Mahigit sa 150,000 Na Mga Website ng Mga Maliit na Negosyo sa U.S. Maaaring Matupok Sa Malware sa Anumang Given Moment. Narito Kung Paano Protektahan ang Iyo.


Ang mga biktima ng maliliit na negosyo ay kasangkot sa 43 porsiyento ng mga data na lumalabag sa kurso ng isang taon, ayon sa isang kamakailang ulat.

Hunyo
12, 2019

9 min read


Ito ay Marso 2, 2016, at ang araw ni Melissa Marchand sa Cape Cod ay nagsimula tulad ng anumang iba pang. Nagmaneho siya sa kanyang trabaho sa Hyannis Whale Watcher Cruises sa kanyang mid-size na sedan, kinuha ang isang latte na may 1 porsiyento na gatas sa kanyang lokal na coffee shop at naupo sa kanyang mesa upang suriin ang kanyang email. Pagkatapos, tinanggap ni Marchand ang tawag na walang nais na makatanggap ng website manager: Ang site ay bumaba, at walang alam kung paano ayusin ito.

Pagkatapos niyang i-dial ang web hosting provider, ang balita ay mas masahol pa: Ang Whales.net ay na-hack at, sa kanyang kakila-kilabot, ang lahat ng mga bisita ay na-redirect sa mga porn site. Kahit na na-flag ng Google ang mga resulta ng paghahanap ng kumpanya, nagbabala ang mga potensyal na customer na maaaring mai-hack ang site.

"Ito ay isang kabuuang bangungot – wala akong ideya na ang isang bagay na tulad nito ay maaaring mangyari," sabi ni Marchand sa isang pakikipanayam sa Negosyante. "Masasabi ko na 75 hanggang 80 porsiyento ng aming mga booking ay tapos na online, kaya kapag bumaba ang aming site, patay na lang kami sa tubig."

Sa mungkahi ng provider, tinawag ni Marchand ang SiteLock, isang kompanya ng seguridad ng website, at binigyan ang kanyang mga kinatawan sa pag-access sa site. Natuklasan ng SiteLock na pinagsamantalahan ng mga hacker ang isang butas sa seguridad sa isang plugin ng WordPress, na nagbigay sa kanila ng pag-access na kailangan nila upang i-redirect ang mga bisita sa mga website na nakakasira.

Sa pagtatapos ng araw ng trabaho, si Marchand ay nakaupo sa kanyang kotse sa paradahan ng kanyang gym, nagsasalita sa telepono sa isang kinatawan ng SiteLock upang suriin ang plano ng aksyon. Sa wakas ay naramdaman niya na ang mga bagay ay magiging OK.

Sa loob ng tatlong araw, ang Whales.net ay naka-back up at tumatakbo, kahit na kinailangan pa ng tatlong linggo para alisin ng Google ang blacklist na babala mula sa mga resulta ng paghahanap ng kumpanya.

Ang tadtarin ay humagupit ng isang buwan bago ang simula ng whale-watching ay nagsimula sa kalagitnaan ng Abril, at bagaman hindi ito ang peak season, ang kumpanya ay hindi pa rin nakuha sa mga pre-booking tour group mula sa mga paaralan at kampo. Marso at tinatayang nawala ang atake ng kumpanya tungkol sa 10 porsiyento ng negosyo Marso at Abril nito.

Isang panganib para sa mga maliliit na negosyo sa lahat ng dako

Ang mga may-ari ng maliit na negosyo ay biktima ng 43 porsiyento ng mga paglabag sa data na sinusubaybayan sa pagitan ng Nobyembre 1, 2017, at Oktubre 31, 2018, ayon sa ulat ng Verizon ng 2019. Nasubaybayan ng ulat ang mga insidente sa seguridad sa lahat ng mga industriya, ngunit ang pinakamahihirap na sektor sa taong ito ay retail, accommodation at healthcare.

Ano ang hitsura ng isyu sa pambansang saklaw? Kung gagawin namin ang sample size ng mga nahawaang site Sinabi ng SiteLock na natagpuan nila sa 2018 – humigit-kumulang 47,244 mula sa 6,056,969 naka-check – at inilalapat ang porsyento sa tinatayang 30.2 milyong mga website ng maliit na negosyo ng bansa, tinatanggal ang tinatayang 36 porsiyento na wala isa, pagkatapos ay maaari naming malantad na tantiyahin ang halaga ng mga nahawaang mga website ng maliit na negosyo na halos 150,757.

Bilang isang may-ari ng maliit na negosyo, maaaring hindi ka naniniwala na sinasadya ng sinuman ang iyong website, ngunit iyan lamang – ang mga masamang aktor ay malamang na hindi hinahanap ang iyong site, ayon kay Mark Risher, pinuno ng seguridad ng account sa Google.

"Minsan, pinag-uusapan natin ang pagkakaiba sa pagitan ng mga target ng pagpili at mga target ng pagkakataon," sabi ni Risher. "Ang mga target ng pagkakataon ay kapag ang magsasalakay ay sinusubukan lamang ang anumang bagay – ang mga ito ay naglalakad sa pamamagitan ng parking na nakikita kung ang alinman sa mga pintuan ng kotse na-unlock. Ang target ng pagpili ay kapag na-zeroed sila sa isang makintab at marangya kotse, at iyon ang nais nilang masira – at susubukan nila ang mga bintana, ang mga pinto … ang bubong ng buwan. Sa tingin ko para sa mga maliliit na negosyo, may tukso na ito upang ipalagay, 'Walang sinumang pumili sa akin; kaya't ganoon lang ang uri ng isketing sa pamamagitan ng hindi nagpapakilala. 'Ngunit ang problema ay hindi sila nagpapatunay sa antas ng automation na ginagamit ng mga sumasalakay. "

Kahit ang mga website na hindi bababa sa trafficking ay karaniwang mayroong 62 na pag-atake kada araw, ayon sa pananaliksik ng SiteLock. "Ang mga cybercriminal na ito ay talagang tumatakbo sa mga negosyo ngayon," sabi ni Neill Feather, presidente ng kumpanya. "Sa pagtaas ng kadalian ng automation ng mga pag-atake, ito ay tulad ng kapaki-pakinabang upang ikompromiso ang isang 1,000 maliit na mga website na ito ay upang mamuhunan ang iyong oras at subukan upang ikompromiso ang isang malaking isa."

Si John Loveland, isang cybersecurity head sa Verizon at isa sa mga may-akda ng ulat ng paglabag sa data, ay nagsabi na dahil ang unang ulat ay na-publish 12 taon na ang nakakaraan, nakita niya ang isang tiyak na uptick sa mga pag-atake sa mga maliliit at katamtamang mga negosyo. Tulad ng malware, ang phishing at iba pang pag-atake ay naging "mas kumportable at mas madaling ma-access sa mas mababang-skilled hacker," sinabi niya, "nakikita mo ang bukas na bukas … para sa mga uri ng mga target na maaaring mahalaga."

Kaya ano ang mga hacker sa pagkuha ng deal? Ito ay hindi lamang tungkol sa potensyal na kapaki-pakinabang na impormasyon ng customer at mga kasaysayan ng transaksyon. Mayroon ding pagkakataon na magamit ang reputasyon ng iyong website. Sa pamamagitan ng pagho-host ng malware sa isang dating mapagkakatiwalaang website, ang isang hacker ay maaaring magpataas ng pagkalat ng atake – at palakasin ang mga kahihinatnan – sa pamamagitan ng pagpapalakas ng search engine optimization (SEO) ng malware. Maaari silang makahawa sa mga bisita ng site na naghahanap para sa site na organically o na-access ito sa pamamagitan ng mga link mula sa mga newsletter, artikulo o iba pang mga negosyo, sinabi Risher.

Kahit na nag-outsource ka ng mga aspeto ng iyong negosyo – sabihin, pag-uulat ng oras at gastos, mga mapagkukunan ng tao, imbakan ng data ng customer o mga transaksyong pinansyal – wala pang garantiya na ang impormasyon ay ligtas kapag ang iyong sariling website ay nakompromiso. Sinabi ni Loveland na nakita niya ang isang uptick sa email phishing na partikular na idinisenyo upang makuha ang mga kredensyal ng gumagamit para sa mga web-based na email account, online CRM tool at iba pang mga platform – at ang mga ulat ng kredensyal kompromiso ay tumaas 280 porsiyento mula noong 2016, ayon sa isang taunang survey mula sa kumpanya ng software Proofpoint.

Paano protektahan ang iyong sarili at ang iyong mga customer

Paano mapoprotektahan ng mga may-ari ng maliit na negosyo ang kanilang sarili – at ang kanilang mga customer? Dahil ang isang mahusay na pakikitungo ng cyberattacks ay maaaring maiugnay sa automation, paglalagay ng mga pangunahing proteksyon sa lugar laban sa phishing, malware at higit pa ay maaaring makatulong sa iyong site na lumayo sa landas ng hindi bababa sa pagtutol.

Narito ang limang paraan upang mapalakas ang cybersecurity ng iyong maliit na negosyo.

1. Gumamit ng isang tagapamahala ng password.

Mayroong isang malawakan na halaga ng payo ng password na lumulutang sa paligid sa eter, ngunit ang pinakamahalaga ay ito, sinabi ni Risher: Huwag muling gamitin ang parehong password sa maraming mga site. Ito ay isang mahirap na panuntunan upang manatili para sa kapakanan ng kaginhawahan – lalo na mula noong 86 porsiyento ng mga gumagamit ng internet ulat sa pagsubaybay ng kanilang mga password sa pamamagitan ng memorization – ngunit ang mga eksperto sa cybersecurity pinapayo ang mga tagapamahala ng password bilang mahusay at secure na workaround. Kabilang sa mga pagpipilian sa libreng mga tagapamahala ng password ang LastPass, Myki at LogMeOnce.

2. I-set up ang mga paraan sa pagbawi ng email account upang maprotektahan laban sa pag-atake sa phishing.

Ang pag-atake sa phishing ay isang matatag na problema sa cybersecurity para sa mga malalaki at maliliit na negosyo: 83 porsiyento ng mga respondent sa proyektong survey ng Phishing ng Proofpoint ay iniulat na nakakaranas ng pag-atake sa phishing sa 2018, isang pagtaas mula sa 76 porsyento noong nakaraang taon. Ang pagtanggap ng isang mas cyber-aware kultura – kabilang ang pagpapanatiling mapagbantay tungkol sa pagtukoy ng mga potensyal na pag-atake sa phishing, mga kahina-hinalang link at mga nagpadala ng bogus – ay susi sa kaligtasan ng email.

Kung gumagamit ka ng Gmail, ang pinakahuling pananaliksik ng kumpanya ay nagpapahiwatig na ang pagdaragdag ng isang numero ng telepono sa pagbawi sa iyong account ay maaaring hadlangan hanggang sa 100 porsiyento ng mga cyberattack mula sa mga awtomatikong bot, 99 porsiyento ng mga pag-atake ng bulk phishing at 66 porsiyento ng mga naka-target na pag-atake. Nakatutulong ito dahil sa kaganapan ng isang hindi kilalang o kahina-hinalang pag-sign-in, makakatanggap ang iyong telepono ng alinman sa isang SMS code o isang prompt na on-device para sa pag-verify. Walang numero ng telepono sa pagbawi, ang Google ay umaasa sa mga mas mahihirap na hamon tulad ng pag-recall sa huling lokasyon ng pag-sign in – at habang pa rin ang hihinto sa karamihan ng mga awtomatikong pag-atake, ang pagiging epektibo laban sa phishing na mga patak sa 10 porsiyento.

3. I-back up ang iyong data upang maprotektahan laban sa ransomware.

Ang Ransomware – isang cyberattack kung saan ang isang hacker ay naghawak ng iyong computer access at / o data para sa pagtubos – ay nagsimula ng isang "siklab ng galit na aktibidad na may kinalaman sa cybercrime na nakatuon sa mga maliliit at katamtamang mga negosyo," sabi ni Loveland. Sa katunayan, ito ang ikalawang nangungunang uri ng pagkilos ng malware sa 2019, ayon sa ulat ng Verizon, at isinulat ang 24 porsiyento ng mga insidente sa seguridad. Karaniwang tinitingnan ito ng mga Hacker bilang potensyal na mababa ang panganib, mataas na gantimpala na pagpipilian, kaya mahalaga na magkaroon ng mga proteksyon sa lugar para sa gayong pag-atake – samakatuwid, ang iyong data ay naka-back up sa kabuuan nito upang hindi ka sa awa ng hacker . Ang mga tool tulad ng Google Drive at Dropbox ay maaaring makatulong, pati na rin ang mga awtomatikong programa sa pag-backup tulad ng Code42 (lahat ng bayad sa isang buwanang bayad). Maaari ka ring bumili ng isang mataas na imbakan panlabas na hard drive upang i-back up ang lahat ng bagay sa iyong sarili.

4. Magpataw ng isang nakalaang tool sa seguridad ng DNS upang hadlangan ang mga kahina-hinalang site.

Dahil ang mga computer ay maaari lamang makipag-usap gamit ang mga numero, ang Domain Name System (DNS) ay bahagi ng pundasyon ng internet sa na nagsisilbing isang "tagasalin" sa pagitan ng isang domain name na ipinasok mo at isang nagresultang IP address. Ang DNS ay hindi orihinal na idinisenyo na may isip sa antas ng seguridad sa isip, kaya ang paggamit ng DNSSEC (DNS Security Extension) ay maaaring makatulong sa pagprotekta laban sa mga kahina-hinalang website at mga pag-redirect na nagreresulta mula sa malware, phishing attack at marami pa. Ang mga tool ay nagpapatunay sa pagiging wasto ng isang site ng maraming beses sa panahon ng iyong proseso ng paghahanap ng domain. At kahit na ang mga nagbibigay ng serbisyo sa internet sa pangkalahatan ay nagbibigay ng ilang antas ng DNS na seguridad, sinasabi ng mga eksperto na ang paggamit ng nakalaang DNSSEC tool ay mas epektibo – at ang mga libreng opsyon ay kasama ang OpenDNS at Quad9 DNS. "[It’s] isang mababang gastos, walang-isip na paglipat na maaaring maiwasan ang mga tao mula sa pagpunta sa masamang mga IP address, "sabi ni Loveland.

5. Isaalang-alang ang pag-sign up sa isang kumpanya ng seguridad ng website.

Ang pagbabayad ng isang buwanang subscription sa isang kumpanya ng seguridad ng website ay maaaring hindi perpekto, ngunit maaari itong magbayad para sa sarili sa mga tuntunin ng nawalang negosyo dahil sa isang site hack. Ang pagbaba ng kahinaan sa pag-atake ay nangangahulugang pag-install ng mga patch at seguridad ng seguridad para sa lahat ng iyong mga online na tool nang mabilis hangga't maaari, na maaaring maging matigas para sa iskedyul ng may-ari ng maliit na negosyo.

"Nakakatuwa para sa isang may-ari ng maliit na negosyo na sabihin, 'Ako ay madaling magamit – kaya kong gawin ito,'" sabi ni Risher. "Ngunit ang katotohanan ay na kahit na kung ikaw ay masyadong teknikal, hindi ka maaaring gumana sa paligid ng orasan, at … tumatagal ka sa 24/7 na maintenance at monitoring. Ito ay tiyak na pera na ginugol upang magkaroon ng isang malaking organisasyon na ginagawa ito para sa iyo. "