Ресурсы для информирования вашей некоммерческой организации об угрозах кибербезопасности

Фото FLY:D на Unsplash

Для многих некоммерческих организаций быть в курсе угроз кибербезопасности может быть проблемой — наряду с определением приоритетов их реагирования на них. Это особенно верно в свете постоянно меняющегося ландшафта угроз.

Те, кто занимается хакерством, постоянно находят новые способы обойти нашу традиционную защиту. Таким образом, быть в курсе тенденций и угроз является важным аспектом любой стратегии управления рисками, а также крайне важным, когда речь идет о кибербезопасности.

Когда мы читаем заголовки новостей о серьезных кибер-инцидентах, раскрывающих личные данные или нарушающих критическую инфраструктуру, может быть трудно разобраться, что может или не может повлиять на вашу организацию, и стоит ли беспокоиться о безопасности ваших данных или ваших избирателей.

Недавние кибератаки на Colonial Pipeline и другие части нашей критической инфраструктуры являются еще одним напоминанием о важности внимательно следить за тенденциями в области кибербезопасности.

Эта короткая запись в блоге посвящена некоторым полезным ресурсам, которые помогут некоммерческим организациям быть в курсе угроз. Чем лучше мы понимаем возникающие тенденции и закономерности, тем лучше мы подготовлены к защите наших ресурсов и минимизации рисков.

Знакомство с системой CVE

Система CVE (Common Vulnerabilities and Exposures) была разработана, чтобы помочь организовать процесс выявления уязвимостей. Это основанная на стандартах система, поддерживаемая Национальным исследовательским центром кибербезопасности, финансируемым из федерального бюджета, при поддержке NIST (Национальный институт стандартов и технологий).

По мере обнаружения уязвимостей в коммерческом программном обеспечении они каталогизируются этой организацией и идентифицируются с использованием соглашения об именах CVE. Это помогает повысить осведомленность общественности и реакцию отрасли на обнаруженную уязвимость и, в свою очередь, помогает с выявлением и устранением уязвимостей.

Подпишитесь на бюллетени Национальной системы киберинформации

Крайне важно, чтобы организации подписались на бюллетени Национальной системы киберинформации Агентства по кибербезопасности и безопасности инфраструктуры, чтобы получать обновления и оповещения при обнаружении уязвимостей.

Когда вы просматриваете уведомления, предоставленные системой US-CERT (Computer Emergency Response Team), определите, относится ли это предупреждение к вашей организации, сопоставив затронутые продукты в предупреждении с вашим собственным списком приложений.

Обязательно проверьте, какие версии систем затронуты в рамках CVE, и установите приоритет обновления этих систем в зависимости от серьезности, указанной в бюллетене.

Проконсультируйтесь с другими онлайн-ресурсами

В дополнение к предыдущему руководству, предоставленному Национальной системой киберинформации, существуют и другие онлайн-ресурсы. Специалисты по безопасности, журналы и поставщики программного обеспечения или услуг в области кибербезопасности обращаются к текущим проблемам, включая новые угрозы или тенденции.

И Google, и Microsoft часто обновляют свои блоги, посвященные безопасности, и являются отличным ресурсом, даже если ваша организация не использует эти платформы. Фирмы, ориентированные на безопасность, которые имеют превосходное техническое покрытие киберугроз, включают Volexity, Rapid7 и Trend Micro .

KrebsOnSecurity — очень известный и уважаемый лидер в области журналистского освещения кибербезопасности. Zero Day из журнала ZDNet и Threatpost – другие отличные онлайн-ресурсы для получения информации о ландшафт угроз кибербезопасности.

В Интернете есть и другие ресурсы, ориентированные на предоставление более глубокого анализа специально для тех, кто работает в области кибербезопасности. [AlienVault] (https://otx.alienvault.com/), который использует платформу Open Threat Exchange (OTX) для оценки угроз в реальном времени, является особенно уважаемым местом.

Защитите системы своей некоммерческой организации и обучите свой персонал

Независимо от размера вашей организации или ее ИТ-бюджета и ресурсов, внедрение и обслуживание решений безопасности является критическим аспектом снижения рисков вашей организации. Вы также должны убедиться, что ваш персонал хорошо обучен распознавать угрозы.

• Некоммерческие предложения от Avast, NortonLifeLock или Bitdefender предоставляют отличные инструменты для защиты вашей некоммерческой организации от этих угроз.

• Veritas, средство резервного копирования и восстановления, предоставляет вашей организации последний уровень защиты.

• А поскольку даже самая лучшая система подвержена человеческим ошибкам, убедитесь, что ваши сотрудники хорошо обучены распознавать фишинговые электронные письма и другие методы взлома ваших систем. Наша KnowBe4 служба обучения кибербезопасности и соответствию требованиям не только обучает сотрудников, но и проверяет их с помощью имитации фишинговых атак. .

Чтобы получить отличный общий обзор того, как защитить свою организацию, курсы TechSoup предлагают [Набор кибербезопасности] (https://techsoup.course.tc/catalog/digital-security), в котором даны конкретные советы о том, как защитить себя и свою способность служить своим избирателям.

Автор: Майкл Энос, старший директор сообщества и платформы

Совместно опубликовано [здесь] (https://blog.techsoup.org/posts/how-to-keep-your-nonprofit-informed-of-cybersecurity-threats)