Как защитить бизнес от кражи данных

30 нояб 2020 02:40 #98217 от ICT
Когда дело доходит до бизнеса, защита данных и конфиденциальной информации является ключевым моментом в онлайн-пространстве. Пандемия внесла свои коррективы, и все, кто не был представлен в онлайне еще в марте, к сентябрю уже перешли в диджитал. Вопрос защиты бизнеса от кражи данных был актуальным всегда, но сейчас, ввиду все возрастающей необходимости использования цифровой публичной инфраструктуры, он находится в центре внимания. Особенно безопасность волнует недавно прибывших в онлайн предпринимателей и компании. О том, как защитить бизнес от кражи данных, рассказал CEO компании is*hosting Александр Свадковский. SSL(TLS) шифрование Одна из самых распространенных и основных мер, к которым может прибегнуть бизнес для защиты своих онлайн-каналов, — это использование SSL-сертификата.Это цифровая подпись сайта, которая обеспечивает шифрованное соединение между пользователем и сайтом. С помощью этого сертификата подтверждается подлинность сайта — пользователь может проверить, какой компании на самом деле принадлежит ресурс, а также шифруются сами запросы клиент-сервера. Этот сертификат предоставляют удостоверенные центры сертификации, но его можно заказать и через вашего хостинг провайдера: обычно это проще, а иногда еще и дешевле. К тому же, с точки зрения маркетинга, сайты с SSL шифрованием имеют приоритет у поисковых систем и доверие у пользователей. Безопасный хостинг Следующая мера — использование надежного хостинга. В сущности веб-хостинг позволяет отдельным лицам и организациям делать свои веб-сайты доступными в сети. Надежные службы хостинга должны регулярно обновлять системное ПО на своих серверах, имеют встроенные меры безопасности, например, анализ и автоматическое отсечение подозрительного (вредоносного) трафика. Одним из важных критериев при выборе хостинга должен быть квалифицированный персонал. Ведь профильные специалисты правильно настроят сервера, хостинг-окружение и панели доступа, всегда будут на связи и помогут оперативно решить технические вопросы. Актуальные плагины, библиотеки, фреймворки и CMS Компании также должны использовать проверенные плагины, библиотеки, фреймворки, CMS и сторонние модули, так как более известные и популярные продукты подвергаются более тщательному анализу с точки зрения безопасности кода. Помимо того важно постоянно обновлять их до последних релизных версий, поскольку обновления зачастую содержат в себе исправления известных уязвимостей. Поддержание этих инструментов в актуальном состоянии так же важно, как использование фильтрации трафика, межсетевых экранов, надежных паролей и тд. Автоматизированная защита от наиболее популярных атак Важным пунктом является применение методов защиты от SQL-инъекций и XSS-атак, которые напрямую угрожают защищенности данных пользователей, а также обеспечение ведения логов доступа к ресурсу и мониторинг событий безопасности. Существуют готовые инструменты, которые обеспечат базовую защиту от типичных атак, например "mod_security". Они более детально анализируют трафик и позволяют отказывать в обслуживании подозрительным и вредоносным запросам. Лог файлы позволяют веб-мастерам отслеживать все действия на ресурсе и оперативно выявлять любые подозрительные действия. Шифрование данных и резервных копий Не стоит забывать делать регулярные резервные копии веб-сайта и всех важных данных, чтобы минимизировать потери в случае компрометации и (или) их удаления. Резервные копии помогут не только восстановить данные в случае их потери, но и найти различия между актуальной версией данных и версией до взлома, что поможет более точно определить способ взлома. Резервное копирование — это базовое правило для отказоустойчивой и безопасной работы сервиса. Шифрование резервных копий — еще одна важная задача, поскольку иногда бывает намного проще получить доступ к резервным копиям, чем к реальному сайту. Если они зашифрованы, они станут дополнительным барьером для хакера. Для усложнения доступа к резервным копиям самым оптимальным решением будет совместить шифрование и отсутствие публичного доступа к ним. Для таких целей вполне могут использоваться решения в виде приватных подсетей, списков контроля доступа и межсетевых экранов. Пароли и двухфакторная авторизация Говоря о паролях, компании всегда должны отслеживать, чтобы пароли периодически менялись, были достаточно сложные. Также не лишним будет применять защиту от дублирования паролей. Если помимо паролей есть еще возможность внедрения двухфакторной авторизации, ее так же крайне желательно использовать. Еще одна полезная практика — использование систем для хранения и управления "секретами", паролями и другими конфиденциальными данными. Hashicorp Vault — это хороший пример такой системы: она обеспечивает надежное хранение и управление секретными данными. Для доступа к инфраструктуре также предпочтительно использовать доступ по ключам, так как они менее уязвимы ко взлому, в частности к атакам по перебору паролей. Защита доступа к административным панелям Если у веб-сайта есть административная панель, неплохой идеей будет изменить адрес входа по умолчанию и обеспечить контроль доступа (а также добавить двухфакторную авторизацию, при наличии). Хотя это может показаться очевидным, многие веб-мастера игнорируют это общее правило и поэтому оставляют свои административные панели практически открытыми для атак. Использование продуктов knocker или fail2ban для защиты доступа к панелям администрирования и каналам управления, например, SSH, должно быть скорее правилом, чем исключением, поскольку панель администратора зачастую позволяет получить доступ как к возможности управления инфраструктурой в целом, так и обеспечить доступность к данным в частности. Выводы Защита цифровой инфраструктуры играет ключевую роль для бизнеса во всем мире, где киберпреступность выросла на 600% в 2020 году, согласно отчету PurpleSec. И выполнения некоторых простых рекомендаций вполне может быть достаточно, чтобы минимизировать риски и обезопасить себя от таких опасных и неприятных ситуаций, как кража данных. Ссылка на источник


  • Сообщений: 75474

  • Пол: Не указан
  • Дата рождения: Неизвестно
  • Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

    Похожие статьи

    ТемаРелевантностьДата
    Терминалы Galileosky помогут защитить сотни тысяч тонн зерна от кражи13.96Среда, 17 февраля 2021
    Intel, Qualcomm, Google просят Трампа защитить их бизнес от Китая11.36Среда, 11 января 2017
    В 2014 г. участились кражи конфиденциальных данных из организаций11.16Среда, 24 декабря 2014
    Во флагманских смартфонах LG нашли две «дыры» для кражи данных11.16Понедельник, 14 мая 2018
    Геномную информацию предложили защитить законом "О персональных данных"11.1Понедельник, 07 января 2019
    Девять правил, которые защитят от кражи персональных данных11.04Четверг, 28 января 2021
    Eset обнаружила в Google Play приложения для кражи банковских данных10.92Пятница, 27 июля 2018
    Какие способы используют мошенники для кражи данных в онлайн-банках10.92Вторник, 27 апреля 2021
    Мошенники придумали новый способ кражи данных через «Госуслуги»10.92Четверг, 09 сентября 2021
    «Яндекс.Браузер» обзавелся защитой от фишинга, вредоносных сайтов и кражи данных10.81Четверг, 17 сентября 2015

    Мы в соц. сетях