Кредит: Деловое изображение безопасности через Shutterstock
В быстро изменяющемся мире технологии защита информации остается главным беспокойством о владельцах малого бизнеса. В то время как технология становится более сложной, однако, также - киберпреступники, которые стали более стойкими чем когда-либо в их попытках прорваться через стены безопасности и данные компании кражи и фонды. Ниже три типа новых и появляющихся угроз защите информации, о которой предприятия малого бизнеса должны знать, и подсказки, как владельцы бизнеса могут защитить себя.
Вредоносное программное обеспечение BYOD
В то время как удобный, Bring Your Own Device (BYOD) излагает убивание угроз защите информации. Чтобы украсть информацию, хакеры создали новые способы эксплуатировать слабые места устройств находившихся в собственности сотрудников и их пользователей.
Одна появляющаяся тенденция сегодня - новая форма фишинга под названием SMiShing, сказал Стив Брунетто, директор управления производством в Edgewave, разработчике решений Secure Content Management (SCM).
“В SMiShing киберпреступники используют Short Message Service (SMS), чтобы связаться с пользователями и попросить, чтобы они нажали на злонамеренную ссылку”, объяснил он. “Когда-то щелкнувший, злонамеренная загрузка приложения вызвана, беря пользователя к зараженному веб-сайту”. Этот веб-сайт тогда позволяет нападавшим собрать информацию логина, пароли и другие конфиденциальные данные.
Хакеры могут также войти в устройства находившиеся в собственности сотрудников, используя другую тактику, известную как переупаковка приложения. “Переупаковка приложения вовлекает киберпреступников, вводящих вредоносный код в законное приложение и затем перезагружающих его к стороннему сайту”, сказал Брунетто. Не подозревающие пользователи тогда устанавливают приложение, выставляя их устройства необнаруженному воровству данных. Переупаковка приложения позволяет хакерам собирать пользовательские данные, изменять настройки устройства и даже управлять устройством от отдаленного местоположения.
Чтобы защитить себя от вредоносного программного обеспечения BYOD, Брунетто поощряет предприятия малого бизнеса удостоверяться, что у каждого устройства есть безопасный браузер, который предлагает частые обновления безопасности. Компании должны также использовать инструменты Mobile Device Management (MDM), которые дают им видимость и контроль над устройствами, получающими доступ к их сетям, включая способность определить местонахождение потерянных или украденных устройств и удаленно вытереть их уязвимых данных.
Он также советует компаниям устанавливать ясную политику использования BYOD, которую сотрудники и понимают и следуют. Это должно также решить критические проблемы, такие как защита с помощью паролей, стороннее программное обеспечение и риски загрузки приложений, которые не являются от поставщика, которому доверяют. “Политика должна быть подписана каждым сотрудником, и обучение должно быть принято, чтобы удостовериться, что есть понимание всей организации важности соблюдения их”.
Поглощения счета
"Кража личности" не только относится к людям. Сегодня, предприятия малого бизнеса везде - главная цель. В отличие от крупных корпораций, у предприятий малого бизнеса часто есть прекрасная комбинация наличия достаточного количества фондов, чтобы соблазнить воровство и недостаточно безопасности защищать их.
“Реальное изменение в угрозах за прошлые несколько лет было уровнем планирования”, сказал Джон Пескэтор, директор появляющихся тенденций безопасности в Институте SANS, ведущем центре обучения и сертификации компьютерной безопасности.
Вместо того, чтобы предназначаться для компаний в целом в надежде на повреждение чего-либо они беспорядочно совершают нападки, нападавшие теперь исследуют ведущие специалисты, такие как генеральные директора, финансовые директора, электронная почта и администраторы базы данных и веб-мастера. С суммой общественной информации, доступной онлайн, нападавшие хорошо укомплектованы знанием, они должны обслужить сообщения на этих людей и соблазнить их в нажатие.
Нападавшие посылают очень предназначенные электронные письма – такой как ‘Привет, Салли - прекрасное время в этом гонка 10K! Приложенный твоя фотография в финишной черте’ – которые приводят к очень предназначенному злонамеренному executables, устанавливаемому на PC или ноутбуках тех людей, объяснил Пескэтор. “Они ставят под угрозу PC, затем общаются киберворам и получают инструкции перекачать базы данных финансовых счетов, интеллектуальной собственности, информации о клиенте, и так далее”, сказал он.
Чтобы предотвратить поглощение аккаунта на компании через "кражу личности", предприятия малого бизнеса должны осуществить меры безопасности, которые идут вне защиты с помощью паролей.
“Эксперты по безопасности соглашаются, что лучший способ защитить идентичность от того, чтобы быть взломанным состоит в том, чтобы выселить процесс идентификации к устройству, которое не связано с Интернетом”, сказала Стина Ехренсвард, генеральный директор Yubico, создатель двухфакторной аутентификации Yubikey. Near Field Communication (NFC), куда два сантиметра устройств обособленно могут сообщить и передать данные между друг другом, позволяет безопасный логин и платежи. NFC теперь объединен больше чем в 100 миллионах мобильных устройств, число, которое это выращивает.
Пьерлуиджи Стелла, главный инженер и основатель Сетевой Коробки США, хьюстонский поставщик компьютерной безопасности, также дал этот совет к компаниям: Заставь всех следовать правилам. Большинство хакеров в состоянии проникнуть в сетях компании, потому что сотрудники позволяют им. В некоторых организациях даже после того, как у команды IT есть заблокированный доступ на злонамеренные электронные письма и веб-сайты, исключения часто делаются для больших шишек, таких как должностные лица C-уровня, которые требуют бесплатное господство.
“Самая важная рекомендация, которую я могу дать кому-то сегодня, не признают презумпцию невиновности твоих руководителей”, сказала Стелла. “Захвати свою сеть и также заблокируй просмотр для более высоких разрядов, поскольку никто не действительно освобожден от возможных проблем, и те вызванные C-levels являются худшими проблемами, в которые твоя компания могла войти — если хакер помещает руки на коды доступа банковского счета твоей компании, твоя компания могла бы быть историей".
Думай страховка, ты покрыл? Стелла предупреждает, что банки будут не всегда освобождать компании от ответственности, если их фонды будут украдены. “Банки начинают реагировать”, Стелла предостерегла. “Если они могут показать грубую небрежность на способе, которым их клиенты защищают их информацию о доступе, они могут быть в состоянии выдвинуть ту ответственность назад перед их клиентами. Так, остерегись, потому что в следующий раз твой банк посылает провод в Литву от Вашего имени, ты можешь считаться ответственным за него, если банк может показать, что хакеры украли твои верительные грамоты, потому что ты не защищал свою сеть должным образом”.
Отверстия безопасности
Все более и более угрозы защите информации прибывают из самой компании. Хотя люди IT обеспечивают сеть от внешнего доступа, много компаний не смотрят на отверстия безопасности в организации. Поскольку технология становится более сложной и специализированной, компании склонны полагаться на своих поставщиков IT, чтобы блокировать доступ от посторонних, не понимая, что опасности для безопасности скрываются между своими собственными стенами. Следовательно, сотрудники, продавцы и даже поставщики продавцам пропускают данные, обеспечивают несанкционированный доступ к другим и участвуют в других опасных поведениях, которые ставят под угрозу компанию, намереваются ли они. И киберпреступники знают об этих недостатках безопасности слишком хорошо, сказал Роб Фицджеральд, эксперт по защите информации и президент Lorenzi Group, поставщик защиты информации.
“Профессионалы знают, что большинство компаний захватывает вниз внешнюю сторону, но оставляет внутреннюю часть широко открытой”, сказал он. Фицджеральд сказал, что один из самых эффективных способов сжать безопасность и создать более безопасную окружающую среду работы состоит в том, чтобы осуществить решения для аналитики безопасности, непрерывно контролируя системы безопасности. Компании должны всегда проверять, кто находится в их сети в любом случае и почему. “Повышение неправильного употребления данных вызывает тревогу. В некоторых ситуациях IT просто должен переоценить их политику безопасности. В других ситуациях IT должен захватить вниз данные. Заранее контролируя для аномалий и рисков, компании могут снизить свой риск защиты информации, улучшая их действия”.
Для непосредственной защиты Фицджеральд рекомендует, чтобы предприятия малого бизнеса все время рассказали сотрудникам о том, что считают приемлемым и недопустимым использованием в сети компании и связанных устройствах. Предприятия малого бизнеса должны также поощрить вход сотрудника и помощь быть их глазами и ушами, чтобы предотвратить и минимизировать риски. Защита информации - общекорпоративное усилие, которое требует, чтобы сотрудничество всех сотрудников и продавцов, и охраняло интересы компании и защитило их собственное.
Следуй за BusinessNewsDaily @bndarticles, Facebook или Google+. Эта история первоначально издана на BusinessNewsDaily.
