データ侵害からビジネスを救う可能性のある7つのWebサイトセキュリティのヒント

公開: 2018-10-16

ある日、別のハッカーが、最近の大規模な企業のサイバーセキュリティ侵害で、EnormoBankからの数百万人の顧客のデータを盗み出しました。 中小企業(SMB)は、ハッカーが注意を払うのに十分な大きさではないという空のおかげで、自分自身に気を配り、提供します。 それがあなたの考え方であるならば、私たちはあなたの認識が間違っていることをあなたに最初に伝えたいと思います。 デッド・ロング。

pap-blog-the-largest-data-breaches-in-us-history

米国議会中小企業委員会によると、現実には、オンラインセキュリティ侵害の71%は、従業員が100人未満の企業を標的にしています。 何だって? あなたは正しく読んでいるので、「悪者が選ぶには小さすぎる」という考え方がSMBに浸透している場合は、今がエナジードリンクを置き、まっすぐに座って、これらに細心の注意を払う良い機会かもしれません。データ侵害からビジネスを救う可能性のある7つのWebサイトセキュリティのヒント。

あなたはあなたがしたことをうれしく思うでしょう。

#1ファイアウォールは単なる良いアイデアではありません

ネットワークにファイアウォールがインストールされていない場合は、今すぐダークウェブにアクセスして、通りすがりのハッカーが見つけられるようにすべてのパスワードを投稿することをお勧めします。 現実には、ファイアウォールを顧客データを保護するための最初の防衛線と見なす必要があります。 簡単に説明すると、ファイアウォールは、ハードウェアまたはソフトウェアのいずれかのセキュリティシステムであり、内部ネットワークとインターネット間のデータフローを監視し、事前に定義されたセキュリティルールに基づいて疑わしいアクティビティを排除します。

pap-blog-firewall

ファイアウォールのインストールに関しては、3つの領域に集中する必要があります。

外部ファイアウォール:このタイプのファイアウォールは通常、ルーターまたはサーバーの一部として検出されます。 それはあなたの会社のネットワークの外にあり、あらゆる種類のハッカーの試みがそもそもあなたのシステムに到達するのを防ぎます。 持っているかどうかわからない場合は、Webホストを呼び出して、いくつか質問してください。

内部ファイアウォール:このタイプのファイアウォールは、ネットワークにインストールされたソフトウェアの形式を取ります。 外部ファイアウォールと同様の役割を果たします。つまり、ウイルス、マルウェア、その他のサイバー攻撃をスキャンしますが、ウイルスやハッキングなどを迅速に隔離して拡散できるように、ネットワークをセグメント化するように設定する必要もあります。システム全体に感染する前に制限されます。

3つ目の注意点は、会社のネットワークにアクセスする在宅勤務の従業員です。 全体的なセキュリティは、最も弱いリンクと同じくらい良好です。 このような場合にファイアウォール保護にお金を払うことは、安心する価値があります。

ファイアウォールは、本質的にWebサイト/ネットワークのホスティング設定にリンクされています。 1か月あたり数ドルの追加費用がかかる場合は、共有ホスティングの日数を残して、特定のセキュリティ構成をより詳細に制御できる専用サーバーまたは仮想プライベートサーバーのいずれかであるより堅牢なものにアップグレードすることを検討してください。

#2これらのスマートデバイスを保護する

2016年のTechProの調査によると、企業の59%がBYOD(Bring Your Own Device)ポリシーに準拠しています。 これは、ホールやオフィスをさまよっている企業ネットワークへの潜在的に安全でない多くの手段です。 明らかに、あなたの指を交差させて、悪者がこの大規模なセキュリティの失敗に気付かないことを望んでいるのは、健全なポリシーではないので、あなたは何をするつもりですか? 情報化時代のこの時点で、スマートフォン、タブレット、フィットネストラッカー、スマートウォッチなどの個人用デバイスを職場から遠ざけようとすると、従業員全体が本格的にストライキを起こす可能性があります。

これが何をすべきかです。

特に個人用デバイスに適用されるセキュリティポリシーを作成します。 BYODは問題ありませんが、ネットワークの安全性を保証するルールを遵守する必要があることを従業員に知らせてください。 実行する2つの特定の手順は次のとおりです。

  1. すべての個人用デバイスがセキュリティ更新プログラムを自動的にチェックしてインストールするように設定する必要があります。
  2. すべての個人用デバイスが会社のパスワードポリシーに準拠していることを要求します。 パスワードポリシーはありますか? それはかなり重要です。 その理由については後ほど説明します。

これらすべての要件を備えたグリンチのように感じ始めたら、これを自問してください。 厳格なサイバーセキュリティガイドラインで数人の従業員を苛立たせたいですか、それとも私の最も価値のあるビジネス資産である顧客データをドアの外に出させたいですか? それが私たちの考えです。

#3すべてを統治するための1つのセキュリティマニュアル

前述のように、今日のSMBは、データを最も貴重なビジネス資産として数えることがよくあります。 パスワードを使いこなす傾向がある、またはフィッシングの試みについてすべての電子メールを視覚的にスクリーニングすることに無計画な態度をとる1人の従業員は、文字通りあなたのビジネスを台無しにする可能性があります。 賢者への一言。 顧客は、個人情報を迅速かつ緩慢に扱うと見なされている会社をさらにひいきにすることを非常に容赦なく躊躇する可能性があります。 あなたの会社が専門的なサービスを必要とする場合、セキュリティソフトウェア開発者は良い選択かもしれません。

今、これまで以上に、オンラインのセキュリティ侵害を防ぐためのトレーニングは、経営陣と、最も頭がおかしいベテランから鼻水が出ない初心者まで、すべての従業員が真剣に受け止めなければなりません。 従うべきプロトコルと、それらに従わなかった場合の影響(発砲を含む)を詳しく説明した印刷されたポリシーマニュアルを用意する必要があります。 お気づきかもしれませんが、サイバー犯罪者は精通しています。 彼らはあなたの防御を永遠にテストし、テクノロジー、ギール、またはその2つの組み合わせのいずれかを介してネットワークに侵入するための新しい方法を作成しています。

SMBの管理者と所有者は、その時点のベストプラクティスに従って定期的にマニュアルを更新し、新入社員のオンボーディングプロセス中に適切な教育を提供するために十分な時間を割く必要があります。 この努力を真剣に受け止めたいのであれば、そしてそうすべきであるなら、あなたはそれを真剣に受け止めなければなりません。 少なくとも、何らかの理由で会社のネットワークにアクセスする従業員は、ネットワークを安全に保つ方法に完全に精通している必要があります。 このセキュリティの大部分は、パスワードセキュリティのトピックにあります。これは、独自のカテゴリを取得するのに十分重要です。

#4他に何もしない場合は、強力なパスワードポリシーを設定する

ここに、サイバーセキュリティに関してSMBが問題を抱えている理由を正確に明らかにするために大いに役立ついくつかの統計があります。

  • 2016年のVerizonのレポートによると、データ侵害の63%は、パスワードの脆弱性、紛失、または盗難が原因でした。 これは問題だ。
  • Ponemon Instituteのレポートによると、パスワードポリシーを導入している企業の65%はそれを実施していません。 これはさらに大きな問題です。

これからどこから始めればよいのでしょうか。 はい、「1234」よりも複雑なパスワードを作成して定期的に変更するように要求すると、従業員は天国に不平を言うでしょうが、レコードが壊れているように聞こえるリスクがありますが、軽微な労働者の苛立ちや乗っ取りについてもっと心配していますか?敵対的な勢力によるあなたのネットワーク? 前者の方は、すぐに売却することを丁寧に提案したいと思います。

データ侵害からビジネスを救う可能性のある7つのWebサイトセキュリティのヒント

パスワードセキュリティには、セキュリティマニュアルに独自のセクションが必要であり、ベストプラクティスに従う必要があります。 これは、次のものが必要であることを意味します。

  1. パスワードは60〜90日ごとに変更されます
  2. パスワードの長さは8文字以上ですが、長い方がよいです
  3. パスワードには、大文字と小文字、数字、特殊文字が含まれます

その以前の数を再検討するために、強力なパスワードポリシーを作成するのに苦労した後は、それを強制しない65%の一部にならないでください。 それはばかげています。

パスワードマネージャー:パスワードマネージャーについて言及せずにこのセクションを離れることは嫌いです。 インストールされたソフトウェア、クラウドサービス、または物理デバイスとして利用できるこれらのプログラムは、複雑なパスワードの生成と取得に役立ちます。 それはあなたのパスワードを管理するという名前が主張することを正確に行います、そして私たちのほとんどはその分野で助けを使うことができるようです。

コンシューマーレポートからこのトップ(そして安価な)オンラインセキュリティ予防策についてもっと読んでください。

#5バックアップ? 今まで以上に

これまでのところ、逸脱することなく、正確、正確、完全に各提案に従うことにしました。 これで、会社のネットワークが攻撃不能であるという大きな安堵のため息をつくことができます。 後ろに寄りかかって足を支えてみませんか? これが理由です。 あなたとあなたのスタッフ全員の最善の意図にもかかわらず、少なくともハッカーが忍び込んで騒ぎを起こす可能性があります。 私たちが言ったように、これらの男とギャルは犯罪的ないたずらに専念している賢い束です。 内部に入ると、パスワードのキーストロークを記録することから、リソースを使用して全面的なボット攻撃を開始し、サーバーを完全に消去することまで、さまざまな損害を与える可能性があります。

その時点で、ハッカーがミックスに手を入れる前に、システムを前の時点にロールバックできることを望みます。 火災や洪水が発生するため、定期的にすべてをクラウドにバックアップし、物理的に離れた場所に別のコピーを保存していますか? 現在実行していない場合は、ワープロドキュメント、スプレッドシート、データベース、財務記録、HRファイル、売掛金/買掛金のバックアップを強く検討してください。

pap-blog-acronis-backup

クラウドバックアップサービスが毎日より手頃な価格になっているため、ネットワークが侵入した場合にシステムを迅速に運用状態に戻すことができる包括的なバックアップ戦略を実装しない理由はありません。 使用するすべてのファイルをメモリから再構築するのが好きでない限り…

#6マルウェア対策はオプションではありません

さて、マルウェア対策をインストールするかどうかの選択はオプションです。 代わりに、ネガティブに決定することは悪い考えであると言うべきでした。 マルウェア対策は、フィッシング攻撃から保護します。フィッシング攻撃は、1つの理由で、ハッカーが採用するお気に入りの戦術の1つになっています。これは、魅力のように機能します。 証拠として、2016年のベライゾンレポートにもう一度目を向けます。 この調査によると、従業員の30%がフィッシングメールを開封しており、これは前年比7%増加しています。

レビューのために、フィッシングは、ハッカーが従業員にその中のリンクをチリンと鳴らすように誘うことを目的とした電子メールを送信する手法です。 餌を取ると、ネットワークにマルウェアがインストールされ、ハッカーが侵入します。これは悪いことです。 フィッシングに対する最初の防衛線は、合法であると二重に確信していない限り、電子メールの何もクリックしないように従業員を訓練することです。

従業員の30%が基本的にハッカーをネットワークに招待していることを考えると、マルウェア対策は、不正なソフトウェアのインストールを完了前に傍受してシャットダウンするための最善の策です。 ハッカーがフィッシングを好む立場にある従業員、つまりCEO、管理アシスタント、営業担当者、およびHRに特に注意を払ってください。 これらは、ネットワークの最良の部分の柔らかい下腹にアクセスできることが多いため、特に人気のあるターゲットであることが示されています。

しかし、他のすべての人が免疫を持っていると誤解しないでください。 ネットワークの任意の部分にアクセスできるすべての従業員が潜在的なターゲットです。

#7多要素認証–急速にベストプラクティスになります

近年、多要素認証(MFA)は、ネットワークのセキュリティに関係する人々のレーダーの明るい点として登場しています。 はい、少し面倒かもしれませんが、ログインプロセスを保護するためのほぼフェイルセーフな方法です。 正確なプロセスには多くの順列がありますが、ある会社のログインは次のようになります。

  • ユーザーは、システムのプロンプトにパスワードを入力して、従来の方法でパスワードを入力します
  • 2番目のワンタイムパスワードが生成され、ユーザーの携帯電話に送信されます
  • ユーザーは最終ログインページに移動し、電話からコードを入力します
  • ネットワークへの参加が許可されます
pap-blog-multi-factor-authentication-rapidly-becoming-best-practice

MFAを実装するさらに簡単な方法は、従業員の携帯電話番号を2回目のログインとして使用することです。 ここでの考え方は、ハッカーが最初のログインと携帯電話番号の両方にアクセスする可能性は非常に低いということです。 この追加の保護レイヤーは、ほとんどのシステムで比較的簡単にアクティブ化でき、パスワードのセキュリティを大幅に強化します。

この分野での先駆的な仕事の多くはGoogleによるもので、最近1年間のストレッチを完了し、85,000人のうちGmailアカウントがハッキングされたものは1つもありませんでした。 彼らは、USBポートに接続するTitanと呼ばれる物理的なセキュリティキーを使用してそれを行いました。 ユーザー名とパスワードを使用しても、ハッカーはキーに物理的にアクセスできなければアカウントに侵入できません。

最終的な考え

全体像の考え方は、SMBに関係する人々は、Webサイトとネットワークのセキュリティには大きなスイッチを投げることはなく、サイバー犯罪者のことを二度と心配する必要がないことを覚えておく必要があるということです。 これは、ゴールラインに向かって一歩を踏み出すたびにゴールラインが前進し続ける反復プロセスです。 それを設定してプロセスを忘れることはありません。 悪者はテストと学習を止めることはなく、彼らの努力によってより洗練されたものになるので、あなたもそうすることはできません。 現在、企業はデータプライバシー規制に準拠する必要があるため、データガバナンスシステムを導入することで、使用されているすべてのデータが適切な方法で収集および管理されるようになります。

まだ行っていない場合は、攻撃と防止の新しい方法が発生したときに注意するために、あなたまたはあなたが指定した誰かがサイバーセキュリティ業界の動向を常に把握しておく必要があります。 対戦相手が学習をやめない世界では、どちらかをする余裕はありません。 あなたがあなたのビジネスを気にかけているなら、あなたのプライベートネットワークとデータがそのようにプライベートに保たれることを確実にすることに関しては、自己満足は選択肢ではありません。

ゲーリー・スティーブンス

ゲスト投稿者

ゲーリー・スティーブンス

GaryStevensはフロントエンド開発者です。 彼はフルタイムのブロックチェーンオタクであり、イーサリアム財団で働くボランティアであり、Githubの積極的な貢献者でもあります。