X
Število kibernetskih napadov se je v zadnjem letu podvojilo. Vas zanima, kako se jim lahko izognete? Postanite del naše skupnosti.
In the last year, the number of cyberattacks doubled compared to the year before. Do you want to repel potential threats? Join our community.
  • Skip to primary navigation
  • Skip to main content
  • Skip to footer
Carbonsec – Cybersecurity Consultancy Services Company

Carbonsec - Cybersecurity Consultancy Services Company

Cybersecurity services for businesses to be hackerproof, because it sucks to waste unnecessary time dealing with cyber criminals instead of focusing on business.

  • Storitve
    • Test varnosti gesel
    • Penetracijski test
    • Red Teaming
    • DDoS test
    • SCADA sistemi – varnost v industrijskem okolju
    • Varnostno svetovanje
    • Varnostna analiza izvorne kode
  • Rešitve
    • Pentera – avtomatizirano penetracijsko testiranje
    • SecurityScorecard – ocenjevanje tveganj in varnost dobavne verige
    • Simulacija napadov po e-pošti
    • Brezplačna orodja
    • Simulacija vdora in napada
  • Izobraževanje
    • Ozaveščanje uporabnikov
    • Varnost za programerje
    • Purple Team coaching
  • Novice
    • Novice
    • Blog
  • Podjetje
    • O nas
    • Ožja ekipa
    • Zaposlitev
    • Partnerji
  • Kontakt
  • ENG
  • Email
  • Facebook
  • LinkedIn

Tri ključna sporočila v času intenzivnih hekerskih napadov

Tri ključna sporočila, na podlagi katerih lahko poskrbimo za bistveno višjo raven kibernetske varnosti in ozaveščenosti.

15. marca, 2022 by Carbonsec Team

Čudno bi bilo, če tega zapisa in hekerskih napadov ne bi povezali s trenutno situacijo v svetu. Prvič se soočamo z dvema vzporednima vojnama: s tanki in bombami ter kibernetskim orožjem. Zdi se, kot da trenutno ena stran večinoma napada s fizično silo, druga pa z digitalnimi manevri. V fizično vojskovanje se v našem zapisu ne bomo spuščali. Kaj pa bomo ukrenili glede hekerskih napadov? Kako jih bomo kot družba obvladovali?

Pred dobrim mesecem smo se tudi v Sloveniji srečali s hekerskim napadom, ki nikakor ni mogel ostati neopažen. Napad na medijsko hišo je imel takojšnji učinek na končne uporabnike, saj je bilo oddajanje programov okrnjeno. Tako smo množično občutili učinek kibernetskega kriminala, kakršen se sicer večinoma dogaja za tesno zaprtimi vrati podjetij.

Pri tem se moramo zavedati dejstva, da v veliki večini primerov hekerji ne vstopijo v podjetje z neposrednim nasilnim vdiranjem v jedro infrastrukture. Nasprotno, običajno so napadalci zelo prijazni navidezni sodelavci, zaposleni v IT oddelkih, celo nadrejeni. V podjetje največkrat vstopijo preko škodljive povezave v e-poštnem sporočilu, ki so ga poslali na tisoče naslovov. Ni vrag, da se vsaj nekaj žrtev ne bi ujelo v past.

Sporočilo #1: Vsak je lahko žrtev

Ni pomembno, na kakšni poziciji ste, v kateri branži delujte, kako veliko je vaše podjetje ali koliko poslovalnic imate. Vedno obstaja možnost, da ste tarča hekerskega napada. Res pa je, da so nekatere panoge napadom izpostavljene bolj kot druge. Stopnja izpostavljenosti je pogosto povezana z razmerami v vsakdanjem življenju in z vrednostjo podatkov, ki jih podjetja hranijo. Od začetka pandemije Covid-19 so bile najbolj na udaru zdravstvene institucije, trenja med Rusijo in Ukrajino pa so višje na lestvici tveganj postavila energetiko in finančni sektor.

Uporabniki se najpogosteje soočamo z naslednjimi poskusi napadov:

  • kraja identitete,
  • spletno ribarjenje (ang. phishing),
  • usmerjeno ribarjenje (ang. spear phishing),
  • zlonamerna neželena e-pošta,
  • zlorabljene spletne strani in aplikacije, preko katerih lahko napadalec vstopi v uporabnikovo napravo
Typical threats
Ena od pogosto odkritih ranljivosti so šibka gesla.

V času interneta stvari in povezovanja podjetij preko storitev v oblaku prihaja tudi do premika vektorjev napada. Če so se prej hekerji osredotočali na žrtve v podjetju, ki so ga želeli napasti, se zdaj pred izvedbo napada razgledajo po celotni dobavni verigi. Ker imajo manjša podjetja tipično manj mehanizmov za upravljanje kibernetske varnosti, se lahko napadalci primarno usmerijo v ta del verige povezanih podjetij. Nato pa se po verigi premaknejo do tistega podjetja, ki ga želijo oškodovati.

Sporočilo #2: Vsak se lahko zaščiti

Na srečo obstaja veliko orodij za (avtomatizirano) zaščito pred napadi. Tako spremljanje potencialnih groženj lahko bistveno izboljša učinkovitost IT ekipe. Nekateri mehanizmi so enostavnejši za vpeljavo, drugi, npr. SIEM in DLP, zahtevajo strateško planiranje in predstavljajo večji poseg v IT infrastrukturo.

Priporočamo vam, da v svojem okolju vpeljete vsaj naslednji dve rešitvi, ki običajno ne zahtevata visokega finančnega vložka, zagotovo pa lahko bistveno izboljšata kibernetsko varnost:

  • Vpeljite večfaktorsko avtentikacijo in strogo politiko upravljanja gesel

Poskrbite, da bodo uporabniki v poslovnih aplikacijah uporabljali močna gesla, ki vsebujejo velike in male črke, številke, posebne znake in so ustrezno dolga. Kjer je le možno, za dostop do poslovnih aplikacij vpeljite dvo- ali večfaktorsko avtentikacijo. Poleg gesla, ki ga uporabnik pozna, določite še drugi faktor: bodisi avtentikacijo s prstnim odtisom, prepoznavo obraza ali glasu bodisi enkratno geslo iz namenskega avtentikatorja. V skrajnem primeru, če res ne gre drugače, pa najmanj dodatno geslo, poslano preko SMS sporočila, čeprav tudi pri pošiljanju gesel preko SMS-ov lahko pride do zlorab. O tem smo že pisali na našem blogu.

  • Poskrbite za stalno treniranje zaposlenih na področju socialnega inženiringa

Glede na to, da so napadi s socialnim inženiringom najuspešnejša metoda za pridobivanje vstopa v poslovno omrežje, je izobraževanje zaposlenih zagotovo ena izmed najbolj smiselnih investicij v IT. Najboljši so treningi usposabljanja, ki delujejo kot avtentični napadi, poleg tega pa vam omogočajo poročanje in statistiko za pretekle treninge. Tako lahko spremljate napredek svojih zaposlenih in prepoznavate področja, kjer so še potrebne izboljšave.

protection from cyber threats
Pri zaščiti pred kibernetskimi grožnjami uporabljajte več zaščitnih mehanizmov – od tehničnih do dobro izobraženih uporabnikov.

Sporočilo #3: Iz hekerskih napadov se lahko veliko naučimo

Dejstvo je, da se nam kljub vsem vpeljanim zaščitam lahko zgodi hekerski napad. V zadnjem času je najbolj verjetno, da postanemo žrtev izsiljevalskega virusa. V tem primeru bomo ali ostali brez podatkov ali plačali visoko odškodnino. Nič od tega ni prijetno in v organizacijo zagotovo vnese določeno mero nestabilnosti. Zato se nikakor ne smemo pretvarjati, da se ni nič zgodilo, temveč moramo situacijo ustrezno obravnavati. Ker podjetnike naprej ženeta trdoživost in neomajnost, se iz hekerskega napada lahko tudi marsikaj naučimo.

Pomembno je, da raziščemo in razumemo, zakaj je do napada prišlo. Vaš IT oddelek bo šel (samostojno ali s pomočjo zunanjih strokovnjakov) vzvratno po poti napada in raziskal, kje je napadalec vstopil v sistem. Ta pot bo razkrila določene ranljivosti vašega sistema. A ne vseh.

Ko odpravite posledice napada in vzpostavite normalno delovanje sistema, se lotite temeljitega pregleda celotnega IT okolja.

  • Preglejte interne politike glede upravljanja kibernetske varnosti, jih po potrebi posodobite ali vpeljite nove.
  • Testirajte odpornost sistema na hekerske napade s penetracijskim testom. Če so v obsegu vašega IT sistema tudi spletne ali mobilne aplikacije, poskrbite tudi za testiranje teh.

Na vseh področjih življenja velja, da je preventiva boljša od kurative. V kibernetskem svetu ni nič drugače. Z rednim testiranjem kibernetske varnosti boste svoje informacijski sistem zaščitili pred vdori, preden bo njegove ranljivosti izkoristil koristoljubni heker.

cyber protection to save assets
Napredno upravljanje kibernetske varnosti omogoča dobro zaščito poslovnih sredstev.

Ko pri preprečevanju hekerskih napadov na pomoč priskoči avtomatizacija …

Danes na srečo že obstajajo orodja, ki vam lahko pomagajo pri preverjanju odpornosti na ranljivosti in pri potrjevanju varnosti. Prednosti sodobnih načinov upravljanja varnosti bomo predstavili na webinarju Dobre prakse rednega preverjanja kibernetske varnosti, ki bo potekal 31. marca 2022. Na webinarju boste iz prve roke izvedeli, kako v podjetju Kontrola zračnega prometa Slovenije d.o.o. naslavljajo in rešujejo izzive kibernetske varnosti.

Želim spoznati dobre prakse pri upravljanju kibernetske varnosti.
Pošljite mi brezplačni posnetek webinarja.

Penetracijski test

Penetracijski test omogoča odkrivanje ranljivosti IT sistema in je podlaga za določanje njihove kritičnosti in podajanje priporočil.

Security Awareness

Ozaveščanje uporabnikov

Ozaveščanje uporabnikov ustvarja živi požarni zid in je ključno za preprečevanje vdorov v poslovne informacijske sisteme.

Automated Penetration Testing

Pentera – avtomatizirano penetracijsko testiranje

Avtomatizirano penetracijsko testiranje z orodjem Pentera je rešitev, s katero lahko dnevno obvladujemo varnostna tveganja.

Blog,  Novice,  Penetration testing blog,  kibernetska varnost,  penetracijsko testiranje,  penetration testing,  varnostni pregled

Naj vam pomagamo

Pišite nam in nam pošljite osnovne informacije o vašem projektu.

Pošljite povpraševanje

Footer

O NAS

Svetovalne storitve kibernetske varnosti za podjetja, da bodo varna pred vdori in tako popolnoma osredotočena na svoje poslovanje.

  • Email
  • Facebook
  • LinkedIn

KONTAKT

CARBONSEC d.o.o.
Hacquetova ulica 8
1000 Ljubljana
Slovenija

info@carbonsec.com

HITRE POVEZAVE

  • Postanite del naše skupnosti.
  • Blog
  • Pogoji uporabe
  • Politika zasebnosti
  • Piškotki

STORITVE

  • Test varnosti gesel
  • Penetracijski test
  • Red Teaming
  • DDoS test
  • SCADA sistemi – varnost v industrijskem okolju
  • Varnostno svetovanje
  • Varnostna analiza izvorne kode
  • Izobraževanje

Copyright © 2023 Carbonsec · Created by mod.si

This website uses cookies to improve your experience. We'll assume you're ok with this, but you can opt-out if you wish. Cookie settingsACCEPT
Privacy & Cookies Policy

Privacy Overview

This website uses cookies to improve your experience while you navigate through the website. Out of these cookies, the cookies that are categorized as necessary are stored on your browser as they are essential for the working of basic functionalities of the website. We also use third-party cookies that help us analyze and understand how you use this website. These cookies will be stored in your browser only with your consent. You also have the option to opt-out of these cookies. But opting out of some of these cookies may have an effect on your browsing experience.
Necessary
Vedno omogočeno
Necessary cookies are absolutely essential for the website to function properly. This category only includes cookies that ensures basic functionalities and security features of the website. These cookies do not store any personal information.
Non-necessary
Any cookies that may not be particularly necessary for the website to function and is used specifically to collect user personal data via analytics, ads, other embedded contents are termed as non-necessary cookies. It is mandatory to procure user consent prior to running these cookies on your website.
SAVE & ACCEPT