Oleh Diposting pada

Syarat bisnis pikeun tim IT sareng infosec rupa-rupa sareng sering konflik. Tugasna kalebet pangurangan biaya, pamakean data anu efisien, otomatisasi, migrasi awan sareng timbangan sadaya résiko kaamanan inpormasi. Kumaha tren konci sareng parobihan dina IT mangaruhan profil infosec perusahaan, sareng naon anu kedah dipertimbangkeun réspon anjeun kana kabutuhan bisnis? Kami nganalisis tren IT anu paling penting sareng praktis (nurutkeun sababaraha kelompok ahli bebas sareng analis pasar cybersecurity), fokus kana aspék masing-masing infosec.

optimasi IT

Usaha di sakumna dunya ngagaduhan alesan anu hadé pikeun ngencangkeun sabukna – naha éta kusabab parobahan geopolitik, inflasi atanapi resesi ékonomi. Pikeun tim IT, ieu hartosna tinjauan utama biaya operasional. Departemen keuangan dinten ieu ngagaduhan biaya awan dina mikroskop, sabab 60% data perusahaan ayeuna disimpen dina méga. Pikeun seueur perusahaan, migrasi ka awan ngadadak sareng teu sistematis, nyababkeun tunggakan langganan SaaS anu teu dianggo, ogé mesin virtual anu dikonpigurasi sacara suboptimal sareng lingkungan awan anu sanés. Biasana aya seueur poténsi pikeun optimasi di dieu, tapi éta henteu kedah janten prosés sakali. Perusahaan kedah nyiptakeun budaya dimana biaya awan mangrupikeun perhatian sanés ngan ukur jalma IT, tapi ogé para pangguna awan sorangan.

sudut Infosec. Salila optimasi sareng konsolidasi, jasa awan dikonfigurasi deui sareng data dipindahkeun antara lingkungan awan anu béda. Penting pikeun ngalokasikeun waktos sareng sumber pikeun audit sistem pasca migrasi pikeun mastikeun, antara séjén, yén setélan kaamanan leres sareng sadaya akun jasa anu diperyogikeun pikeun migrasi palabuhan parantos ditutup. Salila migrasi, éta mangrupakeun ide nu sae pikeun ngamutahirkeun rusiah (token aksés, konci API, jsb) jeung ngalaksanakeun enkripsi prakték pangalusna sarta kawijakan cipher.

Upami aya alat atanapi jasa awan anu ditumpurkeun saatos migrasi, ieu kedah dipiceun tina sadaya data rahasia sareng inpormasi jasa (debugging sareng file samentawis, data uji, jsb.).

Open source

Mangpaat ékonomi tina aplikasi open source rupa-rupa: contona, pausahaan ngembangkeun software ngurangan waragad sarta waktu ka pasar ngaliwatan pamakéan kode siap-dijieun, sedengkeun nu sejenna acquire sistem nu maranéhna bisa ngaropéa tur ngajaga internal, lamun diperlukeun.

sudut Infosec. Résiko utama open source nyaéta aya kerentanan sareng backdoors dina kode pihak katilu – utamina kusabab éta henteu salawasna jelas saha anu kedah ngalereskeun kodeu sareng kumaha carana. Seringna perusahaan bakal ngagunakeun sababaraha perpustakaan atanapi parangkat lunak tanpa terang. Ngaleungitkeun resiko open source merlukeun inventaris kode jeung sistem scanning. Pikeun tampilan anu langkung jero ngeunaan résiko sareng ukuran mitigasi, tingali tulisan kami anu misah.

Manajemén data

Pausahaan badag di ampir unggal industri geus ngumpulkeun jumlah badag data operasional salila kira dua dekade ayeuna. Dina tiori, éta mantuan ngaoptimalkeun jeung ngajadikeun otomatis prosés bisnis jeung ngamekarkeun produk fundamentally anyar (kadangkala data sorangan jadi komoditi ditéang-sanggeus). Dina prakna, kumaha oge, hal anu leuwih pajeulit: loba data dikumpulkeun, tapi mindeng struktur na, recency, sarta formulir gudang sapertos nu hese atawa malah teu mungkin pikeun manggihan informasi sarta ngagunakeun éta.

Pikeun pertumbuhan anu didorong ku data nyata, usaha peryogi prosedur anu jelas pikeun ngumpulkeun, ngakatalogkeun, nyimpen, sareng ngagunakeunana. Strategi anu kapaké di dieu nyaéta manajemén data sareng pamaréntahan data. Strategi ieu ngajelaskeun struktur sareng sifat inpormasi anu disimpen sareng siklus kahirupan data lengkep, sareng ngamungkinkeun anjeun pikeun ngatur panyimpenan sareng pamakeanna.

sudut Infosec. Tata kelola data dilaksanakeun pikeun alesan ékonomi, tapi mangpaat jaminan pikeun kaamanan informasi téh loba pisan. Barina ogé, ku terang dimana sareng naon data anu disimpen, perusahaan langkung saé pikeun meunteun résiko, nyayogikeun panyalindungan anu nyukupan pikeun sadaya set data, sareng patuh kana hukum data pribadi. Tim infosec kedah maénkeun peran anu aktip dina ngamekarkeun sareng ngalaksanakeun strategi manajemén data, kalebet: kabijakan aksés sareng enkripsi, kontrol patuh, ukuran pelindung pikeun data nalika istirahat sareng transit, sareng prosedur pikeun kéngingkeun aksés. Strategi ogé kedah nutupan jinis data “tambahan” sapertos inpormasi téknis cadangan sareng proprietary dina méga (utamana SaaS).

Kode low & euweuh kode

Pendekatan low-code ngamungkinkeun sistem bisnis dirobih sareng diperpanjang tanpa programer. Modifikasi umum kaasup ngarobah interfaces aplikasi jeung ramatloka, nyieun analisis data anyar jeung skenario kontrol, sarta robotic prosés automation (RPA). Éta ngabantosan ngembangkeun solusi CRM, manajemén e-dokumen, nyiptakeun halaman wéb pamasaran, jsb. Usaha kauntungan tina pendekatan ieu kusabab biaya pangropéa IT anu aub sacara signifikan langkung handap tina mitra anu peryogi programer “nyata”. Sababaraha sistem no-code/low-code populér nyaéta Microsoft Power Apps, Salesforce, Uipath, komo WordPress.

sudut Infosec. Sistem kode rendah nyababkeun résiko anu signifikan, sabab ku harti aranjeunna gaduh aksés lega kana data sareng sistem IT perusahaan anu sanés. Éta ogé ngonpigurasi sarta dipaké ku jalma tanpa IT / latihan infosec jero. Sadaya ieu tiasa nyababkeun kabocoran data, sagala rupa bentuk eskalasi hak husus, logging teu cekap, sareng aksés anu henteu sah kana inpormasi.

Sajaba ti éta, pamaké sistem sapertos rutin ninggalkeun rusiah, kayaning konci API, langsung dina kode. Sareng anu paling penting, ampir sadaya sistem tanpa kode aktip ngagunakeun arsitektur plug-in sareng gaduh gudang komponén khusus sorangan pikeun proyék-proyék pangguna. Kerentanan dina komponén ieu sering pisan serius sareng sesah pisan dilacak sareng gancang ngalereskeun nganggo alat infosec standar.

Tim infosec kudu ngamekarkeun kawijakan jeung prosedur husus pikeun tiap aplikasi low-kode dipaké di pausahaan. Administrator sareng pamilik aplikasi kedah nampi pelatihan anu jero dina prosedur infosec ieu, sedengkeun pangguna biasa aplikasi kode-rendah peryogi pelatihan khusus dasar. Salaku bagian tina palatihan pamaké ieu, hal anu penting pikeun ngajarkeun prakték programming aman tur kumaha carana make sistem. Sahenteuna, latihan kedah ngawengku syarat teu nyimpen kecap akses dina kode software, pariksa data input, sarta ngaleutikan operasi modifikasi data.

Administrator IT kedah nengetan caket kana ngaminimalkeun hak istimewa sareng ngadalikeun aksés ka data ngaliwatan aplikasi kode-rendah. Tim infosec kedah ngaevaluasi solusi khusus pikeun ngajagi aplikasi kode low tangtu; contona, aya hiji mini-industri cukup thriving sabudeureun WordPress. Langkung seueur ngeunaan topik anu cukup lega ieu tiasa dipendakan dina tulisan kami anu misah.

Kateguhan & ketahanan

Insiden IT utama dina dasawarsa katukang (henteu kedah serangan cyber) parantos ngajarkeun usaha yén investasi dina résiliensi IT boh biaya-éféktif sareng ganjaran. Investasi di dieu utamina ditujukeun pikeun ngaleungitkeun karugian bencana sareng mastikeun kasinambungan bisnis. Tapi sanajan kajadian utama teu diitung, daya tahan mayar kaluar ku ngaronjatkeun pangalaman pamaké pikeun konsumén jeung karyawan, ningkatkeun reputasi hiji parusahaan, sarta nyetir kasatiaan.

Aya sababaraha cara pikeun ngembangkeun ketahanan:

  • Uji jero sistem IT salami pamekaran (devops, devsecops);
  • Ngarancang sistem anu tiasa neruskeun fungsina upami aya kagagalan parsial (redundansi, duplikasi);
  • Nerapkeun sistem ngawaskeun pikeun ngalacak anomali IT / infosec sareng nyegah kajadian dina tahap awal (gagalna database, teu saimbangna beban, palaksanaan malware, jsb.);
  • Nerapkeun sistem infosec multi-layered di pausahaan;
  • Ngembangkeun skenario automation pikeun ngahemat waktos sareng ngaminimalkeun kasalahan manusa, kalebet skenario pikeun ngajadikeun otomatis masalah infrastruktur IT;
  • Diajar ranté suplai pikeun ngaleungitkeun kajadian anu aya hubunganana sareng kode supplier sareng kontraktor perusahaan, infrastruktur atanapi prosedur internal;
  • Laksanakeun réspon kajadian sareng prosedur pamulihan saatos kajadian sareng uji dina prakna.

sudut Infosec. Nalika usaha nungtut “daya tahan umum” tina sistem IT na, syarat IT sareng infosec di dieu dikaitkeun raket, janten ngalaksanakeun salah sahiji set di luhur bakal meryogikeun kolaborasi anu jero diantara departemén relevan. Anggaran terbatas, janten penting pikeun netepkeun prioritas sareng pembuat kaputusan bisnis sareng ngadistribusikaeun tugas sareng proyék antara “IT umum” sareng infosec, ngidentipikasi kasempetan pikeun optimasi sareng sinergi. Ideally, hiji solusi (sebutkeun, sistem cadangan) kedah ngadamel tugas IT / infosec concurrently, sarta nangtukeun syarat maranéhanana, latihan pamakéan maranéhanana, jsb, kudu dipigawé babarengan. Hasilna pikeun perusahaan bakal janten strategi ketahanan cyber holistik. Léngkah-léngkah munggaran pikeun katahan cyber dibahas sacara rinci di dieu.

Tulisan ieu henteu acan nyarios kecap ngeunaan AI generatif atanapi rupa-rupa tren IT perusahaan sanés anu masih aya dina fase “kami ékspérimén kumaha nerapkeun ieu”. Ngeunaan tren anu ngajangjikeun tapi tetep atah, kami ngarencanakeun ngaleupaskeun ulasan anu misah.


#Tren #konci #dina #sareng #résiko #cyber #anu #aya #hubunganana

Oleh Diposting pada

Insiden cyber utama mangrupikeun alesan anu saé pikeun éta ngaronjatkeun hal henteu ngan dina kaamanan informasi, tapi ogé dina IT. Manajemén daék nempatkeun sumber daya sareng hoyong parobihan anu positif, tapi anjeun kedah realistis ngeunaan ruang lingkup sareng anggaran. lampah naon bakal nyieun kontribusi greatest pikeun nyegah sarta ngaminimalkeun dampak kajadian anyar?

Nyiapkeun pikeun serangan cyber hareup disebut ketahanan cyber. Sareng éta sanés ngan ukur pikeun nguatkeun pertahanan. Pikeun perusahaan, ketahanan cyber nyaéta kamampuan pikeun beroperasi dina nyanghareupan serangan cyber atanapi insiden cyber anu sanés. Ieu hartosna gaduh ukuran téknis sareng organisasi pikeun ngadeteksi, ngaréspon sareng pulih tina kajadian, teras adaptasi sareng diajar tina éta. Konsep ieu digariskeun dina standar ISO/IEC 27001.

Atanapi, sakumaha organisasi sorangan resep nyarios: kumaha perusahaan tiasa ngeureunkeun ransomware tina asup, sareng upami éta, nyegah éta tina karusakan naon waé? Éta patarosan urang bakal coba ngajawab.

Dimana ngamimitian?

Daptar téknologi pencegahan sareng mitigasi serangan ampir teu aya tungtungna. Anjeun kudu prioritas ku assessing resiko jeung karuksakan tina sagala rupa insiden cybersecurity, nyegah serangan paling dipikaresep ti kerangka ATT&CK, jeung nerapkeun salah sahiji tungtunan pikeun mitigate resiko husus (conto 1, conto 2). Tapi aya sababaraha léngkah munggaran anu penting. Kahiji, ulah nyebarkeun usaha anjeun teuing ipis – kami nyarankeun fokus kana sababaraha solusi inti anu bakal ngahasilkeun éfék impactful misalna yén sakabéh proyék séjén pangalusna ditunda dugi dasar ieu dilaksanakeun. Sadaya solusi anu didaptarkeun sacara signifikan ngirangan résiko serangan anu paling umum, nyederhanakeun réspon kajadian, sareng ngirangan karusakan upami aya intrusion. Janten upami perusahaan anjeun kirang tina daptar ieu, laksanakeun ayeuna.

Kami henteu tiasa ngantebkeun pentingna nerapkeun téknologi ieu dina ALL komputer di perusahaan anjeun. Éta hartosna sadaya titik (kalebet sadaya laptop sareng smartphone perusahaan sareng pribadi), sadaya server sareng sadaya beban kerja virtual sareng wadahna. Aya pitfall badag di dieu: IT bayangan. Sanajan usaha pangalusna anjeun, Anjeun bisa jadi teu sadar ayana sababaraha komputer tur server. Janten mimitian ku inventaris sadaya aset IT pikeun mastikeun yén kawijakan kaamanan nutupan sakabéh infrastruktur perusahaan.

Deteksi sareng Tanggapan Titik Tungtung

Sadaya komputer, kalebet server sareng mesin virtual, kedah dipasang agén EDR, kalayan fitur ngahalangan ancaman diaktipkeun. EDR mangrupikeun téknologi panyalindungan inti anu ngagabungkeun panyalindungan malware sareng ngawaskeun sareng réspon pikeun sistem kaamanan inpormasi anu langkung kompleks.

Pastikeun anjeun tiasa nampi telemétri tina sadaya komputer, sabab ahli kaamanan internal atanapi éksternal peryogina pikeun gancang nganalisis kajadian poténsial. Nu ngical paralatan anu terhormat, sapertos Kaspersky, sacara otomatis meungpeuk sabagéan ageung ancaman siber umum, janten pastikeun sadaya fitur pikeun meungpeuk kagiatan ngabahayakeun anu dipikanyaho diaktipkeun dina sadaya komputer dumasar kana kawijakan anu ngahijikeun.

Auténtikasi Multifactor

Numutkeun sababaraha perkiraan, 60-80% tina serangan cyber dimimitian ku maling akun. Éta sababna dianggap teu tiasa ditampi pikeun ngajagi aksés ka sistem komputer ngan ukur nganggo kecap akses: gampang teuing ditebak, dipaling, atanapi dikuatkeun. Login pamaké kudu dipigawé kalawan MFA. Bentuk anu paling umum ngagunakeun dua faktor (sandi sareng kode sakali), naha éta katelah auténtikasi dua faktor, atanapi 2FA. Solusi anu paling murah ngagunakeun aplikasi auténtikasi, tapi, gumantung kana spésifik organisasi sareng posisi karyawan, tiasa janten kombinasi aplikasi, token USB, biometrik, jsb. Sacara umum, MFA disarankeun pikeun sadaya sistem perusahaan, tapi prioritas kedah dipasihkeun ka jasa anu tiasa diaksés sacara éksternal, sapertos email sareng VPN.

Cadangan ditangtayungan

Cadangan parantos lami ngajagi perusahaan tina langkung ti kahuruan sareng kagagalan hardware. Éta ogé ngajaga ngalawan sababaraha serangan cyber. Operator Ransomware sadar pisan kana ieu, janten ampir unggal serangan ransomware ngalibatkeun ngahapus salinan cadangan inpormasi anu dituju. Ku sabab kitu, strategi cadangan kudu akun pikeun sakabéh skenario, kayaning recovery gancang salinan gampang diakses – dina acara kagagalan hardware atawa kajadian IT lianna, kitu ogé recovery dijamin dina acara serangan ransomware. Éta pisan kamungkinan yén dua cadangan misah anu diperlukeun. Cadangan tahan Ransomware disimpen dina média anu dipegatkeun sacara fisik tina jaringan (henteu pisan, tapi tiasa dipercaya), ogé dina panyimpenan awan “imut”, dimana data tiasa ditambah tapi henteu diganti atanapi dihapus (merenah, dipercaya, sareng berpotensi mahal). . Sanggeus nyieun cadangan teu bisa balik anjeun, ngalaksanakeun latihan recovery data pikeun (a) mastikeun eta bisa dipigawé, jeung (b) estimasi sabaraha lila waktu nu diperlukeun (tambah deui bakal nyepetkeun respon tim anjeun lamun aya serangan nyata).

Aplikasi sareng manajemén patch

Sadaya komputer di perusahaan, naha éta desktop, server virtual, atanapi laptop karyawan dina perjalanan bisnis, kedah dipasang alat anu ngamungkinkeun pangurus ngatur mesin jarak jauh. Tindakan penting kalebet diagnostik komputer (mariksa kasadiaan aplikasi anu diperyogikeun, mariksa status jaringan, kaséhatan VPN, update EDR, jsb.), masang aplikasi sareng apdet, nguji kerentanan, sareng sajabana.

Kamampuhan sapertos kitu penting, boh pikeun padamelan sapopoé sareng nalika réspon kajadian. Dina operasi sapopoe, aranjeunna mastikeun kabersihan cyber, sapertos pamasangan gancang apdet kaamanan kritis dina sadaya komputer. Dina mangsa kajadian, meureun perlu ngajalankeun, sebutkeun, hiji utiliti husus atawa install sertipikat – sarta ngan administrasi sistem kedah ngalakukeun ieu pikeun jumlah waktu nu lumrah, kaasup keur karyawan jauh.

Pangalusna cocog pikeun tugas ieu téh Sistim UEM nu ngidinan Anjeun pikeun ngatur rupa-rupa alat, kaasup karya jeung komputer pribadi tur smartphone, sarta ngalaksanakeun kawijakan parusahaan dina alat eta. Anjeun oge gaduh pilihan pikeun panangan diri sareng solusi anu khusus pisan, sapertos manajemén patch, VNC/RDP, sareng sistem anu sanés.

sandi unik

Manajemén aksés anu istimewa sareng ngaidentipikasi kaamanan mangrupikeun topik anu lega. Kaamanan identitas anu diwangun sacara saé ningkatkeun tingkat panyalindungan perusahaan sareng nyederhanakeun kahirupan karyawan. Tapi palaksanaan anu lengkep tiasa janten proyék anu panjang, janten fokus awal kedahna kana hal-hal anu penting, anu munggaran pikeun mastikeun yén unggal komputer di perusahaan ditangtayungan ku sandi administrator lokal anu unik. Anggo alat LAPS gratis pikeun ngalaksanakeun tindakan ieu. Pancegahan saderhana ieu bakal nyegah panyerang gancang ngalih kana jaringan, kompromi komputer individu nganggo kecap akses anu sami.

Ngaleutikan jasa rentan

Sacara rutin nyeken alamat IP perusahaan anjeun tina internét pikeun mastikeun yén server sareng jasa anu ngan ukur sayogi dina jaringan lokal henteu kakeunaan sacara global. Upami jasa sapertos kitu muncul dina internét, laksanakeun langsung pikeun meungpeuk aksés luar. Upami kusabab sababaraha alesan éta kedah diaksés tina internét, larapkeun apdet kaamanan rutin sareng lindungi ku MFA. Léngkah-léngkah ieu penting pisan pikeun udagan hacker paporit sapertos: konsol manajemén wéb, RDP, Telnet/SSH, SMB, SNMP, sareng FTP. Hadé pisan mun éta nganggap yén sakabéh jasa bisa ditempo ti internét, jeung scan aranjeunna pikeun vulnerabilities, kecap akses lemah, sarta defects séjén rutin.


#Léngkah #pikeun #ningkatkeun #daya #tahan #siber #hiji #organisasi

Oleh Diposting pada

Dina 2022, manajer kaamanan IT nyanghareupan ancaman cyber disababkeun lain ngan ku cybercriminals éksternal nyoba nembus sistem perusahaan, tapi ogé ku pagawé ngalanggar kawijakan kaamanan IT. Teu heran, 59% organisasi ageung parantos nyanghareupan sababaraha bentuk sabotase atanapi kajadian spionase industri. Ieu ngan sakedapan tina sajumlah insiden kaamanan anu ngajaga para ahli éksternal waspada tinggi taun ka tukang. Nanging, nalika milih MSP atanapi MSSP anu leres, aya sababaraha faktor anu kedah dipertimbangkeun.

Tilu skenario pamakéan

Sakitar 65% SMB sareng korporasi nyarioskeun alesan anu paling umum pikeun outsource tanggung jawab kaamanan IT pikeun MSP / MSSP ku 2022 nyaéta efisiensi anu tiasa disayogikeun ku spesialis éksternal. Nanging, MSP/MSSP ngagaduhan résiko sareng masih kedah dikawasa ku para ahli internal. Skenario pamakean di handap ieu tiasa janten aturan praktis pikeun ngabantosan organisasi ngukur iraha bade outsource sareng iraha ngawangun kamampuan internal:

  • Gancang napelkeun fungsi nu tangtu
  • Ngawangun fungsi kaamanan ti scratch
  • Ngarojong tumuwuhna lega

Pangalusna duanana dunya

Dina sababaraha kasus, pendekatan hibrid, dimana hiji organisasi ngawangun sababaraha jasa di-imah sareng outsources batur, tiasa janten pilihan anu pangsaéna. Aya dua variasi utama pendekatan hibrid: kahiji nyaéta ngawangun fungsi inti (sapertos Pangimeutan Kaamanan, Tanggapan Kajadian, jsb) sacara internal sareng outsource naon waé anu henteu cocog pikeun ngawangun di bumi. Varian kadua nyaéta pikeun ngembangkeun katerampilan réspon insiden, anu terang lingkungan sareng anu pangsaéna pikeun ngaréspon serangan maju. Kadua varian ieu ngamungkinkeun organisasi pikeun ngawangun fungsi inti sareng henteu miceunan waktos sareng sumber dina fungsi anu peryogi kaahlian sareng alat anu sempit.

Upami anjeun hoyong diajar langkung seueur, anjeun tiasa maca laporan lengkep di dieu.


#MSP #MSSP #paling #diperlukeun #dina

Oleh Diposting pada

Kode low, euweuh kode, jeung kode enol mangrupakeun buzzwords di dunya aplikasi bisnis dimana tugas anu kungsi diperlukeun programer dipigawé ku pamaké biasa. fungsionalitas diperlukeun dikumpulkeun ti témplat siap-dijieun, interfaces digambar dina éditor WYSIWYG sakumaha diperlukeun, jeung logika program dipedar ngaliwatan diagram basajan atawa snippét kode pisan pondok. Sadaya ieu tiasa diurus ku pangguna PC anu kompeten tanpa pelatihan khusus. Kode low mantuan motong waktos ngembangkeun pikeun aktip mobile basajan ti genep bulan ka sababaraha minggu, bari kaca promo pikeun toko online anyar atawa laporan bisa dikirimkeun dina sababaraha jam.

Aya seueur platform tanpa kode di luar: Gelembung pikeun ngembangkeun aplikasi mobile, stream web pikeun ngarancang situs wéb, sareng Parabola Jeung Airtable pikeun analytics sareng élmu data. Sadaya sistem ieu ngabantosan perusahaan ngirangan biaya IT sareng nyepetkeun pamekaran fungsi bisnis.

Tangtosna, aya pitfalls – sareng résiko cyber janten pimpinan diantara aranjeunna. Pikeun ngajaga kaamanan data sareng prosés perusahaan, résiko ieu kedah diminimalkeun pas mungkin salami panyebaran platform kode-rendah. Ieu anu paling diinget.

Rekening husus

Aplikasi mini anu dikembangkeun ku perusahaan anjeun dina platform low- atanapi no-code sering ngabutuhkeun aksés kana sababaraha database sareng sumber komputasi. Ieu biasana ngajalankeun kalawan hak husus pangarang, sarta sakabeh pamaké saterusna tina aplikasi nu ngalakukeun tindakan jeung tingkat aksés ieu. Ti dinya, éta luncat sakeudeung ka serangan escalation hak husus, sarta figuring kaluar tina log anu tanggung jawab kagiatan jahat bakal nyeri a.

Mitigasi résiko

  • Larapkeun prinsip hak husus pangsaeutikna ka sadaya pangkalan data sareng sambungan API tina sistem tanpa kode.
  • Anggo akun anu misah pikeun pangguna mini aplikasi (nganggo kredensial pamekar aplikasi henteu tiasa ditarima).
  • Ngenalkeun tindakan logging khusus pikeun ngalacak saha anu leres-leres ngagunakeun aplikasi mini nalika aranjeunna nyuhunkeun database sareng API.

Otorisasina salah

Ampir sadaya platform low-code nganggo konsép konektor/konéksi, ngamungkinkeun aranjeunna ngakses database sareng aplikasi sejenna dina perusahaan. Arsitéktur sistem ieu henteu masihan pangguna kontrol langsung kana sambungan saatos aranjeunna masihan idin pikeun ngadamelna. Koneksina tiasa dianggo deui pikeun ngadamel pamundut sanés pikeun data anu sami – kalebet tina mini-aplikasi anu béda atanapi bahkan pangguna anu béda.

Mitigasi résiko

  • Ngapdet périodik token otorisasi dina sistem numbu ka platform tanpa kode.
  • Ngawas sambungan aktip dipaké.
  • Tulis ulang aplikasi mini anu teu leres diprogram anu nganggo sambungan “injeuman”. Pareuman sambungan anu teu perlu.
  • Sakali deui, nganggo prinsip hak husus pangsaeutikna.
  • Ngalatih pangguna bisnis pikeun ngartos résiko aksés anu lega kana data aplikasi.

Leakage data atawa modifikasi

Kalayan platform tanpa kode anu gaduh aksés lega kana data, aplikasi mini anu diprogram ku non-spesialis tiasa ngabalikeun data langkung seueur tibatan anu dipikahoyong ku pamekar. Sareng kasalahan dina ngolah data atanapi singkronisasi antara sistem tiasa nyababkeun korupsi data anu teu kahaja sareng nyebar atanapi nyalin anu teu diidinan.

Mitigasi résiko

  • Ngawatesan aksés ka data, ngaleutikan nulis jeung mupus idin.
  • Ngaleutikan daptar karyawan otorisasi pikeun nyieun tur ngaropéa sambungan, sarta ngonpigurasikeun aturan aksés pikeun aranjeunna.
  • Monitor data anu ditransfer ku platform anu henteu disandi pikeun ngaidentipikasi jumlah anu kaleuleuwihan dina waktosna.

Setélan kaamanan salah

Bug jahat sareng salah konfigurasi tiasa lumangsung dina kode aplikasi mini, sapertos: aksés kana panyimpen file anu henteu énkripsi; neundeun konci API atanapi rusiah séjén langsung dina kode aplikasi; aksés ka sistem perusahaan tanpa auténtikasi ditangtoskeun. Kusabab seueur aplikasi kode rendah anu gampang dianalisis, panyerang tiasa gancang ngekstrak sadaya inpormasi ieu sareng dianggo pikeun serangan cyber sareng maling data.

Mitigasi résiko

  • Mastikeun patuh kana prakték pangalusna industri pikeun ngonpigurasikeun aplikasi sareng ngajaga rusiah.
  • Ngalatih pamaké bisnis ngawangun aplikasi bébas kode pikeun sasuai jeung prakték ieu.
  • Ngawanohkeun ukuran kaamanan tambahan di tingkat infrastruktur. Watesan metodeu aksés anu teu aman, sareng pantau paménta anomali tina sistem tanpa kode.

Sanitasi input goréng

Paling aplikasi low-kode boga sababaraha nurun panganteur nu ngidinan Anjeun ngasupkeun data; contona – wincik kontak dina formulir dina ramatloka anyar diwangun. Verifikasi formulir input sering henteu cekap atanapi henteu, ngantepkeun kabuka pikeun serangan suntik SQL klasik.

Mitigasi résiko

  • Ngalatih pangguna bisnis: mini-aplikasi anu aranjeunna ngawangun kedah pariksa sareng ngabersihan inpormasi anu asup, naha éta bentuk téks, file CSV, atanapi naon waé.
  • Laksanakeun alat sanitasi data tambahan – contona nalika ngalangkungan query SQL tina platform kode rendah ka pangkalan data.

Kerentanan dina modul

Seueur platform tanpa kode gaduh arsitéktur modular sareng gudang komponén sorangan pikeun proyék pangguna. Kerentanan dina komponén ieu sering pisan serius sareng diperparah ku kanyataan yén aranjeunna henteu tiasa gancang dilacak sareng diropéa nganggo alat standar. modul misalna bisa malah jadi trojanized lamun pamekar bakal hacked.

Mitigasi résiko

  • Ngabersihan platform rutin. Plug-in, modul, sareng komponen sanésna anu henteu dianggo kedah dipiceun.
  • Ngawatesan daptar komponén sadia pikeun pamaké.
  • Inventarisasi sadaya komponén anu dianggo, sareng ngawaskeun kerentanan sareng versi énggal.
  • Paké sistem panyalindungan husus dirancang pikeun platform low-kode anjeun (contona, Wordfence pikeun WordPress).

Ngolah data ilegal

Basis data anu disimpen ku mini-aplikasi kadang-kadang tunduk kana aturan umum platform-kode handap, hartosna pangurus perusahaan henteu gaduh kontrol pinuh kana lokasi sareng eusina. Ieu tiasa nyababkeun palanggaran hukum lokal, sapertos GDPR, ngeunaan neundeun sababaraha jinis data.

Mitigasi résiko

  • Ngalatih pamaké bisnis dina aturan dasar ngolah data.
  • Sadaya aplikasi anu berpotensi gaduh aksés kana data sénsitip kedah ditaliti ku tim infosec.

aplikasi poho

Dumasar sifatna, aplikasi tanpa kode gampang didamel sareng dijalankeun tanpa ditingali. Contona, upami hiji pagawe ninggalkeun pausahaan, mini aplikasi maranéhanana bisa neruskeun ngajalankeun sarta ngahasilkeun laporan poean. Atawa kolega bisa neruskeun migunakeun eta tanpa pangaweruh tim IT na infosec.

Mitigasi résiko

  • Ngajaga mini-katalog aplikasi anu detil, pamilik sareng pangguna akhir.
  • Hapus aplikasi sareng sambungan anu teu perlu. Pariksa daptar pangguna anu diidinan sareng cabut saha waé anu henteu peryogi aplikasina.


#Kaamanan #aplikasi #lowcodenocode

Oleh Diposting pada

Cybercrime boga harga. Hiji anu beuki loba boga usaha manggihan diri mayar.

Fee ngalir kana genep angka, nurutkeun Federal Biro Investigation AS (FBI) laporan cybercrime 2022. Rata-rata, intrusion tina hiji email bisnis (biasana via sasaran phishing atawa hacking akun séjén) siphons kaluar $125,611 dina dana. Serangan ransomware nahan sandera data perusahaan rata-rata $14,403. Sareng usaha tingkat pelanggaran data kalayan karugian rata-rata $ 164,336.

Penjahat siber beuki ngaluncurkeun serangan ieu ngalawan usaha kalayan pendapatan $500,000 atanapi kirang, nu ngajadikeun pamikiran ngeunaan leungitna genep inohong pikeun aranjeunna malah leuwih serius. Retailers, panyadia ladenan profésional, firms real estate, prakték médis sarta usaha lianna kawas aranjeunna ayeuna manggihan diri target pilihan pikeun ngaronjatna jumlah cybercriminals.

Tapi anjeun tiasa ngabantosan nyegah usaha anjeun tina pencét.

Pikeun ngatasi paningkatan serangan ieu, kami gawé bareng Dell sareng Perlindungan Usaha McAfee. Éta nawiskeun solusi lengkep, kalayan fitur panyalindungan otomatis anu ngabantosan karyawan perusahaan tetep aman, sareng data, alat sareng sambungan online. Setelan intuitif sareng pituduh pikeun unggal karyawan nguatkeun sikep kaamanan pribadi sareng nguatkeun kaamanan bisnis anjeun salaku hasilna.

Sareng ayeuna, aya kabutuhan mutlak pikeun panyalindungan sapertos kitu.

Naha cybercriminals nargétkeun bisnis kuring? Aya lauk gedé di dinya.

Penjahat siber gaduh alesan anu hadé pikeun nargétkeun usaha anu panghasilan $ 500,000 sareng handap:

  1. Usaha ieu sering kakurangan alat panyalindungan online sareng dukungan, ngajantenkeun aranjeunna langkung rentan diserang tibatan organisasi anu langkung ageung kalayan ukuran kaamanan anu langkung ketat.
  2. Narajang usaha ieu sering merlukeun tingkat low kaahlian teknis. Cybercriminals tiasa mésér atanapi nyéwa alat sareng jasa hacking dina wéb poék anu tiasa ngamangpaatkeun kaamanan anu goréng.
  3. Aranjeunna utama pikeun serangan ransomware, sabab seueur usaha ieu henteu gaduh cadangan data atanapi rencana pamulihan data.
  4. Karyawanna henteu salawasna dilatih dina kabiasaan kaamanan anu saé, teu sapertos usaha anu langkung ageung anu ngagaduhan pelatihan sapertos kitu. Éta bisa jadi teu ngakuan surelek phishing lamun confronted jeung eta.
  5. Serangan dina usaha ukuran ieu narik perhatian saeutik. Bari cyberattacks on usaha badag nyekel headline, aranjeunna mindeng narik perhatian signifikan tina penegak hukum dimana serangan leutik bisa jadi teu.

Penjahat siber tiasa nyandak kauntungan anu langkung alit tina bisnis ieu, tapi aranjeunna nyéépkeunana dina volume. Aranjeunna baris narajang sababaraha usaha leutik pikeun sajumlah leutik dollar, nu bisa nandingan dana aranjeunna ngahasilkeun ku narajang hiji target badag pikeun hiji jumlah badag-jeung kalawan resiko rélatif kirang.

Faktor séjén anu ngajadikeun bisnis ieu pikaresepeun pikeun cybercriminals nyaéta yén hiji hack tiasa nyababkeun anu sanés.

Bisi di titik, Anjeun bisa ngelingan breach data masif di Target salila usum balanja libur 2013. Ieu kakeunaan hiji diperkirakeun 41 juta rékaman customer, costing Target ampir $300 juta di padumukan jeung karugian. Kumaha para hacker asup? Ku hacking kontraktor HVAC lokal nganggo sistem Target pikeun tagihan, kontrak, sareng manajemén proyék.

Éta nunjukkeun kumaha pelanggaran bahkan tautan pangleutikna dina ranté pasokan tiasa nyababkeun pelanggaran sanés anu mangaruhan jutaan jalma.

Sakumaha biasa, peretas milarian target anu gampang sareng berisiko rendah anu nawiskeun ganjaran anu paling luhur. Dina kasus usaha nyieun $500.000 sataun atawa kirang, aranjeunna geus kapanggih persis éta.

Dua halangan pikeun bisnis anu langkung aman: waktos sareng pagawé jauh.

Sanaos para penjahat siber naék seranganna, duanana waktos sareng kerja jauh ngan ukur ningkatkeun résiko pikeun usaha.

Waktos mangrupikeun masalah anu para pamilik usaha terang pisan. Henteu aya cekap, anu hartosna sababaraha aspék bisnis langkung prioritas tibatan anu sanés. Dina campuran ieu, cybersecurity sangsara.

Panaliti urang sorangan di AS sareng Éropa mendakan éta 63% pamilik usaha leutik nyéépkeun sajam atanapi kirang ngajagi usahana saminggu. Salaku tambahan, 45% ngatur kaamanan sacara ad-hoc. Bisa kaharti, tempo nu boga usaha leuwih hade investasi waktu tumuwuh bisnis maranéhanana ti ngatur kaamanan maranéhanana. Sanajan kitu, prioritas low ieu ngajadikeun bisnis picilakaeun, nu bisa ngakibatkeun leungitna genep angka disebut tadi.

Munculna karya jauh ogé geus diwanohkeun masalah kaamanan salajengna. di tengah pandémik, seueur karyawan anu teras-terasan damel jarak jauh atanapi jarak jauh sabagian waktos.

Implikasi pikeun kaamanan tiasa signifikan. Naha damel ti bumi atanapi lokasi sanés sapertos kafe, karyawan ieu tiasa henteu gaduh panyalindungan cybersecurity anu nyukupan. Salaku tambahan, aranjeunna tiasa nganggo jaringan anu teu aman atanapi Wi-Fi anu tiasa kompromi data perusahaan-henteu nyarios nyalira. Gemblengna, pagawé jauh tiasa mendakan diri anu rentan.

Jaga tina palanggaran sareng serangan kalayan kaamanan anu diwangun pikeun bisnis anjeun.

Nalika kami nyiptakeun panjagaan Usaha Leutik McAfee, kami tetep émut kana masalah ieu. Kami nyiptakeun panyalindungan anu kuat, sareng kami ngagampangkeun ogé. Pamilik usaha tiasa gancang nyetél éta pikeun karyawan sareng ngalaksanakeun kadali pikeun mastikeun aranjeunna aman. Samentara éta, Skor Protéksi kami ngukur kaamanan sakabéh bisnis sareng nawiskeun pitunjuk ngeunaan cara ngajantenkeunana langkung aman.

Ku desain, éta nawiskeun:

  • Perlindungan sadaya-dina-hiji:Éta ngabantosan ngamankeun karyawan anjeun sareng data, alat sareng sambungan online tina peretas, malware, virus sareng seueur deui kalayan solusi tunggal.
  • Solusi anu tumuwuh sareng bisnis anjeun: Dunungan tiasa manjangkeun panyalindungan ka unggal pagawe, ngajaga data maranéhanana, alat jeung sambungan online kalawan tungtunan husus nu nguatkeun sikep kaamanan maranéhanana.
  • Manajemén basajan sareng dipandu:Perlindungan otomatis sareng panggeuing pas waktosna masihan terang ka dunungan nalika aya anu peryogi perhatian, bahkan dina perjalanan, sadayana ti Konsol Kaamanan.
  • Dukungan nalika anjeun peryogi:Tim ahli kami sayogi ku telepon atanapi ngobrol pikeun ngabantosan setelan atanapi petunjuk nalika aya anu peryogi perhatian.
  • Kinerja anu anjeun pikahoyong: Protéksi ancaman generasi saterusna McAfee ngabantosan ngajaga data sareng alat tina ancaman anu teu dipikanyaho sareng anu teu dipikanyaho sareng ngajaga alat jalan aman sareng lancar.
  • Ahli kaamanan dipercaya: McAfee gaduh pangalaman langkung ti 35 taun ngajagi jutaan jalma sareng alatna di sakuliah dunya kalayan kaamanan anu meunang pangajén anu diakui ku SE Labs, AV-TEST, sareng AV-Comparatives.

Fitur salajengna ngamankeun bisnis anjeun sacara lega sareng jero:

  • Perlindungan alat mastikeun yén sistem operasi anu up to date, alat ditangtayungan sandi, sarta yén file énkripsi iraha jeung dimana mungkin.
  • Protéksi wéb Hindarkeun serangan phishing sareng undeuran malware kalayan peringatan anu jelas ngeunaan situs wéb, tautan sareng file anu picilakaeun.
  • VPN aman tiasa sacara otomatis ngabantosan data anjeun tetep pribadi sareng aman dimana waé karyawan anjeun angkat nganggo enkripsi kelas bank.
  • File Shredder Hapus file perusahaan anu sénsitip sacara lengkep pikeun mastikeun yén teu aya jejak anu tinggaleun dina alat anjeun.
  • Pangimeutan Idéntitas ngabéjaan karyawan lamun inpo pribadi maranéhanana kapanggih dina web poék.

Ieu ngan sababaraha fitur kaamanan nu ditawarkeun, tur anjeun tiasa ningali daptar lengkep dina partnership kami kalawan kaca Dell dieu.

Ku ngajagi bisnis anjeun, anjeun ngajagi palanggan, klien sareng mitra anjeun.

Kajahatan siber gaduh hargana. Saluareun dollar aub, waragad bisa ngajalankeun deeper ti dinya. The downtime sanggeus serangan ngahontal garis handap. Usaha pamulihan anu saatosna ogé dilaksanakeun. Salaku tambahan, usaha tiasa ngalaman karusakan reputasi upami serangan ogé mangaruhan para nasabah, klien sareng mitra.

Ayeuna, shift geus lumangsung. Cybercriminals masih bade sanggeus usaha badag sarta organisasi badag, tapi beuki loba di antarana bade sanggeus usaha kalawan tujuh atawa malah genep angka revenues. Sikep kaamanan anu goréng mangrupikeun salah sahiji alesanana. Anu sanésna nyaéta yén operasi anu rélatif amatir tiasa ngalaksanakeun serangan kalayan alat hacking “siap dianggo” anu aya dina wéb poék.

Pondokna, unggal bisnis nyanghareupan résiko kajahatan cyber ayeuna.

Tapi kalayan panangtayungan anu leres, anjeun tiasa nyingkahan mayar harga kejahatan cyber. Sareng ngenalkeun Perlindungan Usaha McAfee énggal kami ngagampangkeun nalika anjeun peryogi pisan.

Nepangkeun McAfee+

Maling identitas sareng panyalindungan privasi pikeun kahirupan digital anjeun


#Harga #Kajahatan #Siber #Ngajagi #Usaha #anu #Anjeun #Bangun #tina #Peretasan #sareng #Serangan

Oleh Diposting pada

Mangpaat transformasi bisnis digital didokumentasikeun sacara saé: prosés disederhanakeun, skala bisnis langkung gampang, sareng prosés nyiptakeun produk sareng jasa sacara signifikan gancangan. Tapi résiko kaamanan beuki janten halangan utama pikeun transformasi éta, sabab jumlah serangan siber sareng karusakan anu diakibatkeun naék unggal taun. Statistik nunjukkeun yén langkung ti 60% serangan ngalawan perusahaan dimimitian ku maling akun atanapi token aksés. Tambih Deui, seueur pendekatan perusahaan pikeun ngokolakeun sareng kaamanan akun parantos lami – masih ngandelkeun téknologi umur 30 taun. Samentara éta, infrastruktur geus mekar gancang – urang ayeuna boga awan umum, workstations jauh, sarta téknologi lianna nu merenah tapi mindeng teu aman.

Modérnisasi kaamanan akun mangrupikeun salah sahiji léngkah anu paling penting sareng strategis anu anjeun tiasa lakukeun pikeun nyebarkeun poténsi pertumbuhan jangka panjang dina sistem IT perusahaan anjeun. Upami ukuran kabersihan digital dasar – sapertos titik tungtung sareng panyalindungan server sareng kabijakan IT sareng IS ngahijikeun – parantos dilaksanakeun, léngkah logis salajengna nyaéta ngalaksanakeun “kaamanan identitas.”

Prinsip dasar kaamanan identitas

Atur sadaya jinis akun sareng idéntitas. Kadé ngartos yen konsép idéntitas lumaku teu ukur keur rekening pagawe, tapi ogé pikeun server na aplikasi. Di perusahaan modern, jumlah akun non-live sering ngaleuwihan jumlah karyawan. Pendekatan kaamanan identitas komprehensif hartina ngatur token aksés, konci rusiah disimpen dina aplikasi, jeung saterusna.

Bisa dipercaya auténtikasi. Ieu mangrupikeun landasan panyalindungan akun. Pausahaan kedah nerapkeun standar auténtikasi multi-faktor ayeuna anu nganggap tingkat aksés sareng résiko pikeun unggal karyawan, jasa atanapi server.

Otorisasina proporsional sareng terstruktur. Akun anu dioténtikasi kedah dipasihkeun aksés sareng idin anu dipikabutuh sareng cekap pikeun padamelan anu dilaksanakeun, sareng teu langkung. Aksés sareng idin ditangtukeun dumasar kana kawijakan terpusat sareng idéntik pikeun pagawé atanapi jasa anu ngalaksanakeun tugas anu sami. Dina skenario idéal, sajaba prinsip sahenteuna hak husus, Anjeun ogé kudu nerapkeun prinsip timeliness; nyaeta, idin kudu dibikeun pikeun periode luyu waktu sakumaha diperlukeun. Contona, pangurus dibéré aksés tingkat luhur ka server ngan lamun ngalakukeun pangropéa diperlukeun dina server, nu satutasna hak husus maranéhanana otomatis downgraded ka dasar.

Sentralisasi Jeung kamampuhan auditing. Tujuanana nyaéta pikeun sentralisasi database akun sareng ngahijikeun prosés auténtikasi nganggo SSO (single sign-on). Sadaya tahapan auténtikasi sareng otorisasina kedah dirékam sacara saksama, sareng tambihan, perobihan, atanapi ngahapus akun kedah diurus sareng didokumentasikeun sacara saksama. Ieu pisan ngirangan résiko ngalanggar prinsip kaamanan identitas anu sanés. Salaku tambahan, kalayan portal auténtikasi anu dikontrol sareng terpusat, perusahaan tiasa ngadeteksi serangan cyber langkung awal sareng langkung efektif ku ngaidentipikasi anomali khas dina kagiatan hacker.

Nerapkeun kaamanan akun sareng manajemén aksés anu istimewa mangrupikeun léngkah penting dina ngawangun arsitektur kaamanan inpormasi anu teu amanah.

Kaamanan akun tina sudut pandang karyawan

Perlindungan akun anu dirancang kalayan saé henteu ngahesekeun masalah; sabalikna, eta simplifies kahirupan pagawe. Mimiti, aranjeunna nganggo mékanisme login anu sami pikeun kalolobaan jasa perusahaan – naha éta portal file internal, parangkat lunak ngalaporkeun perjalanan bisnis dumasar-awan, atanapi sistem IT anu sanés. Henteu kedah émut seueur kecap konci atanapi ngamimitian énjing anjeun log in kana belasan akun anu béda. Tambih Deui, forgetting Kapercayaan janten pisan kirang masalah. Ieu ngaronjatkeun produktivitas tim sakabéh.

Kadua, sistem auténtikasi dumasar kana profil résiko tiasa ngaganggu pangguna henteu langkung ti anu diperyogikeun. Ieu dasarna ngandung harti yén, sanggeus logging kana sistem perusahaan ti workstation has, karyawan bisa ngagunakeun token hiji-waktos di mimiti poé gawé pikeun muka konci komputer lajeng méakkeun euweuh leuwih waktos on kaamanan pisan. Dina waktos anu sami, usaha pikeun ngalakukeun tindakan anu teu biasa atanapi pamundut pikeun ngaksés inpormasi penting tiasa nyababkeun sababaraha pamariksaan tambahan.

Katilu, kaamanan identitas nyederhanakeun pagawéan jauh sareng kolaborasi sareng kontraktor luar. Nalika kaluar ti kantor, panginten dina alat pribadi, karyawan masih tiasa ngaksés jasa perusahaan numutkeun kabijakan perusahaan. Leres, daptar pariksa sareng tingkat aksés tiasa bénten-béda.

kauntungan kaamanan identitas

Migrasi aman ka méga. Seueur jasa IT perusahaan disayogikeun ngalangkungan jasa awan umum (Microsoft 365, Salesforce) atanapi awan hibrid, sareng aksés kana jasa ieu sering kirang diatur sareng aman tibatan sumber tradisional dina server perusahaan. Pendekatan anu ngahiji pikeun panyalindungan akun dina sadaya jasa IT ngirangan résiko hacking sareng ngagancangkeun nyoko jasa digital anu nguntungkeun perusahaan.

Ningkatkeun produktivitas karyawan. Karyawan henteu kedah ngadamel akun dina sadaya sistem sareng nyéépkeun waktos log in unggal dinten sareng ngarobih kecap konci unggal tilu bulan. Dina skala perusahaan-lega, ieu hartosna tabungan waktos nyata – waktos anu bakal dianggo pikeun padamelan produktif.

Ngurangan beban kerja sareng biaya anu aya hubunganana. Kapisah noteworthy nyaeta pangurangan signifikan dina workload di IT jeung departemén cybersecurity, nu bakal tiasa centrally ngatur sadaya akun tur eureun salempang ngeunaan puluhan rébu kecap akses. Di sababaraha perusahaan, pamundut anu aya hubunganana sareng kecap konci pikeun ngabantosan akun meja dugi ka 40% tina sadaya pamundut ka spesialis IT. Ngalih ka panyalindungan akun terpusat sacara signifikan ngirangan jumlah ieu. Naon deui, gaduh siklus hirup akun standar ngagampangkeun pikeun nyewa, mareuman, atanapi mindahkeun karyawan – idin anu diperyogikeun dipasihkeun sareng ditarik sacara otomatis.

Ngurangan résiko pangaturan. Di seueur nagara, régulator kaamanan inpormasi parantos ngamimitian maksakeun syarat anu ketat dina sistem kaamanan perusahaan – sabagéan kusabab prihatin ngeunaan data pribadi karyawan sareng konsumén. Sistem kaamanan identitas terpusat henteu ngan ukur ngirangan résiko serangan cyber anu suksés, tapi ogé ngajamin yén sadayana di perusahaan taat kana prakték aman anu disatujuan ngeunaan kecap akses, kerja jauh sareng daérah anu sanés. Ku cara éta, anjeun tiasa yakin yén audit dadakan ku régulator moal ngahasilkeun denda anu ageung.


#Kaamanan #identitas #dina #organisasi #Blog #resmi #Kaspersky

Oleh Diposting pada

Mangpaat anu tiasa diturunkeun tina téknologi awan dipromosikeun ka unggal usaha ayeuna – ti toko roti ka bank. Samentara éta, awan komputer geus dimekarkeun ngaliwatan sababaraha hambalan évolusionér, sarta istilah geus ilahar awan ayeuna ngajelaskeun sababaraha pendekatan dasarna béda. Ku sabab éta, masuk akal pikeun milari khusus téknologi awan anu diperyogikeun ku perusahaan, sabaraha biayana, sareng ukuran kaamanan naon anu kedah dilaksanakeun.

kauntungan awan

Sacara umum, téhnologi awan ngandung harti pamakéan sumberdaya komputer tangtu (kapasitas neundeun data, daya komputasi, atawa aplikasi nu tangtu) disebarkeun ti server jauh ngaliwatan internét. Anjeun nganggo solusi awan nalika anjeun ngédit dokumén dina Google Docs, ngaluncurkeun situs dina platform hosting virtual, atanapi ngirim email ngalangkungan Microsoft 365. Awan gaduh kaunggulan konci ieu:

  • Peluncuran gancang aplikasi sareng jasa: Anjeun tiasa ngamimitian nganggo jasa awan ampir langsung tanpa ngagaleuh server atanapi masang aplikasi naon waé.
  • Kalenturan kauangan: Anjeun ngan ukur mayar jasa anu anjeun anggo, tanpa investasi modal.
  • Skalabilitas gampang: Anjeun tiasa ngamutahirkeun kapasitas pangladén anjeun dina sababaraha menit, atanapi gampang malikkeun kana tingkat kinerja sareng harga sateuacana nalika henteu diperyogikeun deui.

Jenis awan: swasta, umum sareng hibrida

Anu awan umum konsép nunjukkeun yén kapasitas komputasi dipiboga ku panyadia komérsial, anu ngajual éta sakedik ka saha waé anu hoyong éta. Upami perusahaan hoyong gaduh sumber komputasi anu berkinerja tinggi sareng kasadiaan bulletproof, atanapi patuh kana syarat lingkungan ngolah data anu ketat, perusahaan tiasa nampi infrastruktur anu dipikabutuh pikeun panggunaan tunggal. Ieu disebut a awan swasta. Server tiasa aya dina perimeter organisasi (di tempatna) pikeun kaamanan nu leuwih gede, atawa diséwakeun ti puseur pangolahan data komérsial (hosted awan swasta). Awan hibrid ngagabungkeun dua pendekatan, nyimpen data sareng ladenan boh di bagian umum atanapi pribadi tina awan gumantung kana pentingna.

SaaS, IaaS, sarta sagala rupa aaS lianna

Sadaya singgetan ditungtungan ku aaS némbongkeun naon disadiakeun salaku jasa. nu pang populerna, SaaSnangtung pikeun software salaku jasa. Sadaya jasa aplikasi populér – kalebet Microsoft 365, Dropbox, Slack, Zoom, sareng Salesforce – nyaéta SaaS. Pamaké mayar solusi anu khusus henteu paduli server sareng aplikasi naon anu aya di tukangeunana atanapi dimana ayana. DBaaS, PaaS Jeung FaaSBiasana dianggo dina pamekaran parangkat lunak, jalanna sami: jasa, ngalangkungan awan, nyayogikeunana DatawaBaksés, Pbentukna lat, Jeung Fminyak suci pikeun aplikasi anyar, masing-masing. Tapi éta saluareun ruang lingkup blogpost ieu.

Di tungtung séjén skala pajeulitna, aya IaaSinfrastruktur salaku layanan. Dina hal ieu, panyadia awan nyadiakeun server atawa peti virtual dimana klien ngajalankeun aplikasi server sorangan. Klién tiasa ngarobih jumlah sareng kapasitas pangladén kalayan ngan ukur sababaraha klik, tapi aranjeunna ogé kedah nyéwa profésional konfigurasi sareng pangropéa sorangan pikeun ngajantenkeun hal-hal.

Pikeun anu resep gaduh server sorangan, tapi henteu hoyong ngawangun pusat ngolah data, aya DCaaSpuseur data salaku layanan. Panyadia nyayogikeun rohangan, penyejukan, sareng infrastruktur rékayasa sanés, tapi komputer fisik milik organisasi klien.

Ladenan SaaS salawasna beroperasi dina awan umum, sedengkeun IaaS tiasa umum, swasta, atanapi hibrida.

Biaya solusi awan

Bari loba deployments awan merlukeun investasi upfront pohara kawates, hiji kudu nengetan ngitung total biaya kapamilikan (TCO) jeung tumuwuh sakumaha workloads naek. Biaya anu kedah dipertimbangkeun kalebet jasa panyadia awan, alat pikeun solusi di tempat, gaji administrator IT sareng pamekar, sareng lisénsi pikeun aplikasi sareng jasa anu aya hubunganana. Awan umum biasana nyayogikeun cara anu murah sareng gancang pikeun nyebarkeun solusi leutik, tapi awan pribadi atanapi hibrida bakal langkung pikaresepeun nalika perusahaan tumbuh.

Résiko solusi awan

Panyadia awan condong ngiklankeun kaamanan salaku salah sahiji kaunggulan luhurna, tapi kaamanan jauh tina sipat alamiah awan. Salaku tambahan, solusi awan ngenalkeun jinis résiko anyar.

Résiko utama: kurangna kasadaran sareng waspada. Pamaké – malah pangurus IT pikeun masalah éta – percanten yén sistem awanna “otomatis” ditangtayungan, sareng sadayana diurus ku panyadia awan; kituna, aranjeunna boro malah mertimbangkeun kaamanan. Nanging, kanyataanna, panyadia awan henteu tiasa ngabéréskeun sababaraha masalah, janten ieu kedah diurus ku organisasi klien. Ieu daptar résiko jasa awan utama:

  • Unggal solusi SaaS/IaaS nampilkeun lusinan – sakapeung malah ratusan atawa rébuan – setélan customizable, sahingga gampang pikeun pangurus nyieun kasalahan, contona, ninggalkeun database penting kabuka ka internét, atawa gagal pikeun meungpeuk aksés ka fungsi husus. Solusi awan ti panyadia anu béda-béda gaduh setélan konfigurasi anu béda – sareng henteu sapinuhna cocog, ku kituna bahkan pangurus anu berpengalaman tiasa sesah pikeun mastikeun integritas kawijakan kaamanan. Masalah salah konfigurasi parantos nanggungjawaban pikeun kalolobaan bocor data profil luhur dina taun-taun ayeuna. masalah ieu relevan pikeun SaaS; jadi keur IaaS/DCaaS.
  • Rincian akun bocor. Kéngingkeun aksés kana inpormasi dina méga gampang – tapi kauntungan ieu janten kalemahan pas kecap konci karyawan anjeun dugi ka tangan aktor ancaman. Aranjeunna tiasa kéngingkeun data akun nganggo phishing, atanapi ku maksa kecap konci anu lemah, atanapi ku ngagunakeun data bocor tina jasa pihak katilu sareng nyobian kecap konci anu bocor sareng akun perusahaan pangguna. Masalah ieu relevan pikeun sagala jinis awan.
  • Masalah hukum. Dina lingkungan awan, éta leuwih hese pikeun minuhan sarat ingetan data légal; contona, henteu nransper data pribadi klien ka luar negeri atanapi ngalaksanakeun ukuran kaamanan anu tangtu di pusat data. Dina sababaraha kasus, teu jelas di nagara mana data disimpen.
  • Ngawaskeun teu cekap. Organisasi sering mendakan yén cybersecurity, kontrol aksés, sareng alat pencegahan bocor data anu aranjeunna anggo dina jaringan kantorna henteu tiasa dianggo dina lingkungan awan. Hasilna, kajadian sistem awan (kaasup log in sareng ngaunduh jumlah data anu ageung) tiasa teu kapendak salami sababaraha minggu atanapi bulan. Sareng masalahna relevan pikeun sagala jinis awan.
  • Bocor data teu kahaja. Pamakéan lalaunan tina fungsi “bagikeun” tiasa ngajantenkeun inpormasi internal tiasa diaksés ku luar.
  • karentanan. Aplikasi server sering kapanggih ngandung kerentanan, sareng panyerang mendakan éta merenah pikeun ngamangpaatkeunana dina lingkungan awan. Kahiji, solusi awan tiasa diaksés via internét, sareng kadua, aranjeunna sering dikonpigurasikeun ku cara anu sami – sahingga gampang pikeun ngayakeun réplikasi serangan anu suksés ngalawan korban anyar. Dina SaaS, sagala kerentanan kudu ditambal ku panyadia, kalawan saeutik atawa euweuh pilihan ditinggalkeun pikeun pamaké. Dina IaaSjasa IT klien ngurus lolobana masalah, sarta aranjeunna kedah pisan gancang on aranjeunna.

Strategi awan anu leres

Pilihan strategi anu paling pas beda-beda gumantung kana ukuran organisasi anjeun, kematangan IT, sareng tujuan. Strategi kudu mertimbangkeun naha hiji sistem IT keur diwangun ti scratch atawa migrasi ti sistem cloudless, naon skala operasi perlu ensured ti dinten kahiji, kumaha carana nampung kaperluan régulator, jeung saterusna. Tong hilap ngarencanakeun ukuran kaamanan anjeun di awal proyék sareng nganggo sistem kaamanan khusus pikeun lingkungan awan.

Ieu tabel ringkesan gancang pikeun ngabantosan anjeun ngira-ngira biaya, pajeulitna sareng résiko:

SaaS IaaS DCaaS
waragad deployment + ++ ++++
Laju skala ++++ +++ ++
IT / waragad rojongan kaamanan informasi + +++ ++++
Waragad dina hal spikes badag dina volume / pamakéan +++++ +++ ++
Ngarojong pajeulitna pikeun spesialis IT + +++ ++++
Kompleksitas dukungan pikeun spesialis kaamanan inpormasi ++ ++++ +++
Tingkat résiko kaamanan inpormasi ++ +++ +++
Panalungtikan ngeunaan insiden kaamanan informasi jeung pajeulitna koréksi ++++ +++ ++


#Awan #umum #sareng #swasta #dibandingkeun #pikeun #résiko #sareng #biaya

Oleh Diposting pada

Urang biasa ngaran ramatloka ditungtungan ku .com, .org, .net, jeung saterusna. Sababaraha taun ka tukang geus katempo ekstensi domain anyar muncul, kayaning .aero, .club jeung sajabana. Ieu katelah domain tingkat luhur (TLDss), sarta daptar, geus lila, boga tambahan anyar occasional. Google ngumumkeun dina Méi yén dalapan domain deui éta sadia, dua di antarana éta ngalelep teu bisa dibédakeun tina ekstensi file populér: .zip jeung .mov. Léngkah ieu dikritik ku para ahli IT sareng infosec, sabab ngan ukur ngajamin kabingungan, penanganan tautan anu pabalatak, sareng pola phishing énggal.

Kumaha galau .zip na .zip

File ZIP sareng MOV parantos aya mangpuluh-puluh taun: .zip mangrupikeun standar arsip de facto, sareng .mov mangrupikeun salah sahiji wadah pidéo anu paling populér. Google ngarahkeun domain MOV sareng ZIP anyar ieu ka teknisi, tapi saleresna sayogi pikeun saha waé sareng pikeun tujuan naon waé.

Ayeuna, ngan ukur kontéks anu tiasa ngabantosan anjeun terang upami ZIP atanapi MOV mangrupikeun halaman wéb atanapi file nalika anjeun mendakan, ucapkeun, update.zip. Nanging, kontéks mangrupikeun hal anu tiasa kahartos ku manusa, sanés komputer, ku kituna rujukan sapertos kitu tiasa nyababkeun masalah dina sagala jinis aplikasi, sapertos Twitter:

Tweets mentioning .zip jeung .mov. file

Tweet nu jelas nujul kana file, tapi Twitter renames file ka link web. Upami aya anu ngadaptarkeun domain test.zip sareng movie.mov, anu ngaklik tautan file tiasa janten korban skéma phishing anu tangtu.

Manggihan salapan bédana.

Panaliti kaamanan mr.d0x mendakan cara anu sanés pikeun ngamangpaatkeun domain .zip pikeun phishing. Téhnik anu dijelaskeun ku anjeunna, anu disebat file-archiver-in-the-browser, ngalibatkeun ngagunakeun situs anu meniru antarmuka utilitas arsip. Pamaké, percanten yén anjeunna muka file .zip, sabenerna dialihkeun ka situs nu ngaranna sarua jeung tinimbang daptar file anjeunna nilik URL nu bisa ngakibatkeun mana. Salaku conto, aranjeunna tiasa nyumputkeun tautan pikeun ngaunduh executable malware, atanapi naroskeun kredensial damel pikeun ngaksés sababaraha dokumén. Dokumén anu sami ogé ngajelaskeun mékanisme ngirim anu pikaresepeun nganggo Windows File Explorer. Upami panyerang tiasa ngayakinkeun korbanna pikeun milarian file .zip anu teu aya, File Explorer bakal otomatis muka situs dina domain anu nami anu sami.

Ancaman phishing nyata, sareng sababaraha .zip situs phishing eksploitasi téma apdet Windows parantos katingal.

Henteu yén ieu pertama kalina urang ningali kabingungan anu sami sareng ieu. Salah sahiji domain aslina, .com, oge extension légal pikeun executables aktip dipaké dina MS-DOS (jeung versi saméméhna tina Windows), bari extension .sh dipaké pikeun Aksara Unix idéntik jeung TLD pikeun Téritori peuntas laut Inggris di. St Héléna, Ascension jeung Tristan da Cunha. Masih, ZIP sareng MOV, anu populer di kalangan pamiarsa anu kirang téknis, nyababkeun masalah poténsial pikeun pangguna sareng pangurus sistem sami. Sanaos anjeun hilap phishing sakedap, kaayaan sapertos anu dijelaskeun dina tweet di luhur tiasa lumangsung dina seueur aplikasi anu otomatis ngolah téks sareng nyorot tautan. Ku alatan éta, iraha waé téks anu ngandung nami file tiasa dirobih janten téks anu ngandung hyperlink ka situs wéb éksternal. Skéma phishing atanapi henteu, ieu tiasa nyababkeun sahenteuna sababaraha kasulitan upami henteu kabingungan. Didatangan financial reports.zip ningali sorangan.

Tips pikeun pamaké

Munculna ZIP sareng domain MOV henteu bakal nyababkeun parobihan drastis dina ékosistem phishing sareng scam online – éta ngan ukur bakal nambihan hiji deui senjata kana arsenal hacker anu parantos masif. Ku alatan éta, tips anti phishing dawam kami tetep unchanged: study link mana wae taliti saméméh ngaklik; Waspada kantétan sareng URL dina email anu henteu diperyogikeun; ulah klik link curiga; sareng pastikeun ngagunakeun kaamanan anu leres dina sadaya alat anjeun – bahkan smartphone sareng Mac.

Tips kanggo pangurus

Sababaraha pamaké sigana teu malire saran di luhur, jadi gumantung kana kumaha organisasi Anjeun beroperasi, Anjeun bisa jadi kudu nyetel aturan kaamanan misah pikeun ngaran domain .zip jeung .mov. Léngkah-léngkah anu mungkin kalebet panyeken tautan anu langkung ketat atanapi bahkan ngahalangan pangguna tina ngadatangan situs wéb dina domain ieu dina komputer perusahaan. Ieu sanés tanpa precedent: domain .bit seueur diblokir sareng laun-laun maot kusabab panyaluran tautan jahat dina 2018-2019.

Kadatangan domain ZIP sareng MOV mangrupikeun alesan anu saé pikeun ngalakukeun – atanapi malikan deui! – pelatihan infosec pikeun pagawé (kalayan fokus kana deteksi phishing).

Kami ngarékoméndasikeun yén pangurus IT nguji sistem bisnis utama naon waé anu ngolah tautan pikeun ningali kumaha nanganan situs wéb .zip sareng .mov, sareng upami pamakean file ZIP dibarengan ku épék anu teu dihoyongkeun. Sistem email, aplikasi olahtalatah instan perusahaan, sareng ladenan babagi file karyawan kedah diawaskeun sacara saksama, sabab ieu mangrupikeun kabingungan anu paling dipikaresep. Fitur nu teu dihoyongkeun, kayaning wangunan link otomatis dumasar kana pola ngaran nu tangtu, bisa ditumpurkeun pikeun ZIP jeung MOV atawa sakabéhna.


#Résiko #kaamanan #tina #domain #.zip #sareng #.mov

Oleh Diposting pada

Nalika ngalaksanakeun sareng ngajaga sistem kaamanan inpormasi perusahaan, masuk akal pikeun ngalibetkeun profésional. Ahli ieu tiasa janten panyadia jasa internal atanapi éksternal – atanapi pamekar solusi anu dipilih. Unggal pendekatan ieu boga pro jeung kontra. Barina ogé, ngalaksanakeun sistem kaamanan inpormasi pikeun bisnis mangrupikeun prosés anu cukup rumit, anu, salian ti pamasangan parangkat lunak sorangan, kalebet fase persiapan sareng operasional di handap ieu:

  1. Analisis résiko kaamanan inpormasi – pikeun ngaidentipikasi aspék anu rentan, meunteun ancaman anu mungkin, sareng ngembangkeun daptar tindakan anu diperyogikeun
  2. Ngembangkeun kawijakan kaamanan pikeun ngatur aksés kana inpormasi sareng mastikeun panyalindungan sareng integritasna
  3. Pamilihan sareng palaksanaan solusi
  4. Pamariksaan périodik tina solusi pikeun mastikeun aranjeunna efektif sareng sasuai sareng sarat ayeuna
  5. Tanggapan kajadian

Usaha ageung bakal ngagaduhan jabatan kaamanan inpormasi pikeun nanganan tugas ieu. Tapi, UKM nyanghareupan pilihan pikeun nyobaan ngagunakeun sistem kaamanan sacara internal atanapi outsourcing ka kontraktor pihak katilu.

Aplikasi di imah

“Di-imah” hartina pagawe dedicated (atawa departemén) jeung kaahlian kaamanan informasi. Pausahaan tiasa nyobian milarian jalma sapertos kitu di pasar atanapi ngalatih aranjeunna nyalira. Kaunggulan jeung kalemahan tina pendekatan ieu nyaéta:

  • + Perusahaan ngatur prosés palatihan, tiasa adaptasi prosésna kana kabutuhan khusus perusahaan, atanapi milarian batur anu gaduh kaahlian anu diperyogikeun
  • + Karyawan internal langkung akrab sareng prosés bisnis internal, ku kituna aranjeunna tiasa nawiskeun solusi anu langkung efektif sareng khusus
  • + Karyawan internal bakal tiasa ngabales langkung gancang kana ancaman sareng masalah
  • + Rahasia perusahaan moal tumiba ka panangan anu salah
  • + Bisa jadi leuwih ongkos-éféktif ti ngagunakeun kaahlian luar, utamana lamun pagawe geus di staf
  • + Latihan bakal ningkatkeun status profésional karyawan, anu tiasa ningkatkeun kasatiaan
  • – Latihan bakal nyandak lila
  • – Éta tiasa langkung mahal pikeun nyéwa ahli turnkey tibatan kontraktor, sareng éta ogé bakal lami
  • – Hiji pagawe dilatih meureun bakal nyaho wewengkon subjek kirang ogé ti profésional infosec ngalaman
  • – Teu aya jaminan yén pangaweruh palaksanaan sapertos kitu bakal mangpaat di hareup; Ieu hususna leres upami hiji pagawe dedicated dibéré ngerjakeun – naon maranéhna bade ngalakukeun sanggeus ngerjakeun?
  • – Hiji pagawe dilatih bisa ninggalkeun, bisi nu anyar jalma atawa kontraktor kudu kapanggih pikeun ngajaga solusi

Pendekatan ieu relevan pikeun usaha anu ngembang atanapi ngarencanakeun pikeun skala, sabab bakal nempatkeun pondasi pikeun masa depan departemen kaamanan inpormasi. Nanging, upami teu aya rencana sapertos kitu, atanapi pertumbuhan henteu ditarjamahkeun kana pangwangunan infrastruktur, teu aya gunana pikeun investasi dina kaahlian profésional anyar.

Aplikasi pihak katilu

Pasar pinuh ku panyadia ladenan maturan solusi turnkey: audits infrastruktur; Palaksanaan sareng pangropéa sistem kaamanan IT. Pro jeung kontra:

  • + Ngirit waktos: henteu kedah ngalatih atanapi milarian saha waé
  • + Kontraktor khusus condong gaduh kaahlian sareng pangalaman dina widang kaamanan inpormasi
  • + Kontraktor tiasa nawiskeun rupa-rupa jasa anu ngalangkungan kamampuan in-house
  • + Pamakéan sumber daya anu langkung éfisién – sadaya masalah ngeunaan palaksanaan diluar sumber
  • + Kurang résiko, ditambah kamampuan pikeun nransferkeun résiko ieu ka kontraktor
  • – Dina jangka panjang, pihak katilu tiasa langkung mahal tibatan internal
  • – Kontraktor bisa jadi teu ngarti prosés bisnis internal, ngarah kana solusi kirang diadaptasi
  • – Kurangna transparansi: Anjeun teu tiasa mastikeun sabaraha kontraktor anu leres-leres terang ngeunaan produk anu diterapkeun
  • – Masalah karusiahan tiasa timbul, sabab kontraktor pihak katilu bakal gaduh aksés kana data anjeun, tapi anjeun moal terang nanaon ngeunaan kawijakan kaamanan internal kontraktor
  • – Pausahaan tiasa janten gumantung kana kontraktor
  • – Anjeun moal gaduh pamahaman lengkep ngeunaan naon anu lumangsung, kalayan kontrol bisnis anu teu cekap dina prosés palaksanaan sareng dukungan

Gemblengna, ngiringan kontraktor mangrupikeun cara anu lumrah sareng umum pikeun nerapkeun sistem kaamanan inpormasi. Biasana, panyadia ladenan ieu damel raket sareng pamekar solusi, disertipikasi, gaduh status pasangan, sareng nyayogikeun jaminan. Aya ogé cara katilu …

Panyebaran vendor

Pendekatan ieu sami sareng anu kadua, bédana nyaéta palaksanaan dilakukeun ku pamekar solusi, anu karyawanna dijamin ngartos jero sareng luar. Anu hartosna:

  • + Teu aya kagumantungan ka pihak katilu: solusina bakal tiasa dianggo salami pamekar tetep aya di pasar
  • + Penjual jaminan langsung ngirangan résiko
  • + Konfigurasi sareng panyebaran produk bakal gancang sareng éfisién
  • + Ngaminimalkeun downtime disababkeun ku konfigurasi lepat sareng waktos set-up anu panjang
  • + Maksimalkeun ngabalikeun investasi dina kaamanan inpormasi, sabab konfigurasi ahli mastikeun yén produkna leres-leres

Kaseueuran UKM bahkan henteu peryogi ahli pihak katilu pikeun hadir di tempat – kapasitas server biasana dumasar kana awan ayeuna, sareng sistem tiasa diawaskeun jarak jauh.

Kami nawiskeun Kaspersky Professional Services — solusi rangkep sorangan pikeun nerapkeun alat kaamanan inpormasi Kaspersky. Ieu ngawengku rupa-rupa layanan: analisis infrastruktur jeung kawijakan aya; ngembangkeun kawijakan jeung ngaleungitkeun kerentanan; palaksanaan solusi sareng perbaikan; rojongan; énkripsi neundeun data. Kaspersky gaduh tim lokal di sakumna dunya anu nyarios basa anjeun sareng gaduh kaahlian anu diperyogikeun. Solusi rangkep kami sampurna pikeun SMB, sabab ngirangan beban dina jurusan IT atanapi ngaleungitkeun kabutuhan administrator sistem full-time.


#Kumaha #nerapkeun #solusi #kaamanan #dina #usaha #pertengahan #ukuran

  • 1
  • 2