Video: Webinar Regulasi Keamanan Informasi dan Sosialisasi Indeks Keamanan Informasi BSSN Hari Ke-2 (Desember 2024)
Apakah Anda bertanggung jawab atas keamanan Internet perusahaan Anda? Apakah Anda mengelola orang yang ada? Maka Anda harus membaca Laporan Keamanan Global Trustwave 2014. Jangan menunda oleh ukurannya (hampir 100 halaman). Laporan ini diformat seperti infografis raksasa, sehingga mudah untuk memahami fakta yang disajikannya. Bahkan, bahkan jika Anda tidak ada hubungannya dengan mengelola keamanan situs web, Anda mungkin ingin membacanya. Inilah beberapa poin penting.
Bagaimana Mereka Bisa Masuk?
Data untuk laporan ini berasal dari hampir 700 investigasi pelanggaran Trustwave pada 2013, bersama dengan data dari pusat operasi mereka, telemetri keamanan, dan penelitian. 85 persen dari pelanggaran memanfaatkan kerentanan pada alat pihak ketiga, di antaranya Java, Flash, dan Adobe Reader. 85 persen! Tidaklah cukup untuk menempatkan Pembaruan Windows dalam mode otomatis - yang hanya membuat Windows tetap mutakhir. Anda harus menambal semua aplikasi Anda.
Para peneliti menemukan bahwa kata sandi yang lemah adalah faktor 31 persen dari pelanggaran yang diselidiki. Sudah cukup buruk ketika Anda menggunakan kata sandi seperti "monyet" atau "12345" untuk akun Club Penguin Anda. Ketika Anda melindungi sumber daya bisnis Anda dengan kata sandi yang lemah atau membiarkan kata sandi standar tetap ada, Anda meminta untuk diretas.
Siapa yang kena?
Jika Anda merasa bahwa pelanggaran data semakin umum, Anda benar. Total volume meningkat 54 persen dari laporan Trustwave sebelumnya. Data kartu pembayaran tentu saja merupakan bentuk penjarahan dunia maya yang paling populer, karena penjahat dapat memonetisasi data tersebut secara instan. Tetapi laporan itu mencatat peningkatan 33 persen dalam data non-kartu, termasuk komunikasi internal dan catatan pelanggan.
Pelanggaran point-of-sale, seperti kegagalan Target tahun lalu, menyumbang 33 persen dari total. Adapun di mana pelanggaran terjadi, AS adalah nomor satu di organisasi korban dan di lokasi pelaku.
Introspeksi Sangat Penting
Sepenuhnya 71 persen dari pelanggaran diselidiki oleh Trustwave, organisasi korban tidak menemukan pelanggaran. Bank, mitra, badan pengatur, atau pihak ketiga lainnya yang membuat laporan awal. Rata-rata, penyerang memiliki hampir tiga bulan kendali bebas sebelum ditemukannya pelanggaran. Rata-rata, perusahaan berhasil mengatasi masalah dalam waktu seminggu setelah deteksi.
Hal-hal terlihat lebih baik bagi organisasi yang kebijakan dan praktiknya sendiri mengungkapkan pelanggaran tersebut. Lebih baik, tapi tetap tidak hebat. Kelompok ini rata-rata masih sebulan antara infeksi dan deteksi. Di sisi lain, statistik remediasi mereka sangat bagus, dengan rata-rata hanya satu hari mengandung pelanggaran yang terdeteksi.
Lakukan dengan benar
Jelas, setiap organisasi membutuhkan kebijakan yang akan memastikan pelanggaran tidak terdeteksi, dan itu akan menawarkan jalan yang jelas untuk pengendalian. Namun, kebijakan yang dirancang dengan buruk bisa lebih buruk daripada tidak ada kebijakan sama sekali, terutama di organisasi tipe waralaba.
Dalam beberapa kasus, serangan terhadap satu franchise akan dengan mudah menyebar ke markas organisasi. Tentu saja, pelanggaran di HQ juga dapat menyebar ke salah satu atau semua waralaba. Mungkin juga bahwa layanan pihak ketiga yang digunakan oleh semua waralaba dapat merusak keseluruhan sistem.
Kekayaan Data
Anda akan menemukan banyak sekali data dalam laporan ini. Ini daftar indikator pelanggaran data, bersama dengan respon yang benar untuk masing-masing. Ini menjelaskan bagaimana kampanye malware berjalan dan menghasilkan uang. Ada run-down dari eksploit yang ditemui Trustwave (Java sangat, sangat populer dengan penjahat).
Laporan ini berisi daftar perangkat lunak sisi-server yang populer, dan persentase instalasi yang menjalankan versi rentan yang tidak didukung (persentase berkisar antara dua hingga 70). Saya bisa terus dan terus. Tapi sungguh, Anda disarankan untuk membaca laporan lengkap. Jika Anda terlibat aktif dalam keamanan situs web perusahaan Anda, itu merupakan keharusan mutlak.