Πώς εταιρείες χωρίς CISO μπορούν να οικοδομήσουν τις άμυνές τους

Δεν υπάρχει πια τέτοιο πράγμα όπως „πολύ μικρό“ για να είναι στόχος κυβερνοεπίθεσης. Εάν πιστεύετε ότι οι χάκερ δεν θα ενοχλούνταν να στοχεύσουν μικρές και μεσαίες επιχειρήσεις (SMBs), ξανασκεφτείτε το.

Σήμερα, ακόμη και μικρές επιχειρήσεις διαχειρίζονται πολύτιμα δεδομένα, όπως πληροφορίες πελατών και πληρωμών, γεγονός που τις καθιστά επικερδείς στόχους για χακάρισμα. Στην πραγματικότητα, οι επιθέσεις κατά των μικρών επιχειρήσεων έχουν αυξηθεί. Οι επιθέσεις κακόβουλου λογισμικού κλοπής κωδικών πρόσβασης σε μικρές εταιρείες αυξήθηκαν σχεδόν κατά ένα τρίτο από το πρώτο τρίμηνο του 2021 έως το φετινό πρώτο τρίμηνο.

Λαμβάνοντας υπόψη πόσο διαδεδομένες έχουν γίνει οι κυβερνοεπιθέσεις, οι μικρομεσαίες επιχειρήσεις θα πρέπει να δώσουν προτεραιότητα στην ασφάλεια. Δυστυχώς, οι μικρομεσαίες επιχειρήσεις δεν επενδύουν τόσο στην ασφάλεια στον κυβερνοχώρο όσο θα έπρεπε. Σχεδόν τα μισά των επιχειρήσεων με λιγότερους από 50 υπαλλήλους δεν υπάρχει χωριστός προϋπολογισμός για την ασφάλεια. Οι μεγαλύτερες επιχειρήσεις, αντίθετα, έχουν την πολυτέλεια να προσλαμβάνουν Chief Information Security Officers (CISOs) για να πρωτοστατήσουν στις αμυντικές τους στρατηγικές. Στις μικρομεσαίες επιχειρήσεις, οι ομάδες πληροφορικής πρέπει να αναλάβουν αυτήν την ευθύνη. Πρέπει ακόμη και να υιοθετήσουν ευρύτερες προοπτικές όταν διασφαλίζουν ολόκληρο τον οργανισμό.

Η ασφάλεια είναι κοινή ευθύνη όλων των χρηστών τεχνολογίας. Αυτός είναι ο λόγος για τον οποίο οι εταιρείες, συμπεριλαμβανομένων των μικρομεσαίων επιχειρήσεων, πρέπει να είναι έτοιμες να επενδύσουν στην ασφάλεια. Η έλλειψη ενός ειδικού CISO δεν θα πρέπει να τους εμποδίσει να εφαρμόζουν ισχυρές στρατηγικές ασφάλειας που μειώνουν σημαντικά τον κίνδυνο να πέσουν θύματα επιβλαβών κυβερνοεπιθέσεων. Όλοι μπορούν να ξεκινήσουν εφαρμόζοντας βασικές πρακτικές ασφάλειας.

Ακολουθούν διάφορες τακτικές που μπορούν να εφαρμόσουν οι ομάδες ασφαλείας που θα επηρεάσουν άμεσα τη στάση ασφαλείας των μικρομεσαίων επιχειρήσεων.

Ενεργοποίηση ελέγχου ταυτότητας πολλαπλών παραγόντων

Οι εταιρείες μεταφέρουν τον φόρτο εργασίας στο cloud μέσω των εταιρικών εφαρμογών Software-as-a-Service (SaaS). Ευτυχώς, οι εφαρμογές SaaS έχουν βελτιώσει τα μέτρα ασφαλείας τους. Οι μικρομεσαίες επιχειρήσεις θα πρέπει να επωφεληθούν από αυτό.

Τα περισσότερα έχουν επιλογές για να ενεργοποιήσουν τον έλεγχο ταυτότητας πολλαπλών παραγόντων (MFA). Με ενεργοποιημένο το MFA, οι χρήστες πρέπει να παρέχουν τουλάχιστον δύο μορφές διαπιστευτηρίων για να τους παραχωρηθεί πρόσβαση σε μια εφαρμογή ή ένα σύστημα. Μια κοινή εφαρμογή του MFA είναι οι κωδικοί πρόσβασης μίας χρήσης (OTP).

Εκτός από έναν έγκυρο συνδυασμό ονόματος χρήστη και κωδικού πρόσβασης, μια εφαρμογή θα απαιτούσε από τον χρήστη να εισαγάγει ένα OTP. Οι χρήστες λαμβάνουν το OTP κατά τη στιγμή της σύνδεσης στις καταχωρημένες διευθύνσεις email ή στα κινητά τους τηλέφωνα. Αυτός ο μηχανισμός συνήθως αποτρέπει τη μη εξουσιοδοτημένη πρόσβαση σε περίπτωση που ένας χάκερ αποκτήσει έναν συνδυασμό ονόματος χρήστη και κωδικού πρόσβασης στην εφαρμογή SaaS.

Ενεργοποιήστε την εναλλαγή κωδικού πρόσβασης και περιορίστε τα προνόμια

Όταν προστατεύετε λογαριασμούς, χρησιμοποιήστε ισχυρούς κωδικούς πρόσβασης και σύνθετους κωδικούς πρόσβασης. Οι ειδικοί χαρακτήρες και το μήκος καθιστούν πιο δύσκολο το σπάσιμο. Οι εργαζόμενοι πρέπει επίσης να αποφεύγουν να επαναχρησιμοποιούν τα προσωπικά τους email και τους κωδικούς πρόσβασης για την εργασία τους και το αντίστροφο. Οι χάκερ έχουν πλέον πρόσβαση σε πληροφορίες σύνδεσης από πολλές προηγούμενες παραβιάσεις δεδομένων. Έτσι, εάν ένας χρήστης συνεχίσει να χρησιμοποιεί παραβιασμένα διαπιστευτήρια, το πιθανότερο είναι ότι οι χάκερ μπορούν να έχουν άμεση πρόσβαση σε συστήματα ή εφαρμογές που χρησιμοποιούν τα ίδια διαπιστευτήρια.

Συνήθως, μπορείτε να ζητήσετε εναλλαγή κωδικού πρόσβασης στις εταιρικές εφαρμογές σας. Οι κωδικοί πρόσβασης των χρηστών μπορεί να λήξουν, έτσι ώστε οι εργαζόμενοι να αναγκαστούν να τους αλλάξουν. Αυτό περιορίζει τον χρόνο έκθεσης ενός λογαριασμού σε περίπτωση που παραβιαστεί. Για να βοηθήσετε τους υπαλλήλους να παρακολουθούν τα διαπιστευτήριά τους, ζητήστε τους να χρησιμοποιούν διαχειριστές κωδικών πρόσβασης. Θα μπορούν να χρησιμοποιούν μεγάλους και σύνθετους κωδικούς πρόσβασης για τις εφαρμογές που χρησιμοποιούν και ακόμη και να ενημερώνουν συνεχώς τους κωδικούς πρόσβασής τους χωρίς να χρειάζεται να θυμούνται τον καθένα.

Όταν παρέχετε στους υπαλλήλους πρόσβαση σε συστήματα και εφαρμογές, δώστε τους πρόσβαση μόνο στο ελάχιστο των δεδομένων και των λειτουργιών που χρειάζονται για να λειτουργήσουν. Οι περισσότερες εταιρικές εφαρμογές σάς επιτρέπουν να προσαρμόσετε τους ρόλους των χρηστών και να δημιουργήσετε ομάδες χρηστών, διευκολύνοντας τον περιορισμό της πρόσβασης και των δυνατοτήτων ενός συγκεκριμένου χρήστη. Με αυτόν τον τρόπο, μπορείτε να περιορίσετε περαιτέρω τους κινδύνους που μπορεί να επιφέρει ένας παραβιασμένος λογαριασμός. Αυτό αναφέρεται συχνά ως «η αρχή του ελάχιστου προνομίου».

Οι άνθρωποι είναι επιρρεπείς σε λάθη, γεγονός που μας καθιστά αδύναμο κρίκο σε οποιαδήποτε εξίσωση ασφάλειας στον κυβερνοχώρο. Στους χάκερ αρέσει να εκμεταλλεύονται αυτή την αδυναμία χρησιμοποιώντας επιθέσεις κοινωνικής μηχανικής όπως το phishing. Αυτά τα πλαστά μηνύματα και οι ιστότοποι υποδύονται αξιόπιστες υπηρεσίες και εταιρείες. Προσπαθούν να ξεγελάσουν τους χρήστες ώστε να παραιτηθούν από προσωπικές πληροφορίες ή να κατεβάσουν και να εγκαταστήσουν κακόβουλο λογισμικό σε συσκευές γραφείου. Για παράδειγμα, η πρόσφατη παραβίαση δεδομένων της Uber που αναφέρθηκε τον περασμένο Σεπτέμβριο πραγματοποιήθηκε μέσω μιας επίθεσης κοινωνικής μηχανικής που είχε στόχο έναν υπάλληλο της Uber.

Οι μικρομεσαίες επιχειρήσεις θα πρέπει να αναπτύξουν ευαισθητοποίηση στους υπαλλήλους τους για την ασφάλεια στον κυβερνοχώρο και να οικοδομήσουν μια ισχυρή κουλτούρα ασφάλειας σε ολόκληρη την εταιρεία. Οι εργαζόμενοι θα πρέπει να μπορούν να εντοπίζουν και να αναφέρουν μηνύματα ηλεκτρονικού ψαρέματος (phishing) και να κόβουν επικίνδυνες συνήθειες όπως η σύνδεση εξωτερικών συσκευών αποθήκευσης, όπως USB sticks, χωρίς να τα σαρώνουν.

Υπάρχουν πολλοί πόροι που μπορούν να βοηθήσουν στη βελτίωση της ευαισθητοποίησης για την ασφάλεια στον κυβερνοχώρο. Η Amazon, για παράδειγμα, έχει κάνει την εσωτερική της εκπαίδευση ευαισθητοποίησης προσβάσιμο σε όλους.

Γνωρίστε τη στάση ασφαλείας σας

Οι μικρομεσαίες επιχειρήσεις θα πρέπει να έχουν μια βασική κατανόηση της τρέχουσας στάσης τους στον κυβερνοχώρο. Εάν χρησιμοποιείτε εφαρμογές παραγωγικότητας όπως το Microsoft 365 και το Google Workspace, μπορείτε να χρησιμοποιήσετε τα ενσωματωμένα μέτρα ασφαλείας τους για να σας βοηθήσουν να αξιολογήσετε τη στάση σας.

Οι χρήστες του Microsoft 365, για παράδειγμα, μπορούν να ελέγξουν το Microsoft Secure Score, το οποίο μετράει στάση ασφαλείας των οργανισμών. Μια υψηλότερη βαθμολογία υποδηλώνει ότι έχουν εφαρμοστεί περισσότερα μέτρα ασφαλείας για την προστασία ταυτοτήτων, δεδομένων, συσκευών και εφαρμογών. Παρέχει επίσης μετρήσεις άλλων μετρήσεων, οπτικοποιήσεις και προτάσεις για τη βελτίωση της βαθμολογίας.

Η Google, εν τω μεταξύ, επιτρέπει σε μεμονωμένους χρήστες να πραγματοποιούν ελέγχους ασφαλείας των λογαριασμών τους. Ο Έλεγχος ασφαλείας της Google παρέχει λεπτομερείς πληροφορίες σε ποιες συσκευές, εφαρμογές και υπηρεσίες τρίτων έχουν πρόσβαση στον λογαριασμό και εάν είναι ενεργοποιημένα μέτρα όπως το MFA.

Ασφαλίστε όλο το υλικό και τις συσκευές

Οι μικρές επιχειρήσεις πρέπει να ελέγχουν το υλικό και τις συσκευές που έχουν πρόσβαση στα δεδομένα και την υποδομή τους. Κάθε μία από αυτές τις συσκευές πρέπει να είναι ασφαλισμένη. Οι υπολογιστές και οι κινητές συσκευές θα πρέπει να απαιτούν σύνδεση ή να έχουν ενεργοποιημένη την ασφάλεια πρόσβασης. Τα τείχη προστασίας και τα προγράμματα προστασίας από ιούς πρέπει να είναι ενεργοποιημένα.

Πρέπει να υπάρχουν σαφείς πολιτικές σχετικά με τον τρόπο με τον οποίο οι εργαζόμενοι πρέπει να χρησιμοποιούν τους πόρους πληροφορικής. Οι συσκευές που ανήκουν στην εταιρεία θα πρέπει να προορίζονται αυστηρά για επαγγελματική χρήση. Εάν η επιχείρηση έχει ένα πρόγραμμα „φέρτε τη δική σας συσκευή“, θα πρέπει να το επανεξετάσει σοβαρά. Θα πρέπει να διακόψουν την πρακτική εάν δεν έχουν τη δυνατότητα να ελέγχουν και να προστατεύουν συσκευές που ανήκουν σε εργαζόμενους.

Καλύτερα ασφαλές παρά συγγνώμη

Σύμφωνα με την IBM, το μέσο κόστος μιας παραβίασης δεδομένων το 2022 ανέρχεται σε 4,35 εκατομμύρια δολάρια. Μια και μόνο κυβερνοεπίθεση μπορεί να ακρωτηριάσει τις μικρότερες επιχειρήσεις εύκολα. Δεδομένου ότι η εμπειρία μιας κυβερνοεπίθεσης είναι αναπόφευκτη αυτές τις μέρες, η θέσπιση μέτρων για την αποτροπή της επιτυχίας τους είναι ζωτικής σημασίας για τις μικρομεσαίες επιχειρήσεις.

Αυτές οι τακτικές μπορεί να φαίνονται βασικές και σε κάποιο βαθμό προφανείς, και σίγουρα, δεν αντικαθιστούν την ανάγκη για μια ολοκληρωμένη στρατηγική κυβερνοασφάλειας. Αλλά η λήψη προληπτικών μέτρων τώρα είναι καλύτερο από το να μην υπάρχει καθόλου προστασία. Αυτά μπορούν να εφαρμοστούν χωρίς να υπάρχει CISO πλήρους απασχόλησης και θα πρέπει να χρησιμεύσουν ως δομικά στοιχεία για μια πιο ισχυρή στρατηγική ασφάλειας στον κυβερνοχώρο.

Ντέιβιντ Πρίμορ είναι Διευθύνων Σύμβουλος και συνιδρυτής της Συνώνυμαμια αυτοματοποιημένη πλατφόρμα vCISO που βασίζεται σε AI.