Naarmate hackers sneller, talrijker en effectiever worden, hebben veel bedrijven moeite om hun websites te beschermen tegen cyberdreigingen. De statistieken liegen niet:

• Elke dag worden er meer dan 360.000 nieuwe kwaadaardige bestanden gedetecteerd

• In 2017 waren er 1.188.728.338 aanvallen op computers bekend

• Schade aan bedrijven door cybercriminaliteit zal naar verwachting oplopen tot $ 6 biljoen in 2021

• De wereldwijde uitgaven voor cyberbeveiliging zullen tussen 2017 en 2021 waarschijnlijk meer dan $ 1 biljoen bedragen

Deze duizelingwekkende cijfers laten duidelijk zien waarom organisaties van websitebeveiliging een kritieke prioriteit moeten maken. Er bestaan ​​verschillende soorten cyberaanvallen en kwaadaardige programma’s. Het is van cruciaal belang dat elke IT-afdeling de volgende risico’s begrijpt: virussen en wormen, Trojaanse programma’s, verdachte packers, kwaadaardige tools, adware, malware, ransomware, denial of service, phishing, cross-site scripting (SQL-injectie), brute force-wachtwoordaanval, en sessiekaping. Wanneer deze pogingen tot cyberinbreuk succesvol zijn (wat vaak het geval is), kan het volgende gebeuren:

• Website defacement – ongewenste inhoud op uw website geplaatst

• Websites worden offline gehaald (je site gaat offline)

• Gegevens worden gestolen van websites, databases, financiële systemen, enz.

• Gegevens worden versleuteld en vastgehouden voor losgeld (ransomware-aanval)

• Servermisbruik – stuur webmail-spam door om illegale bestanden weer te geven

• Servermisbruik – onderdeel van een gedistribueerde denial of service-aanval

• Servers die misbruikt zijn om te minen voor Bitcoin, enz.

Hoewel sommige aanvallen slechts kleine bedreigingen vormen, zoals een trage website, hebben veel aanvallen ernstige gevolgen, zoals grote diefstal van vertrouwelijke gegevens of het voor onbepaalde tijd uitvallen van de website als gevolg van ransomware. Met dat in gedachten zijn hier 15 best practices die uw IT-afdeling zou moeten gebruiken om uw organisatie te beschermen tegen malware en cyberhacking.

1. Houd uw software up-to-date.

Het is van cruciaal belang dat u uw besturingssysteem, algemene toepassingen, anti-malware en websitebeveiligingsprogramma’s up-to-date houdt met de nieuwste patches en definities. Als uw website wordt gehost door een derde partij, zorg er dan voor dat uw host een goede naam heeft en ook zijn software up-to-date houdt.

2. Bescherm tegen cross-site scripting (XSS)-aanvallen.

Hackers kunnen inloggegevens en inlogcookies van gebruikers stelen wanneer ze zich aanmelden of registreren door kwaadaardig JavaScript in uw codering te introduceren. Installeer firewalls en beveiligingen tegen injecties van actief JavaScript in uw pagina’s.

3. Bescherm tegen SQL-aanvallen.

Om u te beschermen tegen hackers die frauduleuze code in uw site injecteren, moet u altijd geparametriseerde zoekopdrachten gebruiken en standaard Transact SQL vermijden.

4. Dubbele validatie van gegevens.

Bescherm uw abonnees door zowel browser- als servervalidatie te vereisen. Een dubbel validatieproces helpt het invoegen van kwaadaardige scripts te blokkeren via formuliervelden die gegevens accepteren.

5. Sta geen bestandsuploads toe op uw website.

Sommige bedrijven vereisen dat gebruikers bestanden of afbeeldingen uploaden naar hun server. Dit brengt aanzienlijke beveiligingsrisico’s met zich mee, aangezien hackers schadelijke inhoud kunnen uploaden die uw website in gevaar kan brengen. Verwijder uitvoerbare machtigingen voor bestanden en zoek een andere manier voor gebruikers om informatie en afbeeldingen te delen.

6. Zorg voor een robuuste firewall.

Gebruik een robuuste firewall en beperk de toegang van buitenaf alleen tot poorten 80 en 443.

7. Onderhoud een aparte databaseserver.

Houd aparte servers voor uw gegevens en webservers om uw digitale activa beter te beschermen.

8. Implementeer een Secure Sockets Layer (SSL)-protocol.

Koop altijd een SSL-certificaat waarmee u een vertrouwde omgeving behoudt. SSL-certificaten creëren een vertrouwensbasis door een veilige en versleutelde verbinding voor uw website tot stand te brengen. Dit zal uw site beschermen tegen frauduleuze servers.

9. Stel een wachtwoordbeleid op.

Implementeer een strikt wachtwoordbeleid en zorg ervoor dat dit wordt nageleefd. Informeer alle gebruikers over het belang van sterke wachtwoorden. Vereisen in wezen dat alle wachtwoorden aan deze normen voldoen:

• Lengte is minimaal 8 tekens

• Minstens één hoofdletter, één cijfer en één speciaal teken

• Gebruik geen woorden die in het woordenboek voorkomen

• Hoe langer het wachtwoord, hoe sterker de websitebeveiliging.

10. Gebruik hulpprogramma’s voor websitebeveiliging.

Website-beveiligingstools zijn essentieel voor internetbeveiliging. Er zijn veel mogelijkheden, zowel gratis als betaald. Naast software zijn er ook Software-as-a-Service (SaaS)-modellen die uitgebreide tools voor websitebeveiliging bieden.

11. Maak een hack-responsplan.

Soms worden beveiligingssystemen afgewend ondanks de beste pogingen tot bescherming. Als dat gebeurt, moet u een responsplan implementeren met auditlogboeken, serverback-ups en contactgegevens voor uw IT-ondersteuningspersoneel.

12. Zet een backend-activiteitenlogboeksysteem op.

Om het toegangspunt voor een malware-incident te traceren, moet u ervoor zorgen dat u relevante gegevens bijhoudt en vastlegt, zoals inlogpogingen, pagina-updates, coderingswijzigingen en updates en installaties van plug-ins.

13. Zorg voor een faalveilig back-upplan.

Er moet regelmatig een back-up van uw gegevens worden gemaakt, afhankelijk van hoe vaak deze wordt bijgewerkt. Idealiter zijn dagelijkse, wekelijkse en maandelijkse back-ups beschikbaar. Maak een noodherstelplan dat geschikt is voor uw bedrijfstype en -grootte. Zorg ervoor dat u een kopie van uw back-up lokaal en offsite opslaat (er zijn veel goede cloudgebaseerde oplossingen beschikbaar), zodat u snel een ongewijzigde versie van uw gegevens kunt ophalen.

14. Train uw personeel.

Het is absoluut noodzakelijk dat iedereen is opgeleid in het beleid en de procedures die uw bedrijf heeft ontwikkeld om uw website en gegevens veilig te houden en cyberaanvallen te voorkomen. Er hoeft maar één medewerker op een kwaadaardig bestand te klikken om de kans op een inbreuk te creëren. Zorg ervoor dat iedereen het responsplan begrijpt en een exemplaar ervan heeft dat gemakkelijk toegankelijk is.

15. Zorg ervoor dat uw partners en leveranciers veilig zijn.

Uw bedrijf kan gegevens en toegang delen met veel partners en leveranciers. Dit is een andere potentiële bron van inbreuk. Zorg ervoor dat uw partners en leveranciers uw best practices voor webbeveiliging volgen om uw website en gegevens te helpen beschermen. Dit kan worden gedaan met behulp van uw eigen auditproces, of u kunt zich abonneren op softwarebeveiligingsbedrijven die deze service aanbieden.

Zelfs een high-end computersysteem kan snel worden neergehaald door snode malware. Stel niet uit bij het implementeren van de bovenstaande beveiligingsstrategieën. Overweeg om te investeren in een cyberverzekering om uw organisatie te beschermen in het geval er ooit een ernstige inbreuk plaatsvindt. Het beveiligen van uw website tegen hacking en cyberaanvallen is een belangrijk onderdeel van het veilig houden van uw website en uw bedrijf.

Bron: Emily Verbeck