A kiberbiztonsági tudatosság hónapja 2023

20 éves a kiberbiztonsági tudatosság hónapja

2023 októberében 20 éves a Kiberbiztonsági tudatosság hónapja, amely hónap célja, hogy felhívja a figyelmet a digitális biztonságra, és mindenkit képessé tegyen arra, hogy megvédje személyes adatait a digitális bűnözés formáitól.

Idén a kormányzati vezetők és az iparági vezetők azt vizsgálják, hogy milyen messzire jutottunk az elmúlt 20 évben, és merre kell haladnunk a digitális jövőnk biztonsága érdekében.

Olvassa el blogunkat: A sikeres 20 éves partnerség kulcstényezői: Exclusive Networks és a Fortinet megosztja titkát

A digitális infrastruktúra globális kiberbiztonsági specialistájaként az Exclusive Networks elkötelezett a teljesen megbízható digitális világra való átállás felgyorsítása mellett. Továbbra is együttműködünk szállítóinkkal és partnereinkkel a technológia biztonsága, a kritikus infrastruktúra védelme és a kiberbiztonsági szakmák közötti szakadék áthidalása érdekében, élvonalbeli megoldások, szolgáltatások és képzések révén , hogy világunkat felvértezzük a jövő kritikusan szükséges kibervédelmezőivel. Ez magában foglalja az Exclusive Academy kezdeményezésünket, egy speciális képzési programot, amely fiatal tehetségek bevonására szolgál, és gyakorlati tereptapasztalatot, valamint elméleti képzést nyújt az Exclusive Networks szakértőitől.

Örömmel állunk hivatalosan is a 2023-as kiberbiztonsági tudatossági hónap élére.

Az idei Kiberbiztonsági tudatosság hónapja a következő négy kulcsfontosságú kiberbiztonsági magatartásformát népszerűsíti, amelyeket úgy alakítottunk ki, hogy egyszerűek és megvalósíthatóak legyenek mind az egyének, mind a vállalkozások számára:

1. Erős jelszavak létrehozása és jelszókezelő használata
2. Többfaktoros hitelesítés lehetővé tétele
3. Frissítse szoftvereit
4. Ismerje fel és jelentse az adathalászkísérleteket

Bár számos módon segítjük partnereinket és ügyfeleiket adataik védelmében, e néhány egyszerű lépés betartása nagyban hozzájárulhat ahhoz, hogy mindenki biztonságban maradjon az interneten.

Hozzon létre erős jelszavakat és használjon jelszókezelőt

A gyenge vagy ellopott jelszavak felelősek az adatvédelmi incidensek 81%-áért. Gondolná, hogy a 2023-ban leggyakrabban használt jelszavak még mindig a "123456789" és a "password"? A kiberbűnözők egy gyenge vagy könnyen kitalálható jelszót órákon belül feltörhetnek. Az összetettebb, "erős" jelszavak megfejtése viszont több mint egy emberöltőbe telhet.

A Microsoft meghatározása szerint az erős jelszó a következő:

• Legalább 12 karakter hosszú, de a 14 vagy annál több karakter jobb.
• Nagybetűk, kisbetűk, számok és szimbólumok kombinációja.
• Nem olyan szó, amely megtalálható a szótárban, vagy egy személy, karakter, termék vagy szervezet neve.
• Jelentősen különbözik a korábbi jelszavaktól - az ellopott jelszavakat gyakran megosztják az interneten, hogy más kiberbűnözők is felhasználhassák.
• Ön számára könnyen megjegyezhető, de mások számára nehezen kitalálható, pl. egy olyan megjegyezhető kifejezés, mint a "6MonkeysRLooking^".

A fiókok és eszközök biztonsága érdekében soha ne ossza meg a felhasználóneveket vagy jelszavakat senkivel, és kerülje azok leírását. Tekintettel arra, hogy egy átlagos felhasználónak 27 különböző munkahelyi alkalmazása van, amelyeket hitelesíteni kell, egy jelszókezelő nagy segítség lehet, ha sok fiókkal rendelkezik, és nehezére esik megjegyezni a több jelszót. Sok jelszókezelő automatikusan frissíti a tárolt jelszavakat, titkosítva tartja azokat, és a hozzáféréshez többfaktoros hitelesítést igényel.

A rossz jelszóhigiénia jelentette kockázatok miatt sok vállalkozás mostanában a jelszó nélküli hitelesítés felé fordul.

További információ a Thales FIDO2 jelszó nélküli eszközökről

Bővebben

Többfaktoros hitelesítés engedélyezése

A többtényezős hitelesítés (MFA) a jelszavak mellett egy további biztonsági réteget biztosít, hogy megakadályozza, hogy a jogosulatlan felhasználók hozzáférjenek a fiókokhoz és eszközökhöz, még akkor is, ha a jelszót kitalálták vagy ellopták. A bejelentkezéshez egynél többféle hitelesítő adatot igényel. Az MFA többféle formában létezik, amelyek mindegyike biztosítja, hogy csak Ön az egyetlen személy, aki hozzáférhet a fiókjához.

Az MFA módszerek közé tartoznak:

• Valami, amit ismersz: Jelszavak, PIN-kódok és biztonsági kérdések
• Valami, amivel rendelkezik: Hardver vagy szoftver tokenek, tanúsítványok, e-mail, SMS és telefonhívás.
• Valami, ami vagy: Ujjlenyomatok, arcfelismerés, írisz- és kézlenyomat-beolvasás.
• Az Ön tartózkodási helye: Forrás IP-tartományok és földrajzi helymeghatározás

A felhő, a mobileszközök és a kiterjesztett ellátási láncok fokozott használata arra készteti a szervezeteket, hogy erős MFA-megoldásokat keressenek. A fenti módszerek különböző technológiákon alapulnak, amelyek közül a legjelentősebbek az egyszer használatos jelszavak (OTP) és a nyilvános kulcsú infrastruktúra (PKI). A Thales szerint ezek a technológiák a következőképpen működnek.

Az OTP-k a "szimmetrikus" hitelesítés egyik formája, ahol az egyszeri jelszót egyszerre két helyen generálják - a hitelesítési kiszolgálón és az Ön birtokában lévő hardveres vagy szoftveres tokenen. Ha a token által generált OTP megegyezik a hitelesítési kiszolgáló által generált OTP-vel, akkor a hitelesítés sikeres, és Ön megkapja a hozzáférést.

A PKI-hitelesítés az "aszimmetrikus" hitelesítés egyik formája, mivel egy pár különböző titkosítási kulcsra támaszkodik - nevezetesen egy magán titkosítási kulcsra és egy nyilvános titkosítási kulcsra. A hardveres PKI-tanúsítvány-alapú tokenek, például az intelligens kártyák és az USB-tokenek arra szolgálnak, hogy biztonságosan tárolják a titkos, privát titkosítási kulcsot. Amikor Ön például hitelesíti magát a szervezet hálózati szerverén, a szerver egy numerikus "kihívást" bocsát ki. Ezt a kihívást az Ön titkos titkosítási kulcsával írja alá. Ha az aláírt kihívás és az Ön (a hálózati szerver által ismert) nyilvános titkosítási kulcsa között matematikai megfelelés, azaz "egyezés" van, akkor a hitelesítés sikeres, és Ön hozzáférhet a hálózathoz.

A nyilvános kulcsú kriptográfiáról többet megtudhat a The Science of Secrecy (A titoktartás tudománya) című filmből Simon Singh segítségével.

Nézze meg itt

Frissítse szoftverét

Sok felhasználó azt feltételezi, hogy a szoftverfrissítéseket azért adják ki, hogy új termékfunkciókat vezessenek be, de ezek fontos javításokat is tartalmaznak az informatikai biztonsági sebezhetőségek és hibák kijavítására. Ugyanez vonatkozik az eszközök operációs rendszereire (OS) is. A naprakész szoftverek megléte alapvető módja annak, hogy egy lépéssel a szoftverek sebezhetőségéből élősködő fenyegető szereplők előtt járjunk.

A legtöbb IT-csapat automatikus szoftverfrissítéseket küld ki a szervezet vállalati alkalmazásaihoz és az eszközök operációs rendszeréhez. Ez jellemzően újraindításra készteti a készüléket. Ha saját maga frissíti a szoftvert, mindig ellenőrizze, hogy hivatalos forrásból tölti-e le, mivel a nem hivatalos szoftverek gyakran tartalmaznak rosszindulatú programokat. Sok eszköz és alkalmazás rendelkezik automatikus frissítési lehetőséggel, ami azt jelenti, hogy nem kell aggódnia az elavult verziók vagy a fontos biztonsági javítások kihagyása miatt.

A Tenable Nessus segítségével a szervezetében található sebezhetőségek keresése.

Tudjon meg többet

Ismerje fel és jelentse az adathalász kísérleteket

Az adathalászat olyan átverés, amelynek célja érzékeny információk vagy jelszavak ellopása, eszközök veszélyeztetése vagy pénzküldés kiberbűnözőknek. Általában e-mail formájában történik, de előfordulhat megtévesztő szöveges üzenetek (az úgynevezett smishing, az SMS és az adathalászat kombinációja), közösségi posztok, webes felugró ablakok, telefonhívások (az úgynevezett vishing - vagy hangalapú adathalászat), sőt még olyan együttműködési eszközök is, mint a Microsoft Teams - a kockázat új fajtája.

További információ A vírusok, rosszindulatú programok és adathalászat blokkolása a Mimecast Protection for Microsoft Teams alkalmazással

tovább

Az adathalászat során a kiberbűnözők a social engineeringet használják arra, hogy rávegyék Önt privát és bizalmas adatok, például bankszámlaszámok vagy bejelentkezési adatok megosztására. Kérhetik az Ön nevét, számlainformációit, születési dátumát, jelszavait és más érzékeny vagy titkos információkat. Gyakran csalogatják Önt egy legitimnek tűnő üzenetben található link vagy fájl megnyitására. Mindig előbb a link fölé hajtson, hogy ellenőrizze, legitimnek tűnik-e, és ha kétségei vannak, ne kattintson rá, hanem jelentse. Vigyázzon!

Az adathalászat során a kiberbűnözők a social engineeringet használják arra, hogy rávegyék Önt privát és bizalmas adatok, például bankszámlaszámok vagy bejelentkezési adatok megosztására. Kérhetik a nevét, számlainformációkat, születési dátumot, jelszavakat és más érzékeny vagy titkos információkat. Gyakran csalogatják Önt egy legitimnek tűnő üzenetben található link vagy fájl megnyitására. Mindig előbb a link fölé hajtson, hogy ellenőrizze, legitimnek tűnik-e, és ha kétségei vannak, ne kattintson rá, hanem jelentse. Vigyázzon!

• Nem konkrét feladó, ismeretlen személy, vagy a "from" cím nem egyezik a feladóval.
• Ismeretlen, szokatlan vagy általános üdvözlések.
• Helyesírási és nyelvtani hibák
• Gyanús link, amely nem egyezik az e-mailben található weboldal URL-ével.
• Ismeretlen személyek képeire vagy videóira mutató link.
• Valami váratlan dolog megtekintésére szolgáló link vagy melléklet, pl. egy ismeretlen csomag nyomon követése.
• Helytelen vagy gyanús fájlneveket vagy gyanús fájlkiterjesztéseket (.bin, .com, .exe, .html, .pif, .vbs, .zip, .zzx) tartalmazó mellékletek.
• Alacsony felbontású képek

Az érzékeny adatokat tartalmazó üzleti e-mailek nyomon követéséhez és titkosításához fontolja meg az RPost-ot.

Tudjon meg többet

Az általános, hétköznapi adathalászat általában nem célzott, és könnyebben észrevehető. Az adathalászat egyéb típusai közé tartoznak:

• Spear phishing: egy adott személyt vesz célba, és tanulmányozza őt, hogy meggyőzőbb, legitimnek tűnő üzenetet tudjon írni, hogy becsapja, és rávegye, hogy engedjen az éberségéből, és megosszon érzékeny információkat.
• Whaling: kifejezetten a vezérigazgatókat és a felsővezetői csapat tagjait veszi célba.
• Megosztott dokumentum adathalászat: olyan fájlmegosztó oldalakról, mint a Dropbox, a Google Drive vagy a OneDrive, érkező e-mailt imitál, amely azt állítja, hogy egy dokumentumot megosztottak Önnel, de a link egy hamis bejelentkezési oldalra vezet, amely ellopja a fiókja hitelesítő adatait.

Az adathalászat elleni küzdelem érdekében számos szervezet jelentős összegeket fektet be az alkalmazottai számára szervezett hivatalos kiberbiztonsági tudatossági oktatásba, és a kibertámadások elleni legértékesebb védelmi vonallá teszi őket.

További információ a Proofpoint biztonságtudatossági képzéséről és az adathalász-szimulációs platformról

tovább

A kiberbiztonságnak nem kell bonyolultnak vagy nyomasztónak lennie. Már ennek a 4 alaplépésnek a gyakorlása is segít a biztonságos szokások kialakításában, amelyek könnyen beépíthetők a mindennapi életbe. Ha minden egyes ember és szervezet kiveszi a részét a feladatokból, közösen csökkentjük a kiberkockázatokat, és megőrizzük digitális életmódunk védelmét és bizalmát.

Tudjon meg többet

Tudjon meg többet arról, hogyan támogathatják a szervezetek a kiberbiztonsági készségek elterjedését:

• Exclusive Networks képzések
• A kiberbiztonsági szakemberek következő generációjának kiépítése - az "Exclusive Academy" modellje
• A kiberbiztonsági tudatosság hónapjáról