Video: Choosing a Stack For Your Web Application (Svibanj 2024)
Zločin se isplaćuje, a pisanje zlonamjernog softvera isplati se na veliko, Trustwave je u svom novom izvješću izračunao povrat ulaganja (ROI) na kibernetičku kriminalitet.
Prosječni povrat napada korporativnog zlonamjernog softvera - stvaranje i distribucija zlonamjernog softvera - bio je zapanjujućih 1, 425 posto, otkrio je Trustwave. To je preko 70.000 USD prihoda za svakih 5000 uloženih dolara. Za usporedbu, standardni štedni račun umrežit će vam nešto više od 1 posto - čak je S&P 500 od 1985. u prosjeku dobivao u prosjeku 8, 5 posto godišnje.
Imajte na umu da ovo nije jednostavno istraživanje, ispitivanje administratora sigurnosti IT-a o njihovim iskustvima i pravilima. Podaci su izvučeni iz vlastitih istraga Trustwavea o gotovo 600 kršenja podataka u 15 različitih zemalja tijekom protekle godine.
Izvještaj Trustwave kroničio je "mračno i silovito zločinačko podzemlje" i bitno je čitanje za sve koji se bave internetskom sigurnošću. Pomiješa šokantno - 1.452 posto ROI-a - s depresivno predvidljivim - Lozinkom1234, bilo tko? Evo nekoliko važnih nalaza i preuzimanja iz izvješća:
12345 je loša lozinka
Prema Trustwaveu, najpopularnija lozinka koja je korištena prošle godine bila je Password1. Iako su problemi s lozinkama poput abcd1234 i Password1 očigledni, izvještaj je također naglasio važnost izbjegavanja lozinki s 8 znakova, bez obzira koliko složeni.
U prosjeku, zaštitni tim Trustwave-a uspio je provaliti zaporku od 8 znakova u jednom danu. Povećanje od samo dva znaka gurnulo je tim na nevjerojatnih 591 dan - gotovo cijelu godinu sigurnosti po dodatnom znaku.
Nažalost, većini računa zaposlenika koje je proučavao Trustwave trebalo je daleko manje vremena za postizanje kompromisa. U 2014. godini slabe lozinke povezane su sa slabom sigurnošću udaljenog pristupa kao ranjivost broj jedan koju iskorištavaju kriminalci. Zajedno, dvije sigurnosne točke uzrokovale su nevjerojatnih 94 posto kršenja POS-a.
Za borbu protiv ranjivosti lozinke Trustwave je preporučio omogućavanje dvofaktorske provjere autentičnosti koja kombinira "nešto što znate" (lozinku) s "nečim što posjedujete" (npr. Telefon) kako bi povećala sigurnost. Ako ova tehnika nije dostupna, složene, nasumične lozinke od 10 znakova ili više pružit će najbolji međuspremnik protiv provale.
Slaba sigurnost aplikacija
Iako je ljudska raširena bila raširena, Trustwave nije imao problema u pronalaženju nedostataka u poslovnom softveru. Nevjerojatno je da je medijan broja ranjivosti u testiranim aplikacijama zapravo porastao više od 40 posto na godinu, a punih 98 posto testiranih aplikacija imalo je barem jednu ranjivost. Maksimalni broj koji se nalazi u jednoj aplikaciji? Sedamsto četrdeset i sedam.
Ključni odvod? Pobrinite se da se softver vašeg poduzeća stalno ažurira. Opasnost se može umanjiti uvijek instaliranjem najnovijih zakrpa.
DIY otkrivanje kršenja
Trustwave je također naglasio važnost samootkrivanja i kršenja podataka. Ako je organizacija otkrila svoje kršenje zakona, vrijeme između upada i obuzdavanja bilo je u prosjeku nešto više od dva tjedna. Međutim, kada je treća strana otkrila proboj, propušteno vrijeme bilo je punih 154 dana. Odobreno, to ima intuitivan smisao, ali nalazi ističu rizik pretjeranog oslanjanja na vanjske menadžere sigurnosti.
Trebate osigurati da imate procese i sustave za kontinuirano ocjenjivanje i nadgledanje vašeg okoliša kako biste brže pronašli probleme.
Sve neželjene pošte
Iako često sumorno, izvješće Trustwave imalo je dobre vijesti. U 2008. godini neželjena pošta činila je preko 90 posto sve dolazne pošte, ali u 2013. ta ista brojka pala je na samo 69 posto. Trend se nastavio i u 2014. godini, jer je ukupan broj spama ponovno opao, na samo 60 posto. Nažalost, ovaj pad vjerovatno ima manje veze s odbacivanjem neželjene pošte i okretanjem legitimnim aktivnostima, a više s padom relativne profitabilnosti neželjene pošte u odnosu na druge kriminalne aktivnosti.
Izvještaj o Trustwaveu vrhunac je daljnjih uvida i preporuka. Na 110 stranica pokriva sve, od podataka o transakcijama e-trgovine do kršenja web-poslužitelja, i razgrađuje podatke u jednostavne infografike. No, za sve ove podatke, najkritičniji pojedinačni savjet izvješća je jednostavan i bitan kao i uvijek: popravite te lozinke.
