.

Η έκθεση των εταιρικών δεδομένων σε υποκλοπές


Οι σύγχρονες επιχειρήσεις βρίσκονται διαρκώς αντιμέτωπες με τη συνεχή μετάλλαξη των κυβερνοαπειλών, μπαίνοντας στο στόχαστρο εγκληματιών που αναζητούν διαρκώς νέους στόχους και τακτικές, ώστε να πετύχουν το μέγιστο κέρδος. Μία από τις προσφιλείς μεθόδους που χρησιμοποιούν οι κυβερνοεγκληματίες τα τελευταία χρόνια είναι τα data breaches, ήτοι η παραβίαση της περιμέτρου ασφαλείας, με αποτέλεσμα την έκθεση των εταιρικών δεδομένων σε υποκλοπές.


Τα data breaches μπορεί να κοστίσουν στις εταιρείες με διάφορους τρόπους. Η «αξία» των δεδομένων μπορεί να προσφέρει στον επιτιθέμενο τη δυνατότητα απόσπασης χρημάτων μέσω λύτρων για την επιστροφή τους ή για τη μη δημοσιοποίησή τους. Υπάρχουν, επίσης κίνδυνοι και κόστη, όπως για παράδειγμα το downtime των υπηρεσιών που παραβιάστηκαν, ο χρόνος και τα resources που θα ξοδέψει η Διεύθυνση Πληροφορικής ώστε να βρει και να καλύψει τις ευπάθειες που εκμεταλλεύτηκαν οι εγκληματίες ή, ακόμα, και το κόστος που θα έχει στη φήμη της εταιρείας η δημοσιοποίηση της είδησης ενός data breach. Κύριος στόχος ενός data breach είναι τα προσωπικά δεδομένα, τα οποία μπορούν πολύ εύκολα να πωληθούν για spam/phishing/διαφημιστικούς σκοπούς. Αυτά τα δεδομένα (πελατών, συνεργατών ή εργαζομένων) αποτελούν έναν εύκολο στόχο, καθώς υπάρχουν σχεδόν σε κάθε είδους εταιρικό δίκτυο.

Πιο ευάλωτοι οι μικροί οργανισμοί 

Σύμφωνα με τα στατιστικά στοιχεία των επιθέσεων των τελευταίων ετών, στην κορυφή της λίστας βρίσκονται μικροί οργανισμοί. Αυτό είναι λογικό αν σκεφτεί κανείς ότι οι επιχειρήσεις μικρότερου μεγέθους λαμβάνουν, συνήθως, λιγότερα μέτρα ασφαλείας, οπότε και είναι περισσότερο ευάλωτες. Παράλληλα, και οι ίδιοι οι χρήστες φαίνεται ότι δείχνουν μικρότερη ευαισθησία σε θέματα ασφαλείας - όσον αφορά το κλείδωμα των συσκευών τους, των emails ή των websites που ανοίγουν, καθώς και τον τρόπο που χειρίζονται τους κωδικούς τους. Τα στοιχεία για τα data breaches του 2014 μαρτυρούν ότι οι τρεις κορυφαίες μέθοδοι που χρησιμοποιήθηκαν ήταν τα espionage malware, το phishing και, το πιο σημαντικό, η υποκλοπή κωδικών πρόσβασης (passwords).

Αν και τα είδη πρώτα είδη επιθέσεων (malware και phishing) μπορούν να αντιμετωπιστούν με τη χρήση ενός antivirus, δεν συμβαίνει το ίδιο και με την υποκλοπή passwords, καθώς πρόκειται για κάτι που έχει άμεση σχέση με τον κάτοχό τους. Λαμβάνοντας, δε, υπόψη το γεγονός ότι η ασφάλεια είναι αντίστροφα ανάλογη του user experience, o χρήστης καλείται να βρει τη χρυσή τομή ανάμεσα σε αυτά τα δύο. Αν επιλέξει ένα εύκολο password, αυτό θα «σπάσει» εύκολα σε μια επίθεση, ενώ αν επιλέξει ένα δύσκολο password, η ασφάλειά του θα ελαττωθεί αν ο κάτοχός του αποφασίσει να το χρησιμοποιεί και σε άλλα sites ή το σημειώσει σε κάποιο αρχείο ή χαρτί. Οι αδυναμίες που σχετίζονται με τα passwords εξηγούν γιατί τα πιο πολλά από τα επιτυχημένα network intrusions των τελευταίων ετών έχουν επιτευχθεί με τη χρήση κάποιου εύκολου ή κλεμμένου password.

Για να αντιμετωπιστεί αυτή η αχίλλειος πτέρνα των σύγχρονων συστημάτων προστασίας, έχουν αναπτυχθεί τεχνολογίες, όπως είναι το 2 Factor Authentication (2FA). Με αυτήν την τεχνολογία η πιστοποίηση γίνεται σε δύο βήματα: το πρώτο είναι μέσω της χρήσης του username και του password του χρήστη και το δεύτερο με τη χρήση ενός μοναδικού κωδικού (One Time Password), τον οποίο μπορεί να δημιουργήσει ο χρήστης από το κινητό του. Η εφαρμογή του 2FA αυξάνει θεαματικά την ασφάλεια στα σημεία εισόδου σε όλο το εταιρικό δίκτυο, περιορίζοντας την «τρωτότητα» των passwords. Παράλληλα η αύξηση της ασφάλειας δεν γίνεται εις βάρος του user experience, καθώς ο χρήστης έχει ευελιξία στην επιλογή του κωδικού του, με το μόνο πρόσθετο βήμα που χρειάζεται να κάνει να είναι η πιστοποίησή του μέσω της συσκευής του.

Πηγή
Ετικέτες ,
[blogger]

Author Name

Φόρμα επικοινωνίας

Όνομα

Ηλεκτρονικό ταχυδρομείο *

Μήνυμα *

Από το Blogger.