Mesec ozaveščanja o kibernetski varnosti 2023

20 let meseca ozaveščanja o kibernetski varnosti

Oktobra 2023 bo minilo 20 let od začetka meseca ozaveščanja o kibernetski varnosti, ki je namenjen ozaveščanju o digitalni varnosti in omogočanju vsem, da zaščitijo svoje osebne podatke pred digitalnimi oblikami kriminala.

Letos vladni voditelji in predstavniki industrije ugotavljajo, kako daleč smo prišli v zadnjih 20 letih in kje moramo iti naprej, da bi zavarovali našo digitalno prihodnost.

Preberite naš blog: Ključni dejavniki za uspešno 20-letno partnerstvo: Exclusive Networks in Fortinet delita svojo skrivnost: ključni dejavnik 20-letnega sodelovanja: Exclusive Networks in Fortinet delita svojo skrivnost

Exclusive Networks je kot globalni specialist za kibernetsko varnost digitalne infrastrukture zavezan pospeševanju prehoda v popolnoma zaupanja vreden digitalni svet. Še naprej sodelujemo s svojimi dobavitelji in partnerji pri zagotavljanju varnosti tehnologije, zaščiti kritične infrastrukture in zapolnjevanju vrzeli v poklicni poti na področju kibernetske varnosti z najsodobnejšimi rešitvami, storitvami in usposabljanjem, da bi naš svet opremili z nujno potrebnimi kibernetskimi stražarji prihodnosti. To vključuje našo pobudo Exclusive Academy, specializiran program usposabljanja, ki vključuje mlade talente in omogoča praktične izkušnje na terenu ter teoretično usposabljanje strokovnjakov Exclusive Networks.

Veseli nas, da lahko uradno zagovarjamo mesec ozaveščanja o kibernetski varnosti 2023.

Letošnji mesec ozaveščanja o kibernetski varnosti spodbuja naslednja štiri ključna vedenja na področju kibernetske varnosti, ki so oblikovana tako, da so preprosta in izvedljiva za posameznike in podjetja:

1. Ustvarite močna gesla in uporabite upravitelja gesel
2. omogočite večfaktorsko preverjanje pristnosti
3. posodobite programsko opremo
4. prepoznajte in prijavite poskuse lažnega ribarjenja

Čeprav partnerjem in njihovim strankam pomagamo zaščititi njihove podatke na številne načine, lahko upoštevanje teh nekaj preprostih korakov močno pripomore k temu, da vsi ostanejo varni na spletu.

Ustvarite močna gesla in uporabite upravitelja gesel

Slaba ali ukradena gesla so vzrok za 81 % kršitev varnosti podatkov. Ali bi verjeli, da bosta najpogostejši gesli, ki se bosta uporabljali leta 2023, še vedno "123456789" in "password"? Kibernetski kriminalci lahko šibko geslo ali geslo, ki ga je mogoče zlahka uganiti, razbijejo v nekaj urah. Za dešifriranje bolj zapletenih, "močnih" gesel pa lahko potrebujejo več kot celo življenje.

Microsoft opredeljuje močno geslo kot:

• Vsaj 12 znakov, bolje pa 14 ali več.
• kombinacija velikih in malih črk, številk in simbolov
• ni beseda, ki jo je mogoče najti v slovarju, ali ime osebe, lika, izdelka ali organizacije
• se bistveno razlikujejo od vaših prejšnjih gesel - ukradena gesla se pogosto delijo na spletu, kjer jih lahko uporabijo drugi kibernetski kriminalci
• si ga lahko zapomnite, vendar ga drugi težko uganejo, npr. zapomnljiva besedna zveza, kot je "6MonkeysRLooking^".

Če želite, da so računi in naprave varni, uporabniških imen ali gesel nikoli ne delite z nikomer in si jih ne zapisujte. Glede na to, da ima povprečen uporabnik 27 različnih delovnih aplikacij, ki jih je treba preveriti, je lahko upravitelj gesel v veliko pomoč, če imate veliko računov in si težko zapomnite več gesel. Številni upravitelji gesel samodejno posodabljajo shranjena gesla, skrbijo za njihovo šifriranje in za dostop zahtevajo večfaktorsko preverjanje pristnosti.

Zaradi tveganj, ki jih predstavlja slaba higiena gesel, se številna podjetja zdaj obračajo k preverjanju pristnosti brez gesla.

Preberite več o napravah Thales FIDO2 brez gesla

Preberite več

Omogočite večfaktorsko preverjanje pristnosti

Večfaktorsko preverjanje pristnosti (MFA) poleg gesel zagotavlja dodatno raven varnosti, ki nepooblaščenim uporabnikom preprečuje dostop do računov in naprav, tudi če je bilo geslo uganjeno ali ukradeno. Za prijavo je potrebno več kot eno vrsto poverilnice. MFA je na voljo v več oblikah, vse pa zagotavljajo, da ste edina oseba, ki lahko dostopa do vašega računa.

Metode MFA vključujejo:

• Nekaj, kar poznate: gesla, kode PIN in varnostna vprašanja
• Nekaj, kar imate: Strojni ali programski žetoni, certifikati, elektronska pošta, sporočila SMS in telefonski klici.
• nekaj, kar ste: Prstni odtisi, prepoznavanje obraza, skeniranje šarenice in skeniranje odtisov rok
• Vaša lokacija: izvorni obsegi IP in geolokacija

Večja uporaba oblaka, mobilnih naprav in razširjenih dobavnih verig spodbuja organizacije k iskanju zanesljivih rešitev MFA. Zgoraj navedene metode temeljijo na različnih tehnologijah, med katerimi sta najpomembnejša enkratno geslo (OTP) in infrastruktura javnega ključa (PKI). Thales navaja, kako te tehnologije delujejo.

OTP so oblika "simetričnega" preverjanja pristnosti, pri katerem se enkratno geslo hkrati ustvari na dveh mestih - v strežniku za preverjanje pristnosti in na strojnem ali programskem žetonu, ki ga imate v lasti. Če se OTP, ki ga generira vaš žeton, ujema z OTP, ki ga generira overitveni strežnik, je overitev uspešna in vam je omogočen dostop.

Overjanje PKI je oblika "asimetričnega" overjanja, saj temelji na paru različnih šifrirnih ključev, in sicer na zasebnem in javnem šifrirnem ključu. Strojni žetoni, ki temeljijo na potrdilih PKI, kot so pametne kartice in žetoni USB, so namenjeni varnemu shranjevanju vašega tajnega zasebnega šifrirnega ključa. Ko se na primer avtentificirate v omrežnem strežniku vaše organizacije, strežnik izda številčni "izziv". Ta izziv je podpisan z vašim zasebnim šifrirnim ključem. Če je med podpisanim izzivom in vašim javnim šifrirnim ključem (ki ga pozna omrežni strežnik) matematična korelacija ali "ujemanje", je avtentikacija uspešna in vam je omogočen dostop do omrežja.

Če želite izvedeti več o kriptografiji z javnim ključem, si oglejte film The Science of Secrecy s Simonom Singhom

Glejte tukaj

Posodobite programsko opremo

Mnogi uporabniki domnevajo, da so posodobitve programske opreme izdane za uvedbo novih funkcij izdelka, vendar vključujejo tudi pomembne popravke za odpravo varnostnih ranljivosti in hroščev IT. Enako velja tudi za operacijske sisteme naprav. Posodobljena programska oprema je bistven način, da ostanete korak pred tistimi akterji groženj, ki dobro izkoriščajo ranljivosti programske opreme.

Večina ekip za IT bo samodejno posodobila programsko opremo za aplikacije podjetja in operacijski sistem naprave. Zaradi tega se naprava običajno znova zažene. Ko sami posodabljate programsko opremo, vedno preverite, ali jo prenašate iz uradnega vira, saj neuradna programska oprema pogosto vsebuje zlonamerno programsko opremo. Številne naprave in aplikacije imajo možnost samodejnega posodabljanja, kar pomeni, da vam ni treba skrbeti za zastarele različice ali manjkajoče pomembne varnostne popravke.

Iskanje ranljivosti v organizaciji s programom Tenable Nessus

Izvedite več

Prepoznajte in prijavite poskuse ribarjenja

Goljufanje je prevara, namenjena kraji občutljivih podatkov ali gesel, ogrožanju naprav ali pošiljanju denarja kibernetskim kriminalcem. Običajno se pojavlja v obliki e-pošte, lahko pa tudi v obliki zavajajočih besedilnih sporočil (znanih kot smishing, kombinacija besed SMS in phishing), objav na družabnih omrežjih, spletnih pojavnih oken, telefonskih klicev (znanih kot vishing ali voice phishing) in celo orodij za sodelovanje, kot je Microsoft Teams - nova vrsta tveganja.

Preberite več o Blokada virusov, zlonamerne programske opreme in ribarjenja z zaščito Mimecast za Microsoft Teams

preberite več

Pri ribarjenju kibernetski kriminalci uporabljajo socialni inženiring, da bi vas prepričali, da delite zasebne in zaupne podatke, kot so številke bančnih računov ali prijavne informacije. Zahtevajo lahko vaše ime, podatke o računu, datum rojstva, gesla in druge občutljive ali skrivnostne podatke. Pogosto vas zvabijo, da odprete povezavo ali datoteko v sporočilu, ki je videti legitimno. Vedno se prepričajte, da najprej s kazalcem prelistate povezavo in preverite, ali je videti legitimna, in če dvomite, ne klikajte nanjo, temveč jo prijavite. Bodite pozorni na:

Pri ribarjenju kibernetski kriminalci uporabljajo socialni inženiring, da bi vas prepričali v posredovanje zasebnih in zaupnih podatkov, kot so številke bančnih računov ali prijavne informacije. Zahtevajo lahko vaše ime, podatke o računu, datum rojstva, gesla in druge občutljive ali skrivnostne podatke. Pogosto vas zvabijo, da odprete povezavo ali datoteko v sporočilu, ki je videti legitimno. Vedno se prepričajte, da najprej s kazalcem prelistate povezavo in preverite, ali je videti legitimna, in če dvomite, ne klikajte nanjo, temveč jo prijavite. Bodite pozorni na:

• na nedoločenega pošiljatelja, nekoga, ki ga ne poznate, ali ki se ne ujema z naslovom "od".
• neznane, nenavadne ali splošne pozdrave
• pravopisne in slovnične napake
• sumljiva povezava, ki se ne ujema z URL-jem spletne strani v e-poštnem sporočilu
• Povezava do slik ali videoposnetkov oseb, ki jih ne poznate
• Povezava ali priponka za ogled nečesa nepričakovanega, npr. za spremljanje neznanega paketa
• Priloge z nepravilnimi ali sumljivimi imeni datotek ali sumljivimi končnicami datotek (.bin, .com, .exe, .html, .pif, .vbs, .zip, .zzx)
• slike nizke ločljivosti

Za sledenje in šifriranje poslovnih e-poštnih sporočil, ki jih pošiljate in vsebujejo občutljive podatke, razmislite o storitvi RPost

Izvedite več

Splošno, vsakdanje ribarjenje običajno ni ciljno usmerjeno in ga je lažje odkriti. Druge vrste ribarjenja vključujejo:

• Izsiljevalsko ribarjenje: usmerjeno je na določeno osebo in jo preuči, da lahko napiše prepričljivejše in legitimno sporočilo, s katerim jo prelisiči, da se odreče in deli občutljive podatke.
• "Whaling": usmerjeno predvsem na izvršne direktorje in člane višjih vodstvenih ekip.
• Goljufanje z dokumentom v skupni rabi: posnema e-poštno sporočilo s spletnih mest za izmenjavo datotek, kot so Dropbox, Google Drive ali OneDrive, da je bil z vami deljen dokument, vendar je povezava do lažne prijavne strani, ki ukrade poverilnice vašega računa.

V boju proti ribarjenju številne organizacije veliko vlagajo v formalno izobraževanje o kibernetski varnosti za svoje zaposlene in jih spreminjajo v najdragocenejšo obrambno linijo pred kibernetskimi napadi.

Preberite več o Proofpointovi platformi za usposabljanje za ozaveščanje o varnosti in simulacijo ribarjenja

preberite več

Kibernetska varnost ni nujno zapletena ali preobremenjujoča. Že samo vadba teh štirih osnovnih korakov pomaga razviti varne navade, ki jih je mogoče zlahka vključiti v vsakdanje življenje. Ko vsaka oseba in vsaka organizacija odigrata svojo vlogo, skupaj zmanjšamo kibernetska tveganja in ohranimo naš digitalni način življenja zaščiten in zaupanja vreden.

Več informacij

Preberite več o načinih, kako lahko organizacije podprejo uvajanje spretnosti na področju kibernetske varnosti:

• Exclusive Networks tečaji usposabljanja
• Vzpostavitev naslednje generacije strokovnjakov za kibernetsko varnost - model "Exclusive Academy
• O mesecu ozaveščanja o kibernetski varnosti