Tidligere Twitter-CISO aktier hans råd for IT-sikkerhed ansættelse og cybersecurity
Michael Coates, CEO og medstifter af Højde Netværk og den tidligere CISO på Twitter, aktier bedste praksis for at opbygge en stærk sikkerheds-hold, og for at starte en karriere i internetsikkerhed. Læs mere: https://zd.net/2MqgssE
Cybersecurity Bevidsthed Måned er et godt tidspunkt at minde os selv om, at ansvaret for at sikre kundens oplevelse går ud over vores infrastruktur og ud til browseren. For organisationer, der brænder for at beskytte deres kunder, browser-baseret angreb er især frustrerende, fordi det har direkte indflydelse påvirker kunder. Mens nogle browser-baserede angreb, såsom web-skimming stjæle kundernes data og dermed offer for både organisation og brugere, andre angreb udnytte en organisations hjemmeside til at angribe kunder eller til at angribe en anden organisation helt.
Browser-baseret angreb forekommer, når angriberne indsætte skadelig kode til komponenter, der er serveret på en hjemmeside. Alle moderne hjemmesider for tredjemand scripts, og angriberne har med succes injiceres kode til flere. De seneste eksempler på browser-baserede angreb omfatter Magecart og den fortsatte spredning af cryptomining malware.
Overveje de forskellige måder, som en browser-baseret angreb kan påvirke din organisation, påvirker dine brugere, eller konsekvenser eller organisationer, du ikke engang kender. Når du vurderer truslen om browser-baserede angreb, at vide, at angribere:
- Specifikt mål dit site og dine brugere. Magecart er en fremtrædende kriminelle syndikat og fokuserer på at skumme kunde data fra web-formularer til at opnå kredit kort tal og personligt identificerbare oplysninger (PII). Både brugeren (som har haft deres personlige OPLYSNINGER stjålet endnu en gang) og organisation (som skal beskæftige sig med konsekvenserne af et brud på datasikkerheden) er ofre. British Airways (der betalt en $230 bøde for sin brud) og Ticketmaster STORBRITANNIEN blev begge ramt af Magecart. Udnyt dit websted udførelse for at målrette dine brugere. I dette scenario, vil din organisations hjemmeside er en hjælp til afslutning; hvis en hacker kan give en ondsindet script eller andet sted på dit websted (enten via en af dine scripts eller via en tredjeparts script), dine kunder vil finde deres systemer minedrift cryptocurrency eller stjålet kanalisere personlige data til en cyberkriminel. Kunder vil strides med pop-ups, clickjacks, og andre typer af forstyrrelser, der drastisk ændrer deres oplevelse på din hjemmeside. Konvertere dine brugere til angriberne. I dette tilfælde, kan en hacker tilfører skadelig kode på din hjemmeside og bruger det til at gøre dine kunders systemer til robotter. Angriberen derefter vender botnet på et andet system eller en organisation (tror Mirai botnet er et par år siden, eller en af de iterationer af 3ve ad bedrageri).
Du kan føle dig udfordret til at beskytte kunderne fra browser-baseret angreb på grund af manglende kontrol over kundens miljø (deres browser brugen, indstillingerne, deres rettigheder, uanset om de klikker på linket, etc.). Dog, skal du reducere risikoen ved at:
Regelmæssigt analysere din egen hjemmeside scripts i hele udviklingsprocessen. Implementering af client-side beskyttelse, såsom anti-skimming og malware-beskyttelse. Implementering af bot management-løsninger til at opdage og forsvare mod botnets, at resultatet fra browser-baserede angreb.
Som angribere fokusere mere på klient-side, organisationer må overveje konsekvenserne af script og browser sårbarheder mere bredt. Arbejde de ovennævnte scenarier i din trussel modellering og tænke over, hvordan man bedst beskytter dine kunder og deres oplevelser med dit websted. Programmer fortsætte med at være den mest almindelige vej for angribere; lad ikke browser-baserede angreb være din svage led.
Download Forrester ‘ s gratis guide til at lære, hvordan og hvorfor Nul, Tillid er den bedste måde at forsvare din virksomhed.
Dette indlæg blev skrevet af chefanalytiker Sandy Carielli og blev oprindeligt bragt her.
Sikkerhed
Store tyske producent stadig ned en uge efter at blive ramt af ransomware
NordVPN bekræfter data center brud
Google til at rulle ud opdater “i den kommende” måneder til at lave Pixel 4 Face Unlock-bypass
Hvorfor du skal tænke på sikkerhed i forsyningskæden (ZDNet YouTube)
Bedste sikkerhed i hjemmet af 2019: Professionel overvågning og DIY (CNET)
Hvordan du sikrer din Apple-Kort (TechRepublic)
Relaterede Emner:
Sikkerhed-TV
Data Management
CXO
Datacentre