Nul
Få topledere til at tage it-sikkerhed alvorligt, er en kamp i mange organisationer, på trods af hyppigheden af høj profil sikkerhedsbrud og-hacking hændelser.
Nu er den BRITISKE regerings computer security agency, the National Cyber Security Center (NCSC), har sammensat en liste over de fem spørgsmål med henblik på at starte ‘konstruktiv’ drøftelser mellem ledere og deres computer security teams.
Ifølge NCSC, to-tredjedele af bestyrelser har fået træning i at hjælpe dem med at håndtere en cyber hændelse, og 10 procent har ingen plan på plads for at reagere på en. Disse samtale-startere til formål at bygge bro mellem ledere, der ikke ved, om sikkerhed og IT-afdelingen, der kan kæmpe for at gøre sin stemme hørt. Bestyrelser er nødt til at forstå cyber risiko på samme måde, som de forstår den finansielle risiko, eller sundheds-og sikkerhedsrisiko, sagde NCSC.
“Der er ikke sådan noget som et dumt spørgsmål i cyber-sikkerhed. De tåbelige handling er at gå derfra uden at forstå de svar, fordi det betyder, at du ikke forstår, hvordan du håndterer dette centrale forretningsmæssige risiko,” sagde NCSC chief executive Ciaran Martin.
NCSC er fem spørgsmål, der er angivet nedenfor, med nogle forslag til, hvilke typer af svar, de skal forvente fra deres computer sikkerhed team.
Hvordan kan vi forsvare vores organisation mod phishing-angreb?
Phishing — at sende falske beskeder til personale — er stadig en af de mest almindelige måder, hackere forsøger at få adgang til en virksomheds edb-systemer. Kan angriberne ønsker medarbejdere til at klikke på links i e-mailen for at installere malware på deres computere, eller links kan henvise dem til falske websteder, der beder om følsomme oplysninger såsom bankoplysninger). En fælles con er ‘DIREKTØR-Fraud’, hvor de kriminelle sender phishing-e-mails, der hævder at være fra en ledende medarbejder i organisationen, at spørge personalet til at overføre penge — som er så hul af svindlere.
Mens sådanne meddelelser kan ankomme via sms, via sociale medier, eller via telefon, vil det mest sandsynlige avenue for angreb via e-mail.
NCSC sagde potentielt gode svarene kan omfatte filtrering eller blokere indgående phishing-e-mails, sikre den eksterne e-mail er markeret som eksterne, stoppe angribere “spoofing” – e-mails, og hjælpe personalet med uddannelse.
Virksomheder kan også begrænse virkningerne af phishing-angreb, der kommer igennem ved hjælp af en proxy-server, der forhindrer adgang til kendte dårlige steder, at personalet ikke surfe på nettet eller tjekke e-mails fra en konto med administratorrettigheder og ved hjælp af to-faktor autentificering (2FA) på hver af dine vigtige konti, eller-tjenester.
Hvordan gør vores organisation kontrollere brugen af DET privilegerede konti?
NCSC advaret om, at tildeling af forhøjet system af privilegier skal omhyggeligt kontrolleres og styres. Hvis en konto med højere privilegier til, er forpligtet til at udføre en rolle, personale bør anvende en standardbrugerkonto til det daglige arbejde, såsom e-mail og web browsing. En politik med ‘mindst privilegium’, når du opsætter personale regnskab er et godt svar, sagde NCSC, som er at minimere brugen af privilegerede konti, og opretholde stærke forbindelser mellem HR-processer og IT, således at regnskabet ikke forbliver aktiv, når personalet forlader.
Hvordan sikrer vi, at vores software og udstyr er up to date?
Patching af software og hardware, som er en tidskrævende og langsommelig proces, men springe patches, der kan efterlade dig i fare med katastrofale konsekvenser. Meget af virkningen af WannaCry ransomware angreb kunne have været undgået, hvis de organisationer, som havde sørget for at deres software patches blev opdateret.
NCSC sagde godt svar på dette spørgsmål, skal have procedurer til at identificere, undersøge og løse eventuelle sårbarheder, der bakkes op af regelmæssige revisioner for at sikre, at lappe politik bliver fulgt — “lige som du ville med en kritisk økonomisk politik”. Virksomheder bør have en end-of-life plan for udstyr og software der er ikke længere understøttes, og sikre, at deres netværk arkitektur minimere den skade, som angreb kan forårsage — handy i tilfælde af en “nul-dag” – angreb, der udnytter sårbarheder, som ingen forsvar eksisterer. NCSC tyder også på, at virksomheder, der bruger cloud-baserede applikationer, hvor sikkerhedsopdateringer, kan håndteres af cloud-leverandør: “Så cloud-udbydere til bestemmelse computing-tjenester kan give dig mulighed for at fokusere din sparsomme sikkerhed ressourcer på at beskytte din skræddersyede applikationer og bruger enheder, noget, som kun du kan gøre,” sagde agenturet.
Hvordan kan vi sikre, at vores partnere og leverandører for at beskytte de oplysninger, vi deler med dem?
Nogen forbindelse til dine leverandører eller kunder, vil kunne give et angreb vej til dine systemer, og er ofte en overset svaghed. Sikkerhed skal være indbygget i alle aftaler, og at alle kontroller skal være kontrolleret og revideret, NCSC sagde. Virksomheder bør også sikre, at de minimerer antallet af tjenester udsat for, og den mængde af oplysninger, der udveksles.
Hvad godkendelse metoder, der anvendes til kontrol af adgang til systemer og data?
Adgangskoden er en oplagt adgangskontrol, men ikke den eneste, og de skal suppleres af andre kontroller for at beskytte din virksomhed. NCSC sagde, at virksomheder bør tilskynde til brug af fornuftigt adgangskoder og sikre, at alle standard passwords bliver ændret. For at undgå urealistiske krav til brugerne, virksomhederne bør kun håndhæve password adgang, hvor det virkelig er nødvendigt, agenturet sagde, og kun håndhæve regelmæssige ændringer af adgangskode hvis der er mistanke om kompromis.
“Du skal også yde sikker opbevaring, så de ansatte kan skrive adgangskoder ned, og holde dem sikkert (men ikke med selve enheden). Personalet vil glemme passwords, så sørg for at de kan nulstille deres egne adgangskoder nemt,” NCSA antyder. Virksomheder bør også overveje at gennemføre 2FA hvor det er muligt: “opsætning af 2FA er den mest nyttige ting, du kan gøre for at beskytte vigtige konti, og hvor det er muligt, bør være rullet ud til medarbejdere og kunder.”
Relaterede Emner:
CXO
Sikkerhed-TV
Data Management
Datacentre
0