Noll
Få chefer att ta datasäkerhet på allvar är en kamp inom många organisationer, trots att frekvensen av hög profil dataintrång och hacka incidenter.
Nu har den BRITTISKA regeringens dator security agency, National Cyber Security Centre (NCSC), har satt ihop en lista på fem frågor som syftar till att starta ” konstruktiva diskussioner mellan chefer och deras datasäkerhet lag.
Enligt NCSC, två tredjedelar av styrelser har fått någon utbildning för att hjälpa dem att ta itu med en it-incident, och 10 procent har ingen plan på plats för att svara på något. Dessa konversation-börja med syfte att överbrygga klyftan mellan chefer som inte vet om säkerhetsfrågor och IT-avdelningen som får kämpa för att göra sin röst hörd. Styrelser måste förstå cyber risk på samma sätt som de förstår den ekonomiska risken, eller hälsa och säkerhet, sade NCSC.
“Det finns inget sådant som en dum fråga i it-säkerhet. De oförståndiga lagen är att gå bort utan att förstå svaret, eftersom det innebär att du inte förstår hur du hanterar denna kärnverksamhet risk,” sade NCSC verkställande Ciaran Martin.
NCSC: s fem frågor som är listade nedan, några förslag på möjliga svar de bör förvänta sig av sin dator security team.
Hur ska vi försvara vår organisation mot phishing-attacker?
Phishing — att skicka falska meddelanden till personal-är fortfarande ett av de vanligaste sätten hackare som försöker få tillgång till ett företags datorsystem. Angriparna kan ha personal för att klicka på länkar i e-postmeddelandet för att installera skadlig kod på sina datorer, eller länkarna kan leda dem till falska webbplatser där du uppmanas att uppge känslig information (till exempel bankuppgifter). En gemensam con är VD-Bedrägeri”, där brottslingar skicka phishing e-postmeddelanden som påstår sig vara från en ledande befattningshavare inom organisationen, fråga personalen för att överföra pengar — som sedan håvade av bedragare.
Medan sådana meddelanden kan komma med sms, via sociala medier eller via telefon, det mest sannolika avenue of attack via e-post.
NCSC sade potentiellt bra svar kan omfatta filtrering eller blockering av inkommande phishing e-post, se extern e-post är markerad som externa, stoppa attacker “spoofing” e-postmeddelanden och hjälpa personalen med utbildning.
Företag kan också begränsa effekterna av phishing-attacker för att få igenom med hjälp av en proxy-server som förhindrar access till kända skadliga webbplatser, säkerställa att personalen inte surfa på internet eller kolla e-post från ett konto med administratörsbehörighet och med hjälp av tvåfaktorsautentisering (2FA) på dina viktiga konton eller tjänster.
Hur fungerar vår organisation kontrollera användningen av privilegierade DET står?
NCSC varnade för att bevilja förhöjda privilegier bör noga kontrolleras och hanteras. Om ett konto med högre privilegier som krävs för att utföra en roll, personal bör använda ett standardkonto för dag-till-dag-arbete, såsom e-post och surfning. En politik med “minst privilegium’ när du ställer upp personal-konton är ett bra svar, sa NCSC, som är att minimera användningen av privilegierade konton, och att upprätthålla en stark koppling mellan HR-processer och IT så att konton inte vara aktiv när personal lämnar.
Hur gör vi för att säkerställa att våra program och enheter är uppdaterad?
Lapp programvara och hårdvara är en tidskrävande och omständlig process, men att hoppa över plåstren kan lämna en risk med katastrofala följder. Mycket av effekterna av WannaCry ransomware attack kunde ha förhindrats om organisationer som hade sett till deras patchar var aktuell.
NCSC sa bra svar på denna fråga är till exempel att ha processer för att identifiera, triage, och åtgärda eventuella sårbarheter, som backas upp med regelbundna revisioner för att säkerställa att lapp-politiken följs — “precis som du skulle göra med en kritisk ekonomisk politik”. Företag bör ha en end-of-life plan för utrustning och programvara som stöds inte längre, och se till att deras nätverk arkitektur minimerar skada att en attack kan orsaka — hands i händelse av en “zero day” attack som utnyttjar sårbarheter som inte försvar finns. NCSC föreslår också att företag använder cloud-baserade applikationer där säkerhetsuppdateringar kan hanteras av molnet säljaren: “att Låta moln att bestämmelsen computing-tjänster kan tillåta dig att fokusera din knappa resurser säkerhet för att skydda dina skräddarsydda applikationer och användare enheter, något som bara du kan göra,” sade byrån.
Hur ska vi se till att våra partners och leverantörer för att skydda den information som vi delar med dem?
Alla anslutningar till dina leverantörer eller kunder kan ge en attack vägen till ditt system, och är ofta en förbisedd svaghet. Säkerhet bör byggas in i alla avtal och att alla kontroller måste kontrolleras och granskas, NCSC sagt. Företag bör också se till att de minimerar antalet tjänster som utsätts och den mängd information som utbyts.
Vad autentisering metoder används för att kontrollera åtkomst till system och data?
Lösenord är en uppenbar tillgång kontroll, men inte den enda och de behöver kompletteras med andra kontroller för att skydda ditt företag. NCSC säger att företag bör uppmuntra till att använda vettiga lösenord och se till att alla standard lösenord är ändrat. För att undvika orealistiska krav på användare, företag bör endast kräva lösenord få tillgång till där det verkligen behövs, byrån sade, och bara genomföra regelbundna ändringar av lösenord om det finns misstanke om att kompromissa.
“Du bör också tillhandahålla säker lagring, så att personalen kan skriva ner lösenord och håll dem på ett säkert (men inte med själva enheten). Personalen kommer att glömma lösenord, så se till att de kan återställa sina lösenord enkelt,” NCSA antyder. Företag bör också överväga att genomföra 2FA där det är möjligt: “Ställa upp 2FA är den enskilt mest användbara sak som du kan göra för att skydda viktiga konton och om möjligt bör rullas ut till personal och kunder.”
Relaterade Ämnen:
CXO
Säkerhet-TV
Hantering Av Data
Datacenter
0