Как знают постоянные читатели TechCrunch, 2024 год, как и предыдущие годы, был полон утечек данных, атак с использованием программ-вымогателей и массовых взломов с использованием некоторых из самых тривиальных уязвимостей программного обеспечения. Даже самые обеспеченные ресурсами организации не смогли удержать хакеров от доступа к своим системам за последние двенадцать месяцев. В AT&T произошло второе массовое нарушение в году, на этот раз затронувшее «почти всех клиентов»; Компания Ticketmaster якобы украла 560 миллионов записей в результате взлома гиганта облачных хранилищ Snowflake; а гигант медицинского страхования Change Healthcare пострадал от команды вымогателей, которая получила доступ к конфиденциальным медицинским данным как минимум трети всех американцев.
Ваш стартап не постигнет та же участь в 2025 году. Некоторые из самых простых вещей в области безопасности могут помочь сдержать злонамеренных хакеров.
Вот несколько простых, но эффективных! — решения по кибербезопасности, которые вам следует принять в преддверии нового года.
Надежно храните пароли вашей компании
Менеджеры паролей надежно хранят все пароли вашей компании, поэтому вашим сотрудникам не придется беспокоиться о их запоминании. Менеджеры паролей также помогают создавать и сохранять уникальные и сложные пароли для всех ваших учетных записей. Это может помочь предотвратить вторжение в учетную запись, вызванное повторным использованием пароля, когда хакеры используют в своих интересах людей, использующих одно и то же имя пользователя и пароль в различных учетных записях в Интернете. Как только один пароль будет скомпрометирован, хакеры смогут получить доступ к другим учетным записям этого человека, используя тот же пароль. Некоторые компании вообще отказываются от паролей и полагаются на ключи доступа, устойчивые к фишинговым атакам, и другие технологии без пароля.
Внедрить многофакторную аутентификацию
Сами по себе пароли недостаточны для защиты ваших самых важных учетных записей от вредоносных угроз. В 2024 году хакеры украли не менее 1 миллиарда личных записей, чему во многом способствовало использование украденных учетных данных корпоративных учетных записей, которые остались незащищенными многофакторной аутентификацией.
MFA, функция безопасности, которая требует от пользователей предоставления дополнительного кода, помимо пароля, при входе в систему, значительно усложняет взлом онлайн-аккаунтов киберпреступникам. В случае с гигантом облачных вычислений Snowflake обязательное использование MFA могло бы предотвратить кражу конфиденциальных данных у AT&T и более сотни других корпоративных клиентов парой хакеров.
Большинство специалистов по безопасности рекомендуют использовать приложения-аутентификаторы, которые генерируют коды входа на устройстве, а не коды, отправляемые в текстовых SMS-сообщениях, которые в некоторых случаях могут быть перехвачены.
Поддерживайте свое программное обеспечение в актуальном состоянии
Некоторые из наиболее разрушительных нарушений 2024 года были вызваны многолетней проблемой: неисправленными уязвимостями в стороннем программном обеспечении. Одной из крупных целей хакеров в последние годы являются инструменты управляемой передачи файлов — программное обеспечение, используемое крупными компаниями и предприятиями для передачи зачастую больших файлов данных через Интернет. Некоторые продукты для передачи файлов и другие корпоративные технологии существуют уже много лет (или дольше) и нацелены на их склонность к хранению большого количества конфиденциальных данных компании.
Хотя некоторые ошибки используются как уязвимости нулевого дня (уязвимость, которая обнаруживается до того, как будет доступен патч), лучшее, что могут сделать компании, — это обеспечить актуальность вашего внутреннего программного обеспечения и как можно скорее установить исправления безопасности. .
Резервное копирование данных вашей компании
В 2024 году атаки программ-вымогателей стали еще одним рекордным годом: компании платили хакерам огромные суммы денег, чтобы вернуть свои данные (и предотвратить их утечку в Интернет). Регулярное резервное копирование данных вашей компании является важной линией защиты от шифрования данных и атак с целью кражи данных. Резервные копии также могут стать целью хакеров из-за их способности помочь жертвам эффективно восстановить свои бизнес-операции без значительной потери данных. Зашифрованные внешние резервные копии могут помочь в случае сбоев в безопасности или данных.
Перестань брать трубку
В то время как хакеры в течение многих лет полагались на приманки по электронной почте, наполненные вредоносным ПО, в качестве своего предпочтительного оружия против ничего не подозревающих жертв, некоторые хакерские группы обращаются к мошенническим телефонным звонкам в качестве основного способа взлома организаций. Сообщается, что единственный телефонный звонок в службу ИТ-поддержки гиганта казино и отелей MGM, как сообщается, привел к масштабному взлому в 2023 году, который стоил гиганту развлечений как минимум 100 миллионов долларов. Как прекрасно пишет здесь Зак Уиттакер из TechCrunch: всегда скептически относитесь к неожиданным звонкам, даже если они исходят от вполне законного контакта, и никогда не делитесь конфиденциальной информацией по телефону, предварительно не проверив ее с помощью другого средства связи.
Будьте прозрачными
Даже если вы все сделаете правильно, нет никаких гарантий, что ваш стартап не станет мишенью. Стартапы являются основной мишенью для хакеров из-за их ограниченных ресурсов по сравнению с более крупными компаниями. Если ваша компания стала жертвой кибератаки, откровенное сообщение об инциденте может существенно повлиять на результаты. Прозрачность может помочь вашим клиентам предпринять любые необходимые действия, а обмен информацией может помочь другим защититься от подобных атак в будущем.
Сохранение утечки данных в тайне не только может нанести репутационный ущерб и потенциально стоить вам значительных штрафов, но также может дать вам место в ежегодном обзоре TechCrunch «плохо обработанных нарушений».
