Безопасность сервисов для хранения конфиденциальной информации

Конфиденциальность информации компаний мотивирует киберпреступников на поиск уязвимостей, которые позволяют получить доступ к учетным данным. Как этого избежать? Расскажем в этой статье, а также обсудим сервисы, которые позволят автоматизировать:

• работу сервисов,
• рутинные задачи,
• управление множеством учетных записей.

Управление финансами

Мониторинг финансовых активностей является непростым процессом и требует постоянства. Компания Intuit предлагает сервисы по управлению финансами, что позволит удобно систематизировать информацию о финансовых операциях.

Преимущества таких сервисов:

• создание бюджетов и планирование расходов;
• отображение счетов и оставшихся средств в наглядной форме;
• отправка уведомлений в случае появления подозрительных операций.

Один из наиболее популярных сервисов для ведения бюджета– Mint. Он прост в установке, бесплатен и позволяет вводить информацию о банковских счетах, платежной системы PayPal и банковских картах. Также есть возможность отслеживать счета, займы и инвестиции.

Менеджеры паролей

Популярные менеджеры паролей:

• Dashlane,
• 1Password7,
• KeePass,
• Avast Passwords,
• LastPass.

Это сервисы, которые упрощают управление учетными записями посредством хранения и извлечения из зашифрованной базы данных. Представьте, сколько можно сэкономить времени, если для каждого аккаунта используется уникальный пароль и восьми и более символов?

Подавляющее большинство таких сервисов не хранят учетные записи и финансовую информацию в одном месте, а используют шифрование, что позволяет снизить вероятность утечки информации в случае кибратаки.

Как выбрать приложение для ведения бюджета?

Существует несколько методов, используемых в приложениях для ведения бюджета, которым можно доверять. Например, сервис Mint:

1.  Шифрует трафик 128-битным шифрованием с помощью проверенных ресурсов (например, VeriSign и TRUSTe).
2. На серверах также используется 256-битное шифрование для обеспечения безопасности файлов.
3. Для повышения безопасности в приложении есть двухфакторная аутентификация, сканер отпечатков пальцев (Touch ID) и пароли.

И все же невозможно на 100% гарантировать безопасность. Наиболее оптимальный способ обеспечить безопасность – так называемая «кибергигиена».

 

---

Вам могут быть интересны статьи:

• Защита от фишинга: не позволяйте сотрудникам попасть на крючок
• 6 лучших практик защиты электронной почты для сотрудников

---

 

Если вы хотите использовать приложения для ведения бюджета, придется искать компромисс между безопасностью и удобством использования.

Зачастую сотрудники банков отговаривают клиентов от использования подобного рода сервисов, что не безосновательно. Постоянно появляющиеся новые угрозы могут опережать существующие методы защиты.

Почему происходит утечка данных?

Мы выделили 3 основные причины:

1. Сторонние сервисы (например, 1Password) сталкиваются с трудностями, когда речь заходит о хранении информации в памяти. Киберпреступники могут создать утилиту для выгрузки паролей из памяти, используя эти уязвимости.
2. В некоторых менеджерах паролей возникают проблемы при удалении из памяти мастер-пароля, секретного ключа или пароля к базе данных, когда приложение находится в заблокированном состоянии. Например, когда база данных разблокирована, 1Password кэширует всю базу паролей в памяти. Но хакеры могут создать утилиту для выгрузки нужных участков памяти для получения контроля над учетной записью.
3. Шифрование файлов базы данных определяет, сможет ли преступник получить доступ к информации об учетных записях после похищения этих файлов. Очень важна корректная реализация механизма шифрования.

Разработчики предпринимают активные меры по защиты мастер-паролей, но большинство менеджеров недостаточно ответственно относится к удалению паролей из памяти. И у преступников появляется больше шансов создать утилиту для доступа к конфиденциальной информации.

Как убедиться в безопасности учетных данных?

Обеспечьте установку последних обновлений операционных систем (ОС).

Двухфакторная аутентификация на устройствах и в учетных записях позволит защититься от неправомерного доступа и сократит вероятность взлома аккаунта.

Регулярное обновление антивирусного ПО поможет детектировать вредоносов, пытающихся воспользоваться неисправленными уязвимостями. Целью подобных атак может быть выгрузка части оперативной памяти с конфиденциальными данными или точками входа в ОС, через которые можно получить удаленный доступ.

Большинство атак так или иначе основаны на социальной инженерии. Часто встречающийся сценарий – рассылка вредоносных файлов, замаскированных под другую информацию с расчетом, что жертва кликнет на заинтересовавшую ссылку. В этом поможет только ваша внимательность и осведомленность. Никогда не открывайте неизвестные и сомнительные вложения и ссылки.

Убедитесь, что в выбранном приложении реализованы надлежащие меры безопасности, а разработчики активно поддерживают свой продукт и регулярно выпускаются обновления.

Как выбрать менеджер паролей?

В безопасном менеджере паролей должна поддерживаться многофакторная аутентификация. Так как возможны атаки на менеджер паролей:

• В выбранном сервисе должен поддерживаться должный уровень безопасности при генерации, хранении и извлечении паролей.
• Некоторые сервисы автоматически генерируют новые паролей в случае их компрометации. На сайте разработчика 1Password можно указать электронную почту и узнать, были ли утечки паролей.
• Менеджер паролей должен быть интегрирован с плагинами браузера и расширениями для автоматического заполнения форм с доступом на различных ОС.

В идеале стоит избегать использования сторонних приложений для управления учетными данными и в то же время придерживаться кибергигиены, поскольку от человеческого фактора нельзя защититься никакими патчами.