Apa yang Kami Pelajari Dari Pelanggaran Facebook

Diposting pada

Banyak berita utama tentang pelanggaran data di Facebook.

Benar-benar berbeda dari peretasan situs di mana informasi kartu kredit baru saja dicuri di pengecer besar, perusahaan yang dimaksud, Cambridge Analytica, memang memiliki hak untuk benar-benar menggunakan data ini.

Sayangnya, mereka menggunakan informasi ini tanpa izin dan dengan cara yang secara terang-terangan menipu pengguna Facebook dan Facebook itu sendiri.

CEO Facebook Mark Zuckerberg telah berjanji untuk melakukan perubahan untuk mencegah penyalahgunaan informasi semacam ini terjadi di masa depan, tetapi tampaknya banyak dari perubahan itu akan dilakukan secara internal.

Pengguna individu dan bisnis masih perlu mengambil langkah mereka sendiri untuk memastikan informasi mereka tetap terlindungi dan seaman mungkin.

Bagi individu, proses untuk meningkatkan perlindungan online cukup sederhana. Ini dapat berkisar dari meninggalkan situs seperti Facebook sama sekali, untuk menghindari apa yang disebut situs permainan dan kuis gratis di mana Anda diminta untuk memberikan akses ke informasi Anda dan teman-teman Anda.

Pendekatan terpisah adalah dengan menggunakan akun yang berbeda. Satu dapat digunakan untuk mengakses situs keuangan penting. Yang kedua dan lainnya dapat digunakan untuk halaman media sosial. Menggunakan berbagai akun dapat membuat lebih banyak pekerjaan, tetapi itu menambahkan lapisan tambahan untuk menjauhkan penyusup dari data kunci Anda.

Bisnis di sisi lain membutuhkan pendekatan yang lebih komprehensif. Meskipun hampir semua menggunakan firewall, daftar kontrol akses, enkripsi akun, dan lainnya untuk mencegah peretasan, banyak perusahaan gagal mempertahankan kerangka kerja yang mengarah ke data.

Salah satu contohnya adalah perusahaan yang menggunakan akun pengguna dengan aturan yang memaksa perubahan kata sandi secara teratur, tetapi lalai dalam mengubah kredensial perangkat infrastruktur mereka untuk firewall, router, atau sakelar sandi. Nyatanya, banyak di antaranya, tidak pernah berubah.

Mereka yang menggunakan layanan data web juga harus mengubah sandi mereka. Nama pengguna dan kata sandi atau kunci API diperlukan untuk mengaksesnya yang dibuat saat aplikasi dibuat, tetapi sekali lagi jarang diubah. Seorang mantan anggota staf yang mengetahui kunci keamanan API untuk gateway pemrosesan kartu kredit mereka, dapat mengakses data tersebut meskipun mereka tidak lagi bekerja di bisnis tersebut.

Segalanya bisa menjadi lebih buruk. Banyak bisnis besar menggunakan perusahaan tambahan untuk membantu pengembangan aplikasi. Dalam skenario ini, perangkat lunak disalin ke server perusahaan tambahan dan mungkin berisi kunci API atau kombinasi nama pengguna / sandi yang sama yang digunakan dalam aplikasi produksi. Karena sebagian besar jarang diubah, pekerja yang tidak puas di perusahaan pihak ketiga sekarang memiliki akses ke semua informasi yang mereka butuhkan untuk mengambil data.

Proses tambahan juga harus diambil untuk mencegah terjadinya pelanggaran data. Ini termasuk…

• Mengidentifikasi semua perangkat yang terlibat dalam akses publik data perusahaan termasuk firewall, router, sakelar, server, dll. Kembangkan daftar kontrol akses (ACL) terperinci untuk semua perangkat ini. Sekali lagi ubah kata sandi yang digunakan untuk mengakses perangkat ini secara berkala, dan ubah ketika ada anggota di ACL mana pun di jalur ini meninggalkan perusahaan.

• Mengidentifikasi semua kata sandi aplikasi tertanam yang mengakses data. Ini adalah sandi yang “dibangun” ke dalam aplikasi yang mengakses data. Ubah sandi ini sesering mungkin. Ubahlah ketika ada orang yang mengerjakan salah satu paket perangkat lunak ini keluar dari perusahaan.

• Saat menggunakan perusahaan pihak ketiga untuk membantu dalam pengembangan aplikasi, buat kredensial pihak ketiga yang terpisah dan ubah ini sesering mungkin.

• Jika menggunakan kunci API untuk mengakses layanan web, minta kunci baru ketika orang yang terlibat dalam layanan web tersebut keluar dari perusahaan.

• Mengantisipasi terjadinya pelanggaran dan mengembangkan rencana untuk mendeteksi dan menghentikannya. Bagaimana perusahaan melindungi dari ini? Agak rumit tetapi tidak di luar jangkauan. Sebagian besar sistem database memiliki audit yang dibangun di dalamnya, dan sayangnya, itu tidak digunakan dengan benar atau tidak digunakan sama sekali.

Contohnya adalah jika database memiliki tabel data yang berisi data pelanggan atau karyawan. Sebagai pengembang aplikasi, seseorang akan mengharapkan aplikasi untuk mengakses data ini, namun, jika kueri ad-hoc dilakukan yang menanyakan sebagian besar data ini, audit basis data yang dikonfigurasi dengan benar harus, setidaknya, memberikan peringatan bahwa ini sedang terjadi .

• Memanfaatkan manajemen perubahan untuk mengontrol perubahan. Perangkat lunak Manajemen Perubahan harus diinstal agar lebih mudah untuk mengelola dan melacak. Kunci semua akun non-produksi hingga Permintaan Perubahan aktif.

• Jangan mengandalkan audit internal. Saat perusahaan mengaudit dirinya sendiri, mereka biasanya meminimalkan potensi kekurangan. Cara terbaik adalah menggunakan pihak ketiga untuk mengaudit keamanan Anda dan mengaudit kebijakan Anda.

Banyak perusahaan menyediakan layanan audit tetapi seiring waktu penulis ini telah menemukan pendekatan forensik yang paling berhasil. Menganalisis semua aspek kerangka kerja, membangun kebijakan dan memantaunya adalah suatu keharusan. Ya, memang menyakitkan untuk mengubah semua perangkat dan kata sandi yang disematkan, tetapi itu lebih mudah daripada menghadapi pengadilan opini publik ketika terjadi pelanggaran data.



Source by David Moye

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *