Miesiąc świadomości cyberbezpieczeństwa 2023

20 lat Miesiąca Świadomości Cyberbezpieczeństwa

W październiku 2023 r. przypada 20 lat Miesiąca Świadomości Cyberbezpieczeństwa, miesiąca poświęconego podnoszeniu świadomości na temat bezpieczeństwa cyfrowego i umożliwieniu wszystkim ochrony swoich danych osobowych przed cyfrowymi formami przestępczości.

W tym roku liderzy rządowi i dyrektorzy branżowi analizują, jak daleko zaszliśmy w ciągu ostatnich 20 lat i dokąd musimy się udać, aby zabezpieczyć naszą cyfrową przyszłość.

Przeczytaj nasz blog: Kluczowe czynniki udanego 20-letniego partnerstwa: Exclusive Networks i Fortinet dzielą się swoim sekretem

Jako globalny specjalista ds. cyberbezpieczeństwa dla infrastruktury cyfrowej, Exclusive Networks jest zaangażowana w przyspieszenie przejścia do całkowicie zaufanego świata cyfrowego. Kontynuujemy współpracę z naszymi dostawcami i partnerami w celu zabezpieczenia technologii, ochrony infrastruktury krytycznej i wypełnienia luki w karierze cyberbezpieczeństwa poprzez najnowocześniejsze rozwiązania, usługi i szkolenia, aby wyposażyć nasz świat w krytycznie potrzebnych cyberstrażników jutra. Obejmuje to naszą inicjatywę Exclusive Academy, specjalistyczny program szkoleniowy mający na celu przyciągnięcie młodych talentów i zapewnienie im praktycznego doświadczenia w terenie, a także szkolenia teoretyczne prowadzone przez ekspertów Exclusive Networks.

Z przyjemnością oficjalnie wspieramy Miesiąc Świadomości Cyberbezpieczeństwa 2023.

Tegoroczny Miesiąc Świadomości Cyberbezpieczeństwa promuje następujące cztery kluczowe zachowania w zakresie cyberbezpieczeństwa, stworzone tak, aby były proste i możliwe do zastosowania zarówno przez osoby fizyczne, jak i firmy:

1. Tworzenie silnych haseł i korzystanie z menedżera haseł
2. Włącz uwierzytelnianie wieloskładnikowe
3. Aktualizowanie oprogramowania
4. Rozpoznawanie i zgłaszanie prób phishingu

Chociaż pomagamy partnerom i ich klientom chronić ich dane na wiele sposobów, wykonanie tych kilku prostych kroków może mieć duże znaczenie dla zapewnienia wszystkim bezpieczeństwa w Internecie.

Twórz silne hasła i korzystaj z menedżera haseł

Słabe lub skradzione hasła są odpowiedzialne za 81% naruszeń danych. Czy uwierzyłbyś, że najczęściej używane hasła w 2023 roku to nadal "123456789" i "password"? Cyberprzestępcy mogą złamać słabe hasło lub takie, które można łatwo odgadnąć, w ciągu kilku godzin. Z drugiej strony, bardziej złożone, "silne" hasła mogą zająć więcej niż całe życie.

Microsoft definiuje silne hasło jako:

• Co najmniej 12 znaków, ale 14 lub więcej jest lepsze
• Kombinacja wielkich i małych liter, cyfr i symboli.
• Nie jest słowem, które można znaleźć w słowniku lub nazwą osoby, postaci, produktu lub organizacji.
• Znacznie różni się od poprzednich haseł - skradzione hasła są często udostępniane online innym cyberprzestępcom.
• Łatwe do zapamiętania, ale trudne do odgadnięcia przez innych, np. pamiętna fraza, taka jak "6MonkeysRLooking^".

Aby zapewnić bezpieczeństwo kont i urządzeń, nigdy nie udostępniaj nikomu nazw użytkowników ani haseł i unikaj ich zapisywania. Biorąc pod uwagę, że przeciętny użytkownik ma 27 różnych aplikacji roboczych, które wymagają weryfikacji, menedżer haseł może być bardzo pomocny, jeśli masz wiele kont i masz trudności z zapamiętaniem wielu haseł. Wiele menedżerów haseł automatycznie aktualizuje przechowywane hasła, szyfruje je i wymaga uwierzytelniania wieloskładnikowego w celu uzyskania dostępu.

Ze względu na ryzyko związane z niewłaściwą higieną haseł, wiele firm korzysta obecnie z uwierzytelniania bezhasłowego.

Więcej informacji o urządzeniach bezhasłowych Thales FIDO2

Czytaj więcej

Włącz uwierzytelnianie wieloskładnikowe

Uwierzytelnianie wieloskładnikowe (MFA) zapewnia dodatkową warstwę zabezpieczeń oprócz haseł, aby uniemożliwić nieautoryzowanym użytkownikom dostęp do kont i urządzeń, nawet jeśli hasło zostało odgadnięte lub skradzione. Wymaga więcej niż jednego rodzaju danych uwierzytelniających do logowania. MFA występuje w wielu formach, z których wszystkie zapewniają, że jesteś jedyną osobą, która może uzyskać dostęp do konta.

Metody MFA obejmują:

• Coś, co znasz: Hasła, kody PIN i pytania zabezpieczające
• Coś, co masz: Tokeny sprzętowe lub programowe, certyfikaty, wiadomości e-mail, SMS i połączenia telefoniczne.
• Coś, czym jesteś: Odciski palców, rozpoznawanie twarzy, skanowanie tęczówki i skanowanie odcisków dłoni
• Twoja lokalizacja: Źródłowe zakresy IP i geolokalizacja

Zwiększone wykorzystanie chmury, urządzeń mobilnych i rozszerzonych łańcuchów dostaw skłania organizacje do poszukiwania silnych rozwiązań MFA. Powyższe metody opierają się na różnych technologiach, z których najważniejsze to hasła jednorazowe (OTP) i infrastruktura klucza publicznego (PKI). Oto jak działają te technologie według firmy Thales.

OTP są formą "symetrycznego" uwierzytelniania, w którym jednorazowe hasło jest generowane jednocześnie w dwóch miejscach - na serwerze uwierzytelniającym i na posiadanym tokenie sprzętowym lub programowym. Jeśli OTP wygenerowane przez token użytkownika jest zgodne z OTP wygenerowanym przez serwer uwierzytelniania, uwierzytelnianie kończy się powodzeniem, a użytkownik uzyskuje dostęp.

Uwierzytelnianie PKI jest formą uwierzytelniania "asymetrycznego", ponieważ opiera się na parze różnych kluczy szyfrowania - a mianowicie prywatnym kluczu szyfrowania i publicznym kluczu szyfrowania. Sprzętowe tokeny oparte na certyfikatach PKI, takie jak karty inteligentne i tokeny USB, są przeznaczone do bezpiecznego przechowywania tajnego prywatnego klucza szyfrowania. Podczas uwierzytelniania na przykład na serwerze sieciowym organizacji, serwer wydaje numeryczne "wyzwanie". Wyzwanie to jest podpisywane przy użyciu prywatnego klucza szyfrowania. Jeśli istnieje matematyczna korelacja lub "dopasowanie" między podpisanym wyzwaniem a publicznym kluczem szyfrowania (znanym serwerowi sieciowemu), uwierzytelnianie zakończy się powodzeniem, a użytkownik uzyska dostęp do sieci.

Obejrzyj The Science of Secrecy z Simonem Singh, aby dowiedzieć się więcej o kryptografii klucza publicznego

Obejrzyj tutaj

Aktualizuj oprogramowanie

Wielu użytkowników zakłada, że aktualizacje oprogramowania są wydawane w celu wprowadzenia nowych funkcji produktu, ale zawierają one również ważne łatki naprawiające luki w zabezpieczeniach IT i błędy. To samo dotyczy systemów operacyjnych urządzeń. Posiadanie aktualnego oprogramowania jest niezbędnym sposobem, aby być o krok przed tymi aktorami zagrożeń, którzy rozwijają się w oparciu o luki w oprogramowaniu.

Większość zespołów IT wysyła automatyczne aktualizacje oprogramowania dla aplikacji korporacyjnych i systemów operacyjnych urządzeń. To właśnie zazwyczaj powoduje ponowne uruchomienie urządzenia. Podczas samodzielnej aktualizacji oprogramowania zawsze upewnij się, że pobierasz je z oficjalnego źródła, ponieważ nieoficjalne oprogramowanie często zawiera złośliwe oprogramowanie. Wiele urządzeń i aplikacji ma opcję automatycznej aktualizacji, co oznacza, że nie musisz martwić się o nieaktualne wersje lub pominięcie ważnych poprawek bezpieczeństwa.

Skanowanie w poszukiwaniu luk w zabezpieczeniach w całej organizacji za pomocą Tenable Nessus

dowiedz się więcej

Rozpoznawanie i zgłaszanie prób phishingu

Phishing to oszustwo mające na celu kradzież poufnych informacji lub haseł, złamanie zabezpieczeń urządzeń lub przesłanie pieniędzy cyberprzestępcom. Zwykle ma formę wiadomości e-mail, ale może również przybierać formę zwodniczych wiadomości tekstowych (znanych jako smishing, połączenie SMS i phishing), postów społecznościowych, wyskakujących okienek internetowych, połączeń telefonicznych (znanych jako vishing - lub phishing głosowy), a nawet narzędzi do współpracy, takich jak Microsoft Teams - nowy rodzaj ryzyka.

Przeczytaj więcej o blokowaniu wirusów, złośliwego oprogramowania i phishingu za pomocą Mimecast Protection for Microsoft Teams

czytaj więcej

W phishingu cyberprzestępcy wykorzystują inżynierię społeczną, aby nakłonić użytkownika do udostępnienia prywatnych i poufnych danych, takich jak numery kont bankowych lub dane logowania. Mogą prosić o podanie imienia i nazwiska, informacji o koncie, daty urodzenia, haseł i innych poufnych lub tajnych informacji. Często zwabiają cię do otwarcia linku lub pliku w legalnie wyglądającej wiadomości. Zawsze upewnij się, że najpierw najechałeś kursorem na link, aby sprawdzić, czy wygląda na legalny, a jeśli masz jakiekolwiek wątpliwości, nie klikaj go, zgłoś to. Uważaj na:

W phishingu cyberprzestępcy wykorzystują socjotechnikę, aby nakłonić użytkownika do udostępnienia prywatnych i poufnych danych, takich jak numery kont bankowych lub dane logowania. Mogą prosić o podanie imienia i nazwiska, informacji o koncie, daty urodzenia, haseł i innych poufnych lub tajnych informacji. Często zwabiają cię do otwarcia linku lub pliku w legalnie wyglądającej wiadomości. Zawsze upewnij się, że najpierw najechałeś kursorem na link, aby sprawdzić, czy wygląda na legalny, a jeśli masz jakiekolwiek wątpliwości, nie klikaj go, zgłoś to. Uważaj na:

• Nieokreślonego nadawcę, kogoś, kogo nie znasz lub kto nie pasuje do adresu "od".
• nieznane, nietypowe lub ogólne pozdrowienia
• Błędy ortograficzne i gramatyczne
• Podejrzany link, który nie pasuje do adresu URL strony internetowej w wiadomości e-mail
• link do zdjęć lub filmów od nieznanych osób
• Link lub załącznik umożliwiający wyświetlenie czegoś nieoczekiwanego, np. śledzenie nieznanej paczki
• załączniki z nieprawidłowymi lub podejrzanymi nazwami plików lub podejrzanymi rozszerzeniami plików (.bin, .com, .exe, .html, .pif, .vbs, .zip, .zzx)
• Obrazy o niskiej rozdzielczości

Aby śledzić i szyfrować biznesowe wiadomości e-mail zawierające poufne dane, warto rozważyć RPost.

Dowiedz się więcej

Ogólny, codzienny phishing zwykle nie jest ukierunkowany i jest łatwiejszy do wykrycia. Inne rodzaje phishingu obejmują

• Spear phishing: celuje w konkretną osobę i bada ją, aby móc napisać bardziej przekonującą, legalnie wyglądającą wiadomość, aby nakłonić ją do porzucenia czujności i udostępnienia poufnych informacji.
• Whaling: atakuje w szczególności dyrektorów generalnych i członków zespołu kierowniczego wyższego szczebla.
• Wyłudzanie informacji o udostępnionych dokumentach: naśladuje wiadomości e-mail z witryn do udostępniania plików, takich jak Dropbox, Dysk Google lub OneDrive, aby powiedzieć, że dokument został ci udostępniony, ale link prowadzi do fałszywej strony logowania, która kradnie dane uwierzytelniające konta.

Aby walczyć z phishingiem, wiele organizacji inwestuje znaczne środki w formalną edukację swoich pracowników w zakresie cyberbezpieczeństwa i przekształca ich w najcenniejszą linię obrony przed cyberatakami.

Dowiedz się więcej o szkoleniu Proofpoint w zakresie świadomości bezpieczeństwa i platformie symulacji phishingu.

czytaj więcej

Cyberbezpieczeństwo nie musi być skomplikowane ani przytłaczające. Nawet samo ćwiczenie tych 4 podstawowych kroków pomaga rozwinąć bezpieczne nawyki, które można łatwo włączyć do codziennego życia. Gdy każda osoba i każda organizacja odgrywa swoją rolę, wspólnie zmniejszamy ryzyko cybernetyczne i utrzymujemy nasz cyfrowy styl życia chroniony i godny zaufania.

Dowiedz się więcej

Dowiedz się więcej o sposobach, w jakie organizacje mogą wspierać rozwój umiejętności w zakresie cyberbezpieczeństwa:

• Kursy szkoleniowe Exclusive Networks
• Budowanie kolejnego pokolenia specjalistów ds. cyberbezpieczeństwa - model "Exclusive Academy
• O Miesiącu Świadomości Cyberbezpieczeństwa