데이터 유출로부터 비즈니스를 구할 수 있는 7가지 웹사이트 보안 팁
게시 됨: 2018-10-16같아 날, 또 다른 해커는 최근 대규모 기업 사이버 보안 위반 Enormo 은행 몇 백만 고객의 데이터를 해제합니다. 중소기업(SMB)은 해커가 주의를 기울일 만큼 크지 않은 하늘 덕분에 스스로를 비웃고 감사합니다. 그것이 당신의 사고 방식이라면, 우리는 당신의 인식이 틀렸다는 것을 가장 먼저 말하고 싶습니다. 잘못 죽었어.
미국 의회 소규모 기업 위원회(US Congressional Small Business Committee)에 따르면 온라인 보안 침해의 전체 71%가 직원 100명 미만의 회사를 대상으로 하는 것이 현실입니다. 뭐라고? 당신은 올바르게 읽었습니다. 따라서 "우리는 너무 작아서 나쁜 사람들이 따를 수 없습니다"라는 사고 방식이 SMB에 스며들면 지금이 에너지 드링크를 내려놓고 똑바로 앉아서 이러한 것에 주의를 기울여야 할 좋은 시기일 수 있습니다. 데이터 유출로부터 비즈니스를 구할 수 있는 7가지 웹사이트 보안 팁.
당신은 기뻐할 것입니다.
#1 방화벽은 좋은 아이디어가 아닙니다.
네트워크에 방화벽이 설치되어 있지 않다면 지금 바로 다크 웹에 접속하여 지나가는 해커가 찾을 수 있도록 모든 비밀번호를 게시하는 것이 좋습니다. 현실은 방화벽을 고객 데이터 보호의 첫 번째 방어선으로 고려해야 한다는 것입니다. 간략히 살펴보자면, 방화벽은 하드웨어 또는 소프트웨어와 같은 보안 시스템으로 내부 네트워크와 인터넷 간의 데이터 흐름을 모니터링하고 미리 결정된 보안 규칙에 따라 의심스러운 활동을 차단합니다.
방화벽을 설치할 때 집중해야 할 세 가지 영역이 있습니다.
외부 방화벽: 이 유형의 방화벽은 일반적으로 라우터 또는 서버의 일부로 발견됩니다. 회사 네트워크 외부에 있으며 모든 종류의 해커 시도가 처음부터 시스템에 도달하는 것을 방지합니다. 보유하고 있는지 여부가 확실하지 않은 경우 웹 호스트에 전화하여 몇 가지 질문을 하십시오.
내부 방화벽: 이 유형의 방화벽은 네트워크에 설치된 소프트웨어 형태를 취합니다. 외부방화벽과 유사한 역할(바이러스, 악성코드, 기타 사이버 악성코드 검사)을 수행하지만, 바이러스, 해킹 등을 신속하게 검역하고 유포할 수 있도록 네트워크를 분할하도록 설정해야 합니다. 전체 시스템을 감염시키기 전에 제한됩니다.
주의해야 할 세 번째 영역은 회사 네트워크에 액세스하는 재택 근무 직원에 관한 것입니다. 전반적인 보안은 가장 약한 링크만큼만 좋습니다. 그러한 경우 방화벽 보호 비용을 지불하는 것이 좋습니다.
방화벽은 본질적으로 웹사이트/네트워크의 호스팅 설정과 연결되어 있습니다. 한 달에 몇 푼의 추가 비용을 들이면 공유 호스팅의 시대를 뒤로하고 특정 보안 구성을 더 잘 제어할 수 있는 전용 서버 또는 가상 사설 서버와 같은 더 강력한 것으로 업그레이드하는 것을 고려할 수 있습니다.
#2 스마트 장치 보호
2016년 Tech Pro 설문조사에 따르면 기업의 59%가 BYOD(Bring Your Own Device) 정책을 따릅니다. 이는 회사 네트워크에 잠재적으로 보안되지 않은 통로가 많이 있으며 복도와 사무실을 돌아다니는 것입니다. 분명히, 당신의 손가락을 가로질러 나쁜 사람이 이 대규모 보안 실패를 알아차리지 않기를 바라는 것은 건전한 정책이 아니므로 어떻게 하시겠습니까? 정보화 시대의 이 시점에서 스마트폰, 태블릿, 피트니스 트래커, 스마트 시계와 같은 개인 장치를 직장에서 멀리 두려고 하면 전체 인력이 전면적으로 퇴사하게 될 것입니다.
다음은 수행할 작업입니다.
개인 장치에 특별히 적용되는 보안 정책을 만드십시오. 직원들에게 BYOD는 괜찮지만 네트워크의 안전을 보장하는 규칙을 반드시 준수해야 함을 알립니다. 취해야 할 두 가지 구체적인 단계는 다음과 같습니다.
- 모든 개인 장치가 보안 업데이트를 자동으로 확인하고 설치하도록 설정해야 합니다.
- 모든 개인 장치가 회사 암호 정책을 준수하도록 요구합니다. 비밀번호 정책이 있나요? 꽤 중요합니다. 그 이유에 대해서는 잠시 후에 이야기하겠습니다.
이러한 모든 요구 사항이 있는 Grinch처럼 느껴지기 시작하면 스스로에게 물어보십시오. 엄격한 사이버 보안 지침으로 몇몇 직원을 짜증나게 하는 것을 선호합니까, 아니면 가장 소중한 비즈니스 자산인 고객 데이터가 문밖으로 나가도록 놔두겠습니까? 그것이 우리가 생각한 것입니다.
#3 모두를 지배하는 하나의 보안 매뉴얼
앞서 언급했듯이 오늘날의 SMB는 종종 데이터를 가장 소중한 비즈니스 자산으로 간주합니다. 암호를 사용하는 경향이 있거나 피싱 시도에 대해 모든 이메일을 시각적으로 검사하는 무모한 태도를 취하는 단일 직원은 말 그대로 비즈니스를 방해할 수 있습니다. 현자에게 한마디. 고객은 자신의 개인 정보를 빠르고 느슨하게 처리하는 것으로 인식되는 회사를 더 이상 후원하는 것을 매우 관대하고 주저할 수 있습니다. 회사에서 전문적인 서비스가 필요한 경우 보안 소프트웨어 개발자가 좋은 선택이 될 수 있습니다.
이제 그 어느 때보다 온라인 보안 침해를 방지하기 위한 교육을 경영진과 가장 지독한 베테랑부터 콧대 높은 초보자에 이르기까지 모든 직원이 진지하게 받아들여야 합니다. 따라야 할 규약과 해고를 포함하여 이를 따르지 않을 경우의 영향을 설명하는 인쇄된 정책 매뉴얼이 있어야 합니다. 눈치채셨겠지만, 사이버 범죄자들은 매우 능숙합니다. 그들은 당신의 방어를 영원히 테스트하고 기술, 교활함 또는 이 둘의 조합을 통해 네트워크에 침투하는 새로운 방법을 만들고 있습니다.
SMB 관리자와 소유자는 당시의 모범 사례에 따라 매뉴얼을 정기적으로 업데이트하고 신입 사원 온보딩 프로세스 동안 적절한 교육을 제공하기 위해 충분한 시간을 할애해야 합니다. 이 노력이 진지하게 받아들여지기를 원하고 그렇게 해야 한다면 진지하게 받아들여야 합니다. 최소한 어떤 이유로든 회사 네트워크에 액세스하는 모든 직원은 보안을 유지하는 방법에 대해 철저히 알고 있어야 합니다. 이 보안의 대부분은 자체 범주를 가질 만큼 중요한 암호 보안 주제에 있습니다.
#4 다른 작업을 수행하지 않는 경우 강력한 암호 정책을 사용하세요.
다음은 SMB가 사이버 보안과 관련하여 문제가 있는 이유를 정확히 밝히는 데 도움이 되는 몇 가지 통계입니다.
- 2016년 Verizon 보고서에 따르면 데이터 침해의 63%가 취약하거나 분실 또는 도난당한 암호로 인해 발생했습니다. 이것은 문제입니다.
- Ponemon Institute 보고서에 따르면 비밀번호 정책이 있는 회사의 65%가 이를 시행하지 않는다고 합니다. 이것은 더 큰 문제입니다.
우리는 이것으로 어디서부터 시작합니까? 예, 직원들이 "1234"보다 더 복잡한 암호를 만들고 정기적으로 변경하도록 요구하면 하늘에 불평할 것입니다. 그러나 깨진 기록처럼 들릴 위험이 있지만 경미한 직원의 짜증이나 기업 인수에 더 관심이 있습니까? 적대 세력에 의한 네트워크? 전자라고 하시면 바로 매도를 권하고 싶습니다.
비밀번호 보안은 보안 매뉴얼의 자체 섹션이 필요하며 모범 사례를 따라야 합니다. 즉, 다음이 필요합니다.
- 비밀번호는 60-90일마다 변경됩니다.
- 비밀번호는 8자 이상이어야 하지만 길수록 좋습니다.
- 비밀번호는 대소문자, 숫자, 특수문자를 포함합니다.
이전 번호를 다시 확인하려면 강력한 암호 정책을 만드는 데 어려움을 겪고 나면 이를 시행하지 않는 65%의 일원이 되지 마십시오. 그냥 바보입니다.
암호 관리자: 암호 관리자를 언급하지 않고 이 섹션을 떠나는 것을 싫어합니다. 설치된 소프트웨어, 클라우드 서비스 또는 물리적 장치로 사용할 수 있는 이러한 프로그램은 복잡한 암호를 생성하고 검색하는 데 도움이 됩니다. 그것은 이름이 주장하는 대로 비밀번호를 관리하는 일을 하며 우리 대부분이 그 분야에서 도움을 받을 수 있을 것 같습니다.
Consumer Reports에서 가장 저렴한 온라인 보안 예방 조치에 대해 자세히 읽어보십시오.
#5 백업? 이제 그 어느 때보다
귀하는 지금까지 저희가 제시한 각 제안을 편차 없이 정확하고 정확하며 완전하게 따르기로 결정했습니다. 이제 회사 네트워크가 난공불락이라는 사실에 크게 안도의 한숨을 내쉴 수 있습니다. 등을 기대고 발을 지탱하지 않는 이유는 무엇입니까? 안 되는 이유가 여기에 있습니다. 당신과 당신의 전체 직원의 최선의 의도에도 불구하고, 적어도 해커가 여전히 잠입해 소란을 일으킬 가능성이 있습니다. 우리가 말했듯이, 이 녀석들과 걸들은 범죄적 장난에 전념하는 영리한 무리입니다. 일단 내부에 들어가면 암호 키 입력을 기록하는 것부터 리소스를 사용하여 전면적인 '봇 공격'을 시작하여 서버를 완전히 지우는 것까지 다양한 피해를 줄 수 있습니다.
그 시점에서 해커가 믹스에 손을 넣기 전에 시스템을 이전 시점으로 롤백할 수 있기를 원할 것입니다. 화재와 홍수가 발생하기 때문에 정기적으로 모든 것을 클라우드에 백업하고 물리적으로 멀리 떨어진 위치에 다른 사본을 저장해 두셨습니다. 지금 하고 있지 않다면 워드 프로세싱 문서, 스프레드시트, 데이터베이스, 재무 기록, HR 파일 및 미수금/지급금을 백업하는 것에 대해 강력히 생각하십시오.
클라우드 백업 서비스의 가격이 나날이 높아짐에 따라 네트워크 침투 시 시스템을 신속하게 작동 상태로 되돌릴 수 있는 포괄적인 백업 전략을 구현하지 않을 이유가 없습니다. 메모리에서 사용하는 모든 파일을 재구성하는 것을 좋아하지 않는 한…
#6 맬웨어 방지는 선택 사항이 아닙니다.
알겠습니다. 맬웨어 방지 프로그램을 설치할지 여부를 선택하는 것은 선택 사항입니다. 그 대신, 부정적인 결정은 나쁜 생각이라고 말했어야 했습니다. 맬웨어 방지는 피싱 공격으로부터 보호합니다. 피싱 공격은 한 가지 이유로 해커가 가장 좋아하는 전술 중 하나가 되었습니다. 이 공격은 매력처럼 작동합니다. 증거를 위해 2016년 Verizon 보고서를 다시 한 번 살펴보겠습니다. 이 설문조사에 따르면 직원의 30%가 피싱 이메일을 열어 본 적이 있으며 이는 전년 대비 7% 증가한 수치입니다!
검토를 위해 피싱은 직원이 링크를 클릭하도록 유도하기 위해 해커가 이메일을 보내는 기술입니다. 미끼를 노리는 것은 네트워크에 맬웨어 설치를 촉발하고 해커가 들어옵니다. 그것은 나쁜 일입니다. 피싱에 대한 첫 번째 방어선은 직원들이 합법적이지 않은 한 이메일의 어떤 것도 클릭하지 않도록 교육하는 것입니다.
직원의 30%가 본질적으로 네트워크에 해커를 초대한다는 점을 고려할 때 악성 소프트웨어 설치가 완료되기 전에 가로채서 종료하는 가장 좋은 방법은 맬웨어 방지 프로그램입니다. 해커가 피싱하기 좋아하는 위치에 있는 직원(CEO, 관리 비서, 영업 사원, HR)에 특히 주의하십시오. 이들은 종종 네트워크의 가장 좋은 부분의 약한 부분에 액세스할 수 있기 때문에 특히 인기 있는 대상인 것으로 나타났습니다.
그러나 다른 모든 사람이 면역이 있다고 가정하는 실수는 하지 마십시오. 네트워크의 모든 부분에 액세스할 수 있는 모든 직원이 잠재적인 대상입니다.
#7 다단계 인증 – 빠르게 모범 사례가 됨
최근 몇 년 동안 다중 요소 인증(MFA)은 네트워크 보안에 관심이 있는 사람들의 레이더에서 밝은 부분으로 나타났습니다. 예, 약간의 번거로움이 있을 수 있지만 로그인 프로세스를 보호하는 거의 안전한 방법입니다. 정확한 프로세스에는 많은 순열이 있지만 한 회사의 로그인 방식은 다음과 같습니다.
- 사용자는 시스템 프롬프트에 암호를 입력하여 기존 방식으로 암호를 입력합니다.
- 두 번째 1회용 비밀번호가 생성되어 사용자의 휴대폰으로 전송됩니다.
- 사용자는 휴대전화에서 코드를 입력하는 최종 로그인 페이지로 이동합니다.
- 네트워크 진입이 허가됨
MFA를 구현하는 훨씬 쉬운 방법은 직원의 휴대폰 번호를 두 번째 로그인으로 사용하는 것입니다. 여기서 생각하는 것은 해커가 첫 번째 로그인과 휴대 전화 번호에 모두 액세스할 가능성이 극히 낮다는 것입니다. 이 추가 보호 계층은 대부분의 시스템에서 비교적 간단하게 활성화할 수 있으며 암호 보안을 크게 강화합니다.
이 분야의 선구적인 작업의 대부분은 Google에서 왔으며, 최근 1년 동안 85,000개 중 단 한 개도 Gmail 계정이 해킹되지 않은 기간을 완료했습니다. 그들은 USB 포트에 꽂는 Titan이라는 물리적 보안 키를 사용하여 이를 수행했습니다. 사용자 이름과 암호가 있더라도 해커는 키에 물리적으로 액세스하지 않고는 계정에 더 이상 침입할 수 없습니다.
마지막 생각들
큰 그림 아이디어는 SMB와 관련된 사람들이 웹사이트와 네트워크 보안이 큰 스위치를 던지고 다시 사이버 범죄자에 대해 걱정할 필요가 없다는 것을 명심해야 한다는 것입니다. 목표선을 향해 한 걸음 내딛을 때마다 목표선이 계속 앞으로 나아가는 반복적인 과정입니다. 설정하고 잊어버리는 과정이 없습니다. 나쁜 사람들은 테스트와 학습을 멈추지 않고 노력을 기울이면서 점점 더 정교해 지므로 여러분도 할 수 없습니다. 오늘날 기업은 데이터 개인 정보 보호 규정을 준수해야 하므로 데이터 거버넌스 시스템을 갖추면 사용 중인 모든 데이터가 올바른 방식으로 수집 및 관리될 수 있습니다.
아직 확인하지 않았다면 귀하 또는 귀하가 지정한 누군가가 사이버 보안 업계의 동향을 파악하여 새로운 공격 및 예방 방법이 등장할 때 이를 주시해야 합니다. 상대방이 배움을 멈추지 않는 세상에서 당신도 그럴 여유가 없습니다. 비즈니스에 관심이 있다면 사설 네트워크와 데이터를 비공개로 유지하는 데 안주하지 않는 것이 좋습니다.