Незважаючи на те, що вже четвертий день 4 року, деякі з важливих історій безпеки ІТ/системного адміністратора/X-Ops святкового сезону з’являються в головних новинах лише зараз.
Тож ми вирішили швидко озирнутися на деякі основні проблеми, які ми висвітлювали протягом останніх кількох тижнів, і (щоб ви не могли звинуватити нас у тому, що ми викрали новорічний список!) повторити серйозні уроки безпеки ми можемо навчитися у них.
ЦЕ ОСТАННЯ КРАПЛЯ В LASSPASS?
Уроки для вивчення:
- Будь об’єктивним. Якщо ви коли-небудь застрягли в сповіщенні про порушення даних, не намагайтеся переписати історію на свою маркетингову користь. Якщо є частини атаки, які ви відбили на перевалі, обов’язково скажіть це, але будьте обережні, щоб ні в якому разі не звучати самовихвально.
- Будь повним. Це не означає довгостроковість. Насправді у вас може бути недостатньо інформації, щоб сказати багато чого. «Повнота» може включати короткі заяви на зразок «Ми ще не знаємо». Спробуйте передбачити запитання, які, ймовірно, зададуть клієнти, і завчасно відповідайте на них, а не створюйте враження, що ви намагаєтеся їх уникнути.
- Сподівайся на краще, але готуйся до гіршого. Якщо ви отримали сповіщення про порушення безпеки даних і є очевидні речі, які ви можете зробити, що покращить як вашу теоретичну безпеку, так і ваш практичний спокій (наприклад, зміна всіх ваших паролів), спробуйте знайти час для цього. Про всяк випадок.
КРИПТОГРАФІЯ НЕОБХІДНА – І ЦЕ ЗАКОН
Уроки для вивчення:
- Криптографія має важливе значення для національної безпеки та функціонування економіки. Це офіційно – цей текст міститься в Акті, який Конгрес щойно прийняв як закон США. Згадайте ці слова, коли наступного разу ви почуєте, як хтось із будь-якої сфери суспільства стверджує, що нам потрібні «чорні двері», «лазівки» та інші обхідні засоби безпеки, вбудовані в системи шифрування навмисно. Backdoors це жахлива ідея.
- Програмне забезпечення має бути створено та використано з криптографічною гнучкістю. Нам потрібно легко запровадити надійніше шифрування. Але ми також повинні мати можливість швидко піти на пенсію та замінити незахищену криптографію. Це може означати активні заміни, тому ми сьогодні не шифруємо секрети, які можуть стати легко зламаними в майбутньому, хоча вони все ще мають бути секретними.
МИ ВКРАЛИ ВАШІ ПРИВАТНІ КЛЮЧІ – АЛЕ МИ ЦЕ МАЛИ НА УМІ, ЧЕСНО!
Уроки для вивчення:
- Ви повинні володіти всім ланцюгом постачання програмного забезпечення. PyTorch зазнав атаки через репозиторій спільноти, який був отруєний зловмисним програмним забезпеченням, яке ненавмисно перекривало неінфікований код, вбудований у сам PyTorch. (Команда PyTorch швидко попрацювала зі спільнотою, щоб скасувати це скасування, незважаючи на святковий сезон.)
- Кіберзлочинці можуть викрадати дані несподіваними способами. Переконайтеся, що ваші інструменти моніторингу загроз стежать навіть за малоймовірними маршрутами з вашої організації. Ці шахраї використовували DNS-запити з «іменами серверів», які насправді були викраденими даними.
- Не переймайтеся виправданнями кіберзлочинності. Очевидно, зловмисники в цій справі тепер стверджують, що вони вкрали особисті дані, включно з особистими ключами, з «дослідницьких міркувань» і кажуть, що зараз видалили викрадені дані. По-перше, немає підстав їм вірити. По-друге, вони надіслали дані, щоб будь-хто на вашому мережевому шляху, який бачив або зберіг копію, міг її розшифрувати.
КОЛИ ШВИДКІСТЬ ПЕРЕВАЖАЄ БЕЗПЕКУ
Уроки для вивчення:
- Запобігання загрозам полягає не лише у пошуку шкідливих програм. XDR (розширене виявлення та реагування) також потрібно знати, що у вас є та де це використовується, щоб ви могли швидко й точно оцінити ризики вразливості системи безпеки. Як каже старий трюїзм, «Якщо ви не можете це виміряти, ви не можете цим керувати».
- Продуктивність і кібербезпека часто суперечать один одному. Ця помилка стосується лише користувачів Linux, чия рішучість прискорити роботу мережі Windows спонукала їх застосувати її безпосередньо в ядрі, що неминуче додало додаткового ризику. Коли ви налаштовуєте швидкість, перш ніж щось змінювати, переконайтеся, що вам справді потрібні покращення, і переконайтеся, що ви дійсно отримуєте справжню користь після цього. Якщо сумніваєтеся, залиште це.
ЗАПОБІГАННЯ КІБЕРЗЛОЧИННОСТЯМ ТА РЕАГУВАННЯ НА ІНЦИДЕТИ
Для фантастичного огляду обох запобігання кіберзлочинам та реагування на інциденти, слухайте наші останні святкові подкасти, де наші експерти щедро діляться своїми знаннями та порадами:
Натисніть і перетягніть звукові хвилі нижче, щоб перейти до будь-якої точки. Ви також можете слухати безпосередньо на Soundcloud.
Натисніть і перетягніть звукові хвилі нижче, щоб перейти до будь-якої точки. Ви також можете слухати безпосередньо на Soundcloud.
- Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
- Платоблокчейн. Web3 Metaverse Intelligence. Розширені знання. Доступ тут.
- джерело: https://nakedsecurity.sophos.com/2023/01/04/serious-security-vital-cybersecurity-lessons-from-the-holiday-season/
- 2023
- a
- Здатний
- МЕНЮ
- точно
- Діяти
- насправді
- Додатковий
- Перевага
- рада
- ВСІ
- вже
- та
- передбачити
- будь
- атака
- автор
- назад
- бекдори
- ставати
- перед тим
- буття
- Вірити
- нижче
- користь
- КРАЩЕ
- порушення
- Помилка
- будувати
- побудований
- який
- випадок
- ланцюг
- заміна
- код
- співтовариство
- повний
- конфлікт
- Конгрес
- може
- Пара
- покритий
- Круки
- криптографічні
- криптографія
- Клієнти
- кіберзлочинності
- Кібербезпека
- дані
- Дані порушення
- день
- Незважаючи на
- Виявлення
- визначення
- DNS
- Ні
- справи
- Не знаю
- сумніваюся
- легко
- економіка
- шифрування
- досить
- Весь
- істотний
- Навіть
- НІКОЛИ
- experts
- очей
- фантастичний
- знайти
- виявлення
- від
- функціонування
- майбутнє
- дає
- очолював
- історія
- свято
- HTTPS
- здійснювати
- важливо
- удосконалювати
- поліпшення
- in
- інцидент
- включати
- У тому числі
- інформація
- вводити
- питання
- IT
- сам
- тримати
- ключі
- Знати
- Знання
- знання
- останній
- останній
- закон
- УЧИТЬСЯ
- Залишати
- Уроки
- життя
- Ймовірно
- Linux
- подивитися
- Mainstream
- основний
- основні питання
- зробити
- Робить
- шкідливих програм
- управляти
- Маркетинг
- засоби
- вимір
- може бути
- mind
- моніторинг
- National
- національна безпека
- Необхідність
- мережу
- мережа
- Нові
- новини
- наступний
- сповіщення
- мета
- Очевидний
- офіційний
- Старий
- організація
- Інше
- огляд
- власний
- частини
- Пройшов
- Паролі
- шлях
- Пол
- персонал
- особисті дані
- plato
- Інформація про дані Платона
- PlatoData
- подкасти
- точка
- Пости
- Практичний
- Готувати
- Попередження
- приватний
- Приватні ключі
- мета
- піторх
- питань
- Швидко
- швидко
- причина
- отримати
- запам'ятати
- замінювати
- Сховище
- Risk
- маршрути
- Сезон
- секрет
- безпеку
- серйозний
- Поділитись
- So
- Софтвер
- деякі
- Звучати
- швидкість
- заяви
- Як і раніше
- вкрав
- вкрали
- історії
- більш сильний
- такі
- поставка
- ланцюжка поставок
- передбачуваний
- Systems
- Приймати
- команда
- Команда
- Майбутнє
- їх
- теоретичний
- речі
- загроза
- час
- до
- сьогодні
- інструменти
- Unexpected
- URL
- us
- використання
- користувачі
- через
- життєво важливий
- Уразливості
- способи
- тижня
- Що
- в той час як
- ВООЗ
- волі
- windows
- слова
- працював
- найгірше
- XDR
- рік
- вашу
- зефірнет