«Я не робот». Конечно, это не так, и эта сеть подтверждения предназначена для ловли спам-ботов. У людей есть прекрасная и опасная вещь — разум! Разум, который создает роботов и алгоритмы искусственного интеллекта и машинного обучения — прекрасен. Разум, который также может найти способ взломать или украсть данные, опасен.
Росс Ульбрихт, известный ум, стоящий за даркнет-рынком Silk Road, был арестован в 2013 году и в настоящее время находится в тюрьме США. Тем не менее, с конца 2017 года в даркнете было опубликовано более 555 миллионов паролей. Это мучительная цифра для директоров по информационной безопасности во всем мире.
Целью этого блога является представление важности политики паролей с точки зрения директора по информационной безопасности и ее актуальности. Управление мобильными устройствами (MDM) придерживается того же самого.
Влияние политики плохого пароля или его отсутствия
Отчет[1] усугубляет трудности CISO. Средняя стоимость утечки данных в 2023 году составила 4.45 миллиона долларов США. Рост на 15% по сравнению с 2020 годом — быстрее, чем глобальный рост многих законных рынков. А если ужас может стать еще хуже, согласно исследованию, 86% утечек организационных данных происходят из-за скомпрометированных или украденных учетных данных.[2].
Данные — это новая недвижимость, и киберпреступники это хорошо понимают. Опрос[3] обнаружили, что 52% людей используют один и тот же пароль для разных учетных записей. В то время как отдельные лица продолжают становиться жертвами хакеров из-за взлома паролей, масштабы репутационного и финансового ущерба, нанесенного организациям, являются серьезными.
Неудивительно, что директора по информационной безопасности и их команды по кибербезопасности переживают выгорание. Защита информации стала непреодолимой задачей в пространстве «Всемирной паутины».
Но означает ли это, что организации сдаются? Это даже не вариант, верно? Единственный вариант – сражаться! И бороться с ИТ-директорами надо! Информационная безопасность и политики организации включают в себя множество жизненно важных задач, и политика паролей или паролей является одним из этих жизненно важных импульсов.
Как директор по информационной безопасности, вы должны максимально эффективно использовать политику паролей, чтобы поднять планку безопасности вашей организации.
Вот несколько способов сделать это.
Не делайте это простым!
Хотя принцип «просто-глупости» (KISS) применим ко многим аспектам жизни, ему определенно нет места в вашей политике использования паролей. Сохранение очевидных и уязвимых паролей подвергает устройства и сети мечам.
Говоря о цифрах, исследование[4] — это сбывшаяся мечта киберпреступников и худший кошмар для директоров по информационной безопасности.
- 31% используют дни рождения или имена детей в качестве паролей (извините, это не делает вас хорошим родителем!)
- 34% используют дни рождения или имена своих партнеров или супругов в качестве паролей (самая глупая цель в отношениях!)
- 37% используют имя своего работодателя в качестве пароля (это лояльность? Вы, должно быть, шутите!)
- 44% повторно используют пароли от личных учетных записей на работе (что бы ни случилось с мыслительной способностью!)
Координационный центр любого политика паролей Необходимо обеспечить, чтобы каждый пароль был уникальным, сложным и длинным. Лучше всего начать с смешивания чисел вместо сохранения серии (например, 1234). Изменение некоторых букв на цифры тоже помогает.
По данным анализа[5], пароль, содержащий 12 или более символов, взломать киберпреступникам в 62 триллиона раз сложнее, чем пароль, состоящий из 6 символов. И да, самый надежный пароль — это пароль из 16 символов, который был извлечен из набора из 200.
Например, человек-собакас 1984 года ставит галочку в поле длины, но D0gP3rS0nS1nc39t3eN84 отметьте флажками длину, силу и сложность. Последнее нелегко взломать любым способом, и если такие пароли или d3AtHByCh0c0la8 слишком скомпрометирован, возможно, этот хакер заслуживает того, чтобы стать частью вашей команды безопасности.
Теперь это подводит нас к украденной части. Давайте еще раз посмотрим на это через номера отчетов (упомянутые выше).[4]). 57% сотрудников записывают свои пароли на стикерах. 55% из них экономят на телефонах и 51% на компьютерах. Это очень субъективные цифры, к тому же неосязаемые; следовательно, они представляют собой нечто за пределами того, что вы можете контролировать. Как директор по информационной безопасности, я должен следить за тем, чтобы сотрудники избегали принципа KISS и сохраняли такие пароли, как 1Am4r0MOuT3r5PaC3 это то, что вы можете контролировать.
«Не ЦЕЛУЙТЕ» должно быть основным правилом любой политики паролей.
Если оно сильное, зачем меняться?
Во многих организациях существует политика использования паролей, которая требует частой смены паролей. Это необходимость? Что ж, можно обойтись и без частой смены паролей, когда сотрудники следят за «Не ЦЕЛУЙТЕ». Надежные и сложные пароли, подобные упомянутым выше, практически не имеют шансов быть взломанными.
Сотрудники обычно воздерживаются от надежные и сложные пароли если им нужно время от времени вспоминать что-то новое. Вот когда слабые пароли (например, Аманда@123) проникнуть в вашу сетевую систему. Но обязательная периодическая смена пароля полезна для общей безопасности и безвредна! Однако необходима осмотрительность.
МИД, как можно скорее
Если вам не хватает MFA или многофакторной аутентификации в вашей политике паролей, не ждите дальше; реализуйте это прямо сейчас. MFA помогает обеспечить безопасность паролей, поскольку пользователям необходимо войти в систему с определенной информацией или действием, а не просто с паролем. OTP, которые когда-то были только предметом BFSI, теперь стали обычным явлением.
Если электронная коммерция может сделать все возможное, чтобы защитить вашу учетную запись с помощью OTP, вы также можете внести свой вклад в защиту своих корпоративных данных. FIDO аутентификация это еще один отличный вариант. MFA добавляет устройствам дополнительный уровень безопасности. Таким образом, даже если пароль скомпрометирован, хакеру все равно потребуется один или несколько типов аутентификации, чтобы проникнуть.
Обучайте людей и распространяйте информацию
Некоторых директоров по информационной безопасности вполне устраивает, что сотрудники имеют политику использования кодов организации где-то в непрочитанной почте или в какой-то рабочей папке, которую последний раз посещали в день присоединения. Вот где тонкая грань между хорошим директором по информационной безопасности и отличным директором по информационной безопасности. Великие руководители групп безопасности знают, что пароли — это основной путь к доступу к информации. Поэтому директор по информационной безопасности должен продолжать обучать людей и распространять информацию о важности политики использования паролей.
Сотрудники должны знать последствия несоблюдения в зависимости от их роли в организации. Последствия должны быть такими же серьезными, как крупные финансовые штрафы или даже приостановка и последующее прекращение деятельности, если политика использования паролей не соблюдается после неоднократного обучения и предупреждений.
Рано или поздно есть все шансы, что политика использования паролей станет ZTP (политикой нулевой терпимости), как и другие не подлежащие обсуждению правонарушения на рабочем месте. Зачем ждать катастрофы с безопасностью данных? Почему бы не сделать это ZTP сегодня?
Использование год Решение MDM помогает повысить безопасность устройства и сети. С помощью MDM вы можете распространить политику паролей на самые разные устройства, независимо от типа устройства или ОС. MDM позволяет отправлять предупреждения и уведомления системы безопасности, а также отслеживать сеансы входа в систему. Ваша группа безопасности будет немедленно уведомлена, если произойдет несколько неудачных попыток входа в систему на одном из ваших устройств, зарегистрированных в MDM. Затем вы сможете расследовать этот вопрос и принять необходимые меры, включая блокировку устройства и удаление его данных в случае потери или кражи.
Да, ты можешь сохранить секрет
Здесь есть что обсудить с друзьями и семьей за едой и напитками. Политика паролей не вписывается в это обсуждение; на самом деле это не вписывается в дискуссию нигде и ни с кем. Единственные люди, с которыми директор по информационной безопасности должен обсуждать политику паролей, — это ИТ-команда и непосредственные руководители.
Мистер Хакер, добро пожаловать на борт
Не обязательно быть киберпреступником, чтобы думать так. Предусмотрительность и новаторство — замечательные качества, которыми должен обладать директор по информационной безопасности. Вы можете нанять профессионального хакера по годовому контракту и попросить этого хорошего киберактера попытаться взломать ваше устройство или сеть. Это поддержит вашу политику паролей, поскольку вы будете получать информацию о любых или всех лазейках, основанных на паролях, в безопасности вашей организации. Это также будет держать вас в курсе того, как бродят плохие актеры. Тогда вы сможете победить их в их же игре!
Примите политику паролей с помощью Scalefusion
Использование хорошо продуманной политики использования паролей может укрепить безопасность организации. И как директор по информационной безопасности, это и есть ваш KRA. Решение MDM, такое как Scalefusion, может помочь обеспечить соблюдение строгих политик паролей во всех парках управляемых устройств. Вы можете установить такие параметры, как длина, сложность, интервал изменений, неудачные попытки входа в систему и многое другое.
Пришло время поднять планку безопасности вашей организации, обратившись к нашим экспертам за бесплатной демонстрацией. Наслаждайтесь 14-день бесплатно пробную версию, зарегистрировавшись сейчас!
Ссылки:
1. IBM
2. Google Cloud – горизонт угроз
3. Google/Опрос Харриса
4. Безопасность Keeper
5. Scientific American
