Z vlastní zkušenosti můžu říct, že jakákoliv preventivní akce, která může být učiněna, je levnější, výhodnější a rozhodně rychlejší než řešit následky hacknutí.
Server co provozuji https://www.muj-moderator.cz/ byl nabourán před 5 lety automatickým robotem, který neukradl žádná data, ale během 24 hodin na webu vygeneroval přes 6 milionů stránek (web má jinak necelých 300 stránek) s obsahem různého více či méně legálního typu. Bohužel google zvládl většinu z těch stránek i zaindexovat. Takže ještě nyní je v jeho indexu cca 3000 stránek typu: vedoucích na adresy jako /i-162-61234-fhdjn-15934-kaicj45095…
Nic není všelék, ale líbí se mně spojení swiss cheese security neboli „ementálová bezpečnost“ – každý plátek (rozuměj každé opatření) má samostatně díry, ale když jich zkombinuješ víc, tak už jsou dohromady docela neprůstřelné.
Jedna šikovná věc je oddělení pracovního a osobního kontextu. Tedy nebýt například přihlášený k pracovním účtům tam, kde zároveň řeším osobní věci. (Někdo na to má rozkazem dva různé počítače, ale zvlášť v menších týmech je zcela běžné, že obě agendy žijou v jednom počítači i prohlížeči. A to je občas recept na průšvih.)
V poslední době jde tohle docela snadno dělat přímo v prohlížeči. Nevím jak Chrome, ale Safari nabízí v posledních verzích oddělené profily, díky kterým můžu mít samostatný profil pro práci a pro osobní věci. Ty profily oddělí například historii nebo cookies, takže když mně třeba někdo pošle nějaký phishingový odkaz v soukromém profilu, nebude mít automaticky přístup k pracovním účtům.
Analogickou funkci nabízí Firefox, který tomu říká kontejnery. Tam jde myslím dokonce zařídit, aby se konkrétní web vždycky otvíral v samostatném kontejneru a nesdílel tedy například přihlašovací data s ostatními okny / kontejnery.
Ty profily jsou navíc docela praktické i v jiných věcech – pokud mám třeba víc Google účtů (osobní a několik organizačních), tak používáním oddělených profilů jsem minimalizoval to neustálé přepínání Google profilů.
Kontejnery ve FF jsou super. Je to přesně jak říkáš, můžeš web nastavit aby se vždy otevíral v daném kontejneru. Takže když bych třeba kliknul na odkaz do bankovnictví (jako že to nedělám), tak asi spozorním pokud se mi neotevře ve speciálním kontejneru Banka.
Praktický benefit to má i pro vývojáře, pokud je potřeba testovat různé uživatelské profily s rozdílnými oprávněními.
Služby, které nepodporují MFA, jsou z principu nebezpečné a je nutné se od nich odstřihnout. Nemít pak MFA zapnuté je bezpečnostní fail.
Do určité míry lze tolerovat služby, které po změně hesla pošlou email, že z IP adresy X.Y.Z.A přišel požadavek na změnu hesla. V tom případě má možnost postižený uživatel alespoň kontaktovat admina a účet zablokovat. Ale to už může být někdy pozdě.
Klíčové je zvýšit povědomí zaměstanců. Interní kurzy o phishingu a dalších technikách (social engineering) + občasné testy zaměstnanců (firmou řízené simulace phishingu a sledování, jak lidé reagují). Během podobné simulace se v naší firmě nachytal a do cizí appky nasázel svoje údaje i šéf divize vývojářů, který rozhodně není IT analfabet. Někdy opravdu stačí nepozornost a problém je na světě.
Firmy mohou nasadit modifikaci externích emailů a upravit např subject, případně vložit na začátek mailu barevnou výstrahu. Někdo využívá i služby typu Mimecast, které linky v emailech obalí a po kliknutí se link nejprve validuje externí službou a teprve po ověření dojde k přesměrování.
