Αυτά είναι τα μεγαλύτερα λάθη ασφαλείας που κάνει η επιχείρησή σας
Η Υπηρεσία Κυβερνοασφάλειας και Ασφάλειας Υποδομών των ΗΠΑ (CISA) και η Υπηρεσία Εθνικής Ασφάλειας (NSA) έχουν
αποκάλυψε
Ένας ανησυχητικός αριθμός φαινομενικά προφανών κανόνων
κυβερνοασφάλεια
ς δεν ακολουθείται από πολλές επιχειρήσεις.
Οι οργανισμοί διεξήγαγαν πρόσφατα μια άσκηση κόκκινων και μπλε ομάδων για να εντοπίσουν τα μεγαλύτερα λάθη ασφαλείας που κάνουν οι επιχειρήσεις αυτές τις μέρες, με τη χρήση προεπιλεγμένων διαπιστευτηρίων σε λογισμικό, συστήματα και εφαρμογές το υπ’ αριθμόν ένα λάθος που οδηγεί σε κυβερνοεπιθέσεις.
Πολλά από τα εργαλεία και τις υπηρεσίες που αγοράζουν οι επιχειρήσεις για τις δραστηριότητές τους συνοδεύονται από προεγκατεστημένα διαπιστευτήρια σύνδεσης. Αυτές οι εργοστασιακές ρυθμίσεις προορίζονται να χρησιμοποιηθούν μόνο κατά την αρχική εγκατάσταση και θα πρέπει να αντικατασταθούν με ισχυρότερα, μοναδικά διαπιστευτήρια, το συντομότερο δυνατό. Ωστόσο, πολλές ομάδες IT αγνοούν αυτό το βήμα, αφήνοντας τα τελικά σημεία τους με διαπιστευτήρια γνωστά στους χάκερ και άλλους παράγοντες απειλών.
Ασφαλής-από-σχεδιασμός
Εκτός από τις προεπιλεγμένες ρυθμίσεις σύνδεσης, άλλα σημαντικά λάθη περιλαμβάνουν «ακατάλληλο διαχωρισμό των δικαιωμάτων χρήστη και διαχειριστή» και «αν
επα
ρκή παρακολούθηση δικτύου». Με άλλα λόγια, οι ομάδες IT συχνά παρέχουν δικαιώματα διαχειριστή σε λογαριασμούς χαμηλού επιπέδου χωρίς προφανή λόγο και όταν αυτοί οι λογαριασμοί παραβιάζονται, καθιστά σχεδόν αδύνατο για τις ομάδες IT να αναγνωρίσουν μια κακόβουλη οντότητα στις εγκαταστάσεις τους.
«Μέσα από την ανάλυση τοπικών και ένθετων ομάδων AD, ένας κακόβουλος παράγοντας μπορεί να βρει έναν λογαριασμό χρήστη στον οποίο έχουν παραχωρηθεί δικαιώματα λογαριασμού που υπερβαίνουν τη λειτουργία της ανάγκης γνώσης ή των ελάχιστων προνομίων», αναφέρει η συμβουλευτική. «Η εξωτερική πρόσβαση μπορεί να οδηγήσει σε εύκολοι δρόμοι για μη εξουσιοδοτημένη πρόσβαση σε δεδομένα και πόρους και κλιμάκωση των προνομίων στον στοχευμένο τομέα.”
Όσον αφορά την παρακολούθηση δικτύου, υπάρχουν πολλοί τρόποι με τους οποίους οι οργανισμοί ρίχνουν τη μπάλα εδώ, συμπεριλαμβανομένης της αποτυχίας να ρυθμίσουν σωστά διάφορους
αισθητήρες
για τη συλλογή της κυκλοφορίας και των αρχείων καταγραφής τελικού κεντρικού υπολογιστή, ειπώθηκε.
Επιπλέον
, η CISA και η NSA φαίνεται να μεταθέτουν μέρος της «κατηγορίας» στους
προγραμματιστές
που κατασκευάζουν αυτά τα προϊόντα, πιέζοντας τους κατασκευαστές να υιοθετήσουν αρχές ασφαλούς κατά σχεδιασμό και ασφαλή από προεπιλογή στον κύκλο ανάπτυξης.
«Η διασφάλιση της ασφάλειας του λογισμικού από τη σχεδίαση θα βοηθήσει να παραμείνει κάθε οργανισμός και κάθε Αμερικανός πιο ασφαλής», ανέφερε η CISA στην ανακοίνωση της συμβουλευτικής. “Γνωρίζουμε ότι ούτε η κυβέρνηση ούτε ο κλάδος μπορούν να λύσουν αυτό το πρόβλημα μόνοι τους, πρέπει να εργαστούμε μαζί. Συνεχίζουμε να καλούμε κάθε εταιρεία λογισμικού να δεσμευτεί στις αρχές του ασφαλούς σχεδιασμού και να κάνει αυτό το κρίσιμο επόμενο βήμα της δημοσίευσης ενός οδικού χάρτη που καθορίζει το σχέδιό τους να δημιουργήσουν προϊόντα που να είναι ασφαλή από το σχεδιασμό «εκτός του κουτιού».
Μέσω
Το Μητρώο
