tekemistä verkkosivustoturvallisuuden hallinnan kanssa, kannattaa ehkä antaa se lukea. Tässä on joitain kohokohtia.
Kuinka he pääsivät sisään?
Tämän raportin tiedot ovat peräisin lähes 700 Trustwave-rikkomustutkimuksesta vuonna 2013, samoin kuin tiedot niiden toimintakeskuksista, tietoturvamittauksista ja tutkimuksesta. 85 prosenttia rikkomuksista käytti haavoittuvuuksia kolmansien osapuolien työkaluissa, kuten Java, Flash ja Adobe Reader. 85 prosenttia! Ei riitä, että asetat Windows Update -toiminnon automaattitilaan - se pitää vain Windowsin ajan tasalla. Kaikkien sovellustesi on oltava paikallaan.
Tutkijat havaitsivat, että heikot salasanat olivat tekijä 31 prosentilla tutkituista rikkomuksista. Se on tarpeeksi huono, kun käytät Club Penguin -tilisi salasanaa kuten "apina" tai "12345". Kun suojaat yrityksesi resursseja heikolla salasanalla tai jätät oletussalasanan paikalleen, pyydät saada hakkeroitua.
Kuka osuu?
Jos sinulla on tunne, että tietorikkomukset ovat yhä yleisempiä, olet oikeassa. Kokonaismäärä kasvoi 54 prosenttia Trustwave'in edelliseen raporttiin verrattuna. Maksukorttitiedot ovat luonnollisesti suosituin verkkorottien muoto, koska huijarit voivat ansaita rahaa kyseisillä tiedoilla heti. Mutta raportissa todetaan, että muiden kuin korttien tietojen, mukaan lukien sisäinen viestintä ja asiakasrekisterit, kasvu on 33 prosenttia.
Myyntipisteiden rikkomusten, kuten viime vuoden Target-fiaskon, osuus oli 33 prosenttia kaikista. Mitä tulee rikkomuksiin, Yhdysvallat on ykkös sekä uhriorganisaatioissa että tekijöiden sijainnissa.
Itsetutkimus on kriittistä
Täysin 71 prosentilla Trustwaven tutkimista rikkomuksista uhriorganisaatio ei löytänyt rikkomusta. Pankki, kumppani, sääntelyvirasto tai jokin muu kolmas osapuoli laati ensimmäisen raportin. Hyökkääjillä oli keskimäärin lähes kolme kuukautta vapaata hallintaa ennen rikkomuksen havaitsemista. Keskimäärin yritykset onnistuivatkin hillitsemään ongelman viikossa havaitsemisen jälkeen.
Asiat näyttävät paremmalta organisaatioille, joiden omat politiikat ja käytännöt paljastivat rikkomisen. Parempi, mutta silti ei hienoa. Tämä ryhmä oli edelleen keskimäärin kuukausi tartunnan ja havaitsemisen välillä. Toisaalta niiden korjaustilastot ovat hyvät, keskimäärin vain yhden päivän sisällä havaitun rikkomuksen.
Tee se oikein
On selvää, että jokainen organisaatio tarvitsee voimassa olevat politiikat, jotka varmistavat, että rikkomusta ei havaita ja joka tarjoaa selkeän tien eristämiseen. Huonosti suunniteltu politiikka voi kuitenkin olla huonompi kuin ei ollenkaan, etenkin franchising-tyyppisessä organisaatiossa.
Joissakin tapauksissa yhden franchising-iskun hyökkäys leviää helposti organisaation päämajaan. Tietysti rikkomukset pääkonttorissa voivat myös levitä mihin tahansa tai kaikkiin franchiseihin. On myös mahdollista, että kaikkien franchising-palveluiden käyttämä kolmannen osapuolen palvelu voi vioittaa koko järjestelmän.
Tietojen runsaus
Löydät ehdoton runsaasti tietoja tästä raportista. Siinä luetellaan tietosuojarikkomusten indikaattorit ja oikeat vastaukset kuhunkin. Se selittää haittaohjelmakampanjan toiminnan ja ansaitsee rahaa. Siellä on loppua tarkalleen, joka hyödyntää Trustwaveen havaittua (Java on erittäin, erittäin suosittu huijareiden keskuudessa).
Raportissa luetellaan kokoelma suosittuja palvelinpuolen ohjelmistoja ja niiden asennusten prosenttiosuus, jotka käyttävät haavoittuvaa tukematonta versiota (prosenttimäärä vaihtelee kahdesta 70: een). Voisin jatkaa ja jatkaa. Todellakin, sinun kannattaa kuitenkin lukea koko raportti. Jos olet aktiivisesti mukana yrityksesi verkkosivustojen tietoturvassa, se on ehdottoman välttämätön.
