Ex Twitter CISO condivide i suoi consigli per la sicurezza di assunzione e di sicurezza informatica
Michael Coates, CEO e co-fondatore di Altitudine Reti e l’ex CISO a Twitter, azioni di best practice per la creazione di un forte team per la sicurezza e per l’avvio di una carriera nell’ambito della sicurezza informatica. Leggi di più: https://zd.net/2MqgssE
Cybersecurity Mese di Sensibilizzazione è un buon momento per ricordare a noi stessi che la responsabilità di garantire al cliente esperienza che va oltre la nostra infrastruttura e per il browser. Per le organizzazioni che sono appassionato di proteggere i loro clienti, basato su browser, gli attacchi sono particolarmente frustrante perché l’impatto interessa direttamente i clienti. Mentre alcuni browser basato su attacchi come il web scrematura rubare i dati del cliente e, pertanto, perseguitare, sia l’organizzazione e gli utenti, altri attacchi di utilizzare un sito web dell’organizzazione per attaccare i clienti o per attaccare un’altra organizzazione del tutto.
Browser basato su attacchi si verificano quando gli aggressori iniettare codice dannoso in componenti che vengono serviti su un sito web. Tutti i siti web moderni includono script di terze parti, e gli aggressori si sono correttamente il codice inserito in più. Esempi recenti dei browser-based attacco Magecart e la costante proliferazione di cryptomining malware.
Considerare i diversi modi in cui un browser basato su attacco può avere un impatto vostra organizzazione, impatto i tuoi utenti, o l’impatto organizzazioni non si sa nemmeno. Come valutare la minaccia di un browser basato su attacchi, sapere che gli aggressori:
- In particolare, obiettivo del tuo sito e per gli utenti. Magecart è un’importante organizzazione criminale e si concentra sulla scrematura dati del cliente da moduli web per ottenere numeri di carta di credito e informazioni di identificazione personale (PII). Sia per l’utente (che ha avuto il loro PII rubato ancora una volta) e l’organizzazione (che devono affrontare le conseguenze di una violazione dei dati) sono vittime. British Airways (che hanno pagato $230 MILIONI di multa per la violazione) e Ticketmaster regno UNITO sono stati mirati da Magecart. Sfrutta il tuo sito di esecuzione per target di utenti. In questo scenario, il sito web dell’organizzazione è un mezzo e non un fine; se un utente malintenzionato può iniettare uno script dannoso da qualche parte sul vostro sito (o tramite uno script o tramite un script di terze parti), i vostri clienti potranno trovare i loro sistemi di data mining cryptocurrency o surrettiziamente incanalando di dati personali a un criminale informatico. I clienti si contenderanno con pop-up, clickjacks, e altri tipi di interferenze che cambiare drasticamente la loro esperienza sul tuo sito. Convertire i vostri utenti per gli attaccanti. In questo caso, un utente malintenzionato inietta il codice dannoso sul vostro sito e lo utilizza per trasformare i vostri clienti sistemi in bot. L’attaccante poi si gira la botnet su qualche altro sistema o organizzazione (si pensi a la Mirai botnet da un paio di anni fa, o uno di iterazioni del 3ve ad operazione antifrode).
Si può sentire sfidati per proteggere i clienti dal browser basato su attacchi a causa della mancanza di controllo sull’ambiente di un cliente (il loro utilizzo del browser, le impostazioni, le autorizzazioni, se si fa clic sul link, etc.). Tuttavia, è necessario ridurre il rischio:
Regolarmente analisi della vostra script del sito web in tutto il ciclo di vita di sviluppo. L’implementazione lato client protezioni anti-skimming e protezione da malware. La distribuzione di bot soluzioni di gestione per rilevare e difendere contro le botnet che il risultato browser basato su attacchi.
Come attaccanti di concentrarsi di più sul lato client, le organizzazioni devono considerare l’impatto di script e le vulnerabilità dei browser più in generale. Lavoro scenari di cui sopra nella vostra minaccia di modellazione e di pensare a come proteggere al meglio i vostri clienti e le loro esperienze con il tuo sito. Le applicazioni continuano a essere il più percorso comune per gli attaccanti; non lasciare che il browser basato su attacchi di essere il vostro punto debole.
Scarica Forrester gratuitamente una guida per imparare come e perché Zero Fiducia è il modo migliore per difendere il vostro business.
Questo post è stato scritto da Principal Analyst di Sabbia Carielli e originariamente apparso qui.
Sicurezza
Importante produttore tedesco ancora giù una settimana dopo essere stato colpito da ransomware
NordVPN conferma data center violazione
Google per il roll-out dell’aggiornamento ‘nei prossimi mesi per risolvere Pixel 4 Face Unlock di bypass
Perché hai bisogno di pensare alla sicurezza della catena di approvvigionamento (ZDNet YouTube)
Migliore di sicurezza domestica del 2019: monitoraggio Professionale e fai da te (CNET)
Come proteggere il vostro Apple Card (TechRepublic)
Argomenti Correlati:
Di sicurezza, TV
La Gestione Dei Dati
CXO
Centri Dati