Video: Kibernetinės kriminalistikos tyrimai, įrankiai ir metodai (Lapkritis 2024)
Vyksta nacionalinė smulkaus verslo savaitė, kurios metu netrūko iškilmių, kurios metu buvo atkreiptas dėmesys į vieną iš akivaizdžiausių ir amžinai aktualių mažų ir vidutinių įmonių (kibernetinio verslo) problemas: kibernetinį saugumą. Smulkiojo verslo administracija (SBA) yra JAV vyriausybinė agentūra, teikianti konkrečią pagalbą, mokymą ir rekomendacijas, kurias mažos įmonės gali įgyvendinti iš karto vykdydamos savo kasdienes operacijas. Šiuo tikslu, užuot siūlydamas tiesiog debesų saugumo tendencijas, šiandienos SBA kibernetinio saugumo komisija pateikė smulkioms ir vidutinėms įmonėms konkrečių patarimų, išteklių ir žingsnių, kurių jie gali imtis siekiant sumažinti saugumo spragas ir įdiegti išsamią saugumo strategiją.
SBA administratoriaus pavaduotojas Doug Kramer moderavo saugumo ekspertų grupę, nes jie aptarė didžiausią saugumo riziką, su kuria susiduria mažos įmonės, ir svarbiausius veiksmus, kurių jie gali imtis, kad apsaugotų savo infrastruktūrą ir duomenis, pagrįstus debesų ar fizinėmis. Į komisiją įėjo ADP visuotinio pasitikėjimo užtikrinimo viceprezidentas Bill O'Connell; Steponas Cobasas, ESET Šiaurės Amerikos vyresnysis saugumo tyrėjas; Mattas Littletonas, kibernetinio saugumo ir „Azure“ infrastruktūros paslaugų „Microsoft“ rytų regioninis direktorius; ir Patricia (Pat) Toth, Nacionalinio standartų ir technologijos instituto (NIST) Kompiuterių saugumo skyriaus priežiūros kompiuterių žinovė.
Grupės nariai diskutavo apie kibernetinio saugumo problemas, pradedant nuo sukčiavimo apsimetant kompiuteriu, išpirkos programinės įrangos ir kaip elgtis pažeidžiant, kaip mažoms įmonėms reikėtų kreiptis į daugiafaktorinį autentifikavimą (MFA), darbuotojų saugos mokymus ir politiką, ko ieškoti vadovaujančio paslaugų teikėjo (MSP) sutartyje, ir kada paskambinti į IT saugos konsultantą.
Anot Kramerio, tai susiję ne tik su darbuotojų ir klientų kreditinėmis kortelėmis ir bankininkystės informacija, bet ir intelektinės nuosavybės duomenų verslas turi prieigą visur - nuo el. Pašto iki debesies saugyklos ir atakų paviršius, kurie gali padaryti mažą verslą silpnąja grandimi ir lengvu taikiniu tiekimo grandine. Anot SBA, Krameris teigė, kad beveik pusė visų mažų įmonių tam tikru laipsniu nukentėjo dėl elektroninių nusikaltimų, o vidutinės išpuolių išlaidos yra maždaug 21 000 USD.
„Kiekvienas, pradedantis mažą verslą, dirba taip sunkiai, kaip gali, negaudamas papildomo laiko ar pinigų, kad galėtų išspręsti kibernetinio saugumo iššūkį, kuris gali kainuoti daugiau, nei tikėtasi, o mažam verslui reiškia gyvybę ar mirtį“, - pastebėjo SBA „Kramer“ kaip kolegija. prasidėjo. "Kibernetinių įsibrovimų ir vagysčių grėsmė yra labai reali. Mažos įmonės vertina turtą ir atsargas skirtingais būdais, tačiau jos sėda į informacijos lobį."
1. Debesies saugumas: daryti ir nedaryti
Dėl ekonomiškų ir patogumo priežasčių visos SVV turi apsvarstyti galimybę pereiti prie debesies, tačiau perėjimas turi įvykti atsargiai. Grupės nariai aptarė keletą svarbiausių svarstymų ir kliūčių.
- Atlikite: papildomą debesies atsarginę kopiją „Debesis turi daug pranašumų ir rizikos, tačiau vienas dalykas, kurį visi SVV turėtų padaryti, yra atsarginė kopija“, - teigė ESET bendradarbis. Dabartinė visų failų atsarginė kopija yra geriausia apsauga nuo išpirkos programų ir kritinės kibernetinio saugumo laikysenos bei gynybos dalies. Vis tiek turėtumėte sukurti atsarginę atsarginę kopiją kietajame diske ir laikyti kopiją kažkur saugioje vietoje, bet debesis leidžia kurti atsarginę kopiją. nuolat “.
- Atlikite: sumokėkite už „Premium Cloud Security“ „Smulkiojo verslo savininkai sąmoningi kainų atžvilgiu, tačiau norint gauti reikiamą svorį reikia kitų veiksnių“, - teigė ADP atstovas O'Connellas. "Kai kurie dalykai turėtų kainuoti daugiau pinigų už aukštesnį paslaugų lygį, o saugumas yra vienas iš tų dalykų. Negalima tik priimti sprendimo, pagrįsto kaina."
- Negalima: tiesiog pasirašykite JEP sutartį
„Patikrinkite tą sutartį“, - sakė ESET bendradarbis. "Galite perduoti saugyklą ar atsarginę kopiją, tačiau negalite perduoti atsakomybės. Jei SVV savininkas sako, kad IT tiekėjas turi visus kliento ir darbuotojo duomenis - jūsų duomenis, jūs vis tiek esate atsakingi".
„Kalbant ne tik apie sutartį, bet ir duomenis, atlikite savo tyrimus, kad sužinotumėte, ar nėra kokių nors saugumo problemų“, - pridūrė ADP atstovas O'Connell. "SVV atveju sutartis yra gera šios gynybos linijos dalis. Peržiūrėkite SLA ir prieigos pakopų duomenų politiką. Kiek laiko JEP saugo duomenis? Ką jie su ja daro?"
- Negalima: palikite nenaudojamas JEP infrastruktūros ypatybes "Jei žengsite į debesų aplinką, dalį atsakomybės galėsite perkelti. Mes nebegyvename platformos arenoje, kur jūs turite jaudintis, kad neturėsime personalo atsakyti į problemą ar pataisyti serverio", - teigė „Microsoft“ vadovas. Littletonas. "Štai kur paslaugų teikėjas gali kreiptis ir tvarkyti tai jūsų vardu. Turite suprasti, į ką jūs einate iš sutarties perspektyvos ir kokias paslaugas siūlo debesų paslaugų teikėjas."
2. Daugiafaktorė autentifikacija: tiesiog darykite
"Žvelgiant iš asmeninės ir verslo pusės, MFP yra tai, ką galite padaryti nedelsdami. Verslas neturi jokio pasiteisinimo to nedaryti iškart", - teigė „Microsoft“ vadovas Littletonas. "Su visomis„ Microsoft "produktų kaminomis viskas paprasta; tas pats pasakytina ir apie„ Google ", „ Yahoo ", jūs įvardinate el. Pašto paslaugų teikėją. Pažvelkite į savo saugos parametrus ir reikalaukite, kad kiekvienas darbuotojas įvestų savo mobiliojo telefono numerį kaip antrą veiksnį. Tada, net jei aš esu užpuolikas ir aš pavogsiu jūsų slaptažodį. Negaliu jo naudoti, nebent pavogsiu jūsų mobilųjį telefoną ir nežinau PIN kodo “.
3. Kada reikia paskambinti IT saugumo konsultantui
„ Bus dalykų, kurių negalite padaryti vienas kaip mažo verslo savininkas“, - sakė ADP atstovas O'Connell. "Dėl labai svarbių sutarčių jūs gaunate teisinę konsultaciją. Dėl metinių ir ketvirčių finansų turite buhalterį. Tas pats pasakytina ir apie saugumo ekspertizę. Kai jums reikia išbandyti svetainę, kad įsitikintumėte, ar ji saugi internete, arba atlikti rizikos vertinimą, pinigai, kuriuos gerai išleisite, jei neturite žinių, kaip tai padaryti patys. patys nedarote elektros ar vandentiekio pastate; tai yra žinojimas, kada jums reikia pagalbos."
4. Saugumas yra kiekvieno žmogaus darbo dalis
„Dešimties žmonių kompanijoje negalima tiesiog pasikliauti vienu žmogumi; visi turi gerai suprasti kibernetinį saugumą ir tai, kokia yra organizacijos rizika“, - teigė NIST atstovas Totas. "Jei jie to nepadarys, jų darbui gali kilti pavojus, jei įvyks pažeidimas ir verslas negalės atsigauti."
„Padarykite apsaugą kiekvieno žmogaus darbo dalimi“, - pridūrė ADP atstovas O'Connell. "Asmuo, valdantis finansus - ką jie turi daryti kiekvieną dieną? Kas iš fizinės pusės, kas užrakina duris naktį? Kiekvienas turi žinoti komponentus ir kaip jų vaidmuo atitinka bendrą verslo saugumą".
5. Nebūkite silpna tiekimo grandinės grandis
Kaip paaiškino SBA „Kramer“, nebėra skirstymo tarp MVĮ ir įmonių. Mažos įmonės nori augti ir didėti, arba prisijungia prie programinės įrangos ir paslaugų tiekimo grandinės. Problema ta, kad SVV saugumo politika gali neatitikti tiekimo grandinės įmonės, su kuria jie nori partnerio.
„Kai mažas ir vidutinis įmonė gauna pirmąją didelę sutartį su didele įmone ir jie prašo pamatyti jūsų saugumo politiką ir sąmoningumo programą, neturėtumėte stengtis patikrinti viską, kas nėra kontroliniame sąraše“, - sakė ESET vadovas Cobbas. "Tiekimo grandinės rizika aukštyn ir žemyn kelia didelį nerimą. Jei SVV skaitmeniniu būdu bendrauja su tiekėju, patikrinkite juos. Turite turėti saugos politiką ir mokymus, kad tai netaptų kliūtimi."
„Joks verslas nėra per mažas, kad būtų nukreiptas į kibernetinę areną, ypač iš tiekimo grandinės valdymo“, - teigė „Microsoft“ vadovas Littletonas. "Daugelis pažeidimų prasideda ne viršuje; jie prasideda kažkur tiekimo grandinėje, o užpuolikai dirba savo kelią iki galutinio tikslo."
NIST'o Totas teigė, kad per ateinančius dvejus metus pamatysite, kad vyriausybinės agentūros pradės skelbti prieigos prie tiekimo grandinės sistemų taisykles. Tuo tarpu ji teigė, kad mažos ir vidutinės įmonės turi turėti planą.
„Planavimas yra neįkainojamas, norint žinoti, kas iš tikrųjų svarbu; tai vienas dalykas, kurį turite apsaugoti, ir tai, kaip jūsų verslas veiktų, jei jis nebūtų prieinamas“, - teigė NIST vadovas Totas. „MVĮ turi turėti planus, politiką ir procedūras. Nėra didelis vyriausybės požiūris. Tai gali būti taip paprasta, kaip jūsų darbuotojo vadovo politikoje sakoma, ką jie gali ir ko negali padaryti internete, kaip pastebėti apsimestines svetaines. ir kada atidaryti, o ne atidaryti nuorodas ir priedus “.
6. El. Laišką elkitės kaip atviruką, o ne voką
"Pirmasis dalykas, kurį turi padaryti mažas verslas, turintis el. Paštą, yra galvoti apie tai, kas jame yra. Jei ketinu nulaužti kieno nors įmonės informaciją, jų el. Laiške dažnai yra visa gera informacija", - teigė ESET bendradarbis. "Žmonės dažnai negalvoja apie tai, ką jie ten palieka. Pažvelkite į" Sony "įsilaužimą; žmonės sakydavo, kad el. Paštu jie neturėjo būti. El. Paštas yra atvirukas, o ne užklijuotas vokas. Turėkite tai omenyje."
„Tai taip pat tampa vis svarbiau ir dėl galimybės valdyti duomenis“, - teigė „Microsoft Littleton“ atstovas. „Gali būti verta pinigų naudoti užšifruotą el. Pašto paslaugą su gaunamų filtravimu, kuris sumažina jūsų atakos paviršių. Jei el. Laiške palikote kreditinės kortelės numerį, tarnyba paklaus, ar tikrai norite tą nusiųsti, o tada automatiškai užšifruoti ne. tik skaičius, bet visas el. paštas. Tobulėjant pramonei, šios paslaugos tampa vis labiau pagrįstos ir įprastos."
7. Visada praneškite apie įvykius
SBA „Kramer“ aiškino, kad kai smulkusis verslas pažeidžiamas ar susiduriama su sukčiavimo ar sukčiavimo programos prašymu, jie turi žinoti, kam skambinti. ESET Cobbas teigė, kad jei mažos įmonės nepraneš apie tai policijai, bijodamos teisėsaugos, neturinčios išteklių tyrimui, ciklas išliks.
„Mūsų nelaimingas ciklas yra toks, kai teisėsauga gauna finansavimą remdamasi praneštais nusikaltimais, tačiau žmonės nepraneša apie nusikaltimus, nes nemano, kad policija turi išteklių“, - sakė ESET Cobbas. Jei niekas nepraneš, policija niekada neturės įrodymų, kad pasirūpintų ištekliais šioms elektroninių nusikaltimų problemoms spręsti. “
„Daugumoje savivaldybių yra kibernetinių nusikaltimų padaliniai ir jos reaguos“, - pridūrė „NIST's Toth“ atstovas.
8. Turėkite vietoje reagavimo į incidentus planą
„Nemėginate užsegti saugos diržo per avariją“, - teigė „Microsoft“ vadovas Littletonas. "Jums reikia pateikti planą, kaip reaguosite prieš įvykstant pažeidimui."
„Jūs taip pat nesate visiškai vienišas“, - teigė ESET bendradarbis. "Saugumo paslaugos, kurias perkate iš lentynos, yra padidintos apsaugos debesyje arba prisijungdamos prie tiekimo grandinės. Gali būti, kad baziniame lygmenyje jos teikia aptikimo ir prevencijos paslaugas. Rengdami savo planą įsitikinkite, kad neišeinate iš saugos tarnybų. ant jūsų MSP ar saugos tarnybos siūlomo stalo “.
9. Nepalik laisvų galų
„Viena iš probleminių sričių, kurias mes matome - jei darbuotojas išeina iš darbo ar yra atleistas iš darbo - jų prieiga prie sistemos nėra iškart nutraukiama“, - teigė ESET bendradarbis. "Mažos įmonės dirba su žmonėmis, kuriais pasitiki, ir su daugybe žmonių, kurie ateina ir išeina. Kartais jie nesikreipia laimingiausiomis aplinkybėmis. Jei buvęs darbuotojas, turintis nuoskaudos, vis dar turi prieigą ar net vis dar įgalino daugiafaktorinį autentifikavimą, tai yra didelę viešai neatskleistą saugumo problemą, kurią skaudžiai lengva išspręsti “.
10. Vyriausybės ištekliai ir mokymai
Vyriausybė imasi svarbių žingsnių kibernetinio saugumo problemoms spręsti. Baltieji rūmai šių metų pradžioje išleido kibernetinio saugumo sistemą, o prezidento Obamos 2017 m. Biudžeto pasiūlyme siekiama padidinti 35 proc. Finansavimą (iki 19 mlrd. JAV dolerių) kibernetinio saugumo išpuoliams įveikti. SBA „Kramer“ ir „NIST's Toth“ atkreipė dėmesį į nemokamus vyriausybės išteklius, tokius kaip visas SBA MVĮ skirtų kibernetinio saugumo išteklių puslapis, įskaitant kibernetinio saugumo patarimus ir įrankius, kursų, mokymų ir internetinių seminarų rinkinį.
Keletas naudingiausių šaltinių yra šie:
- SBA populiariausių 10 kibernetinio saugumo patarimų
- SBA internetinis kursas: Kibernetinis saugumas mažoms įmonėms
- Kibernetinio atsparumo peržiūros (CRR) vertinimo įrankis
- „Small Biz Cyber Planner“
- SBA, NIST ir FTB jungtiniai Smulkaus verslo seminarai
- SBA „YouTube“ kanalas
- NIST kompiuterių saugos išteklių centras
- COMPTIA sertifikatai ir švietimo programos, skirtos mokytis JTP saugumo protokolų
