Historierne er både berygtede og legendariske. Overskydende computerudstyr købt på auktion indeholder tusindvis af filer med private oplysninger, herunder medarbejdernes helbredsjournaler, bankoplysninger og andre data, der er dækket af en lang række statslige og lokale love om privatliv og data. Længst glemte virtuelle maskiner (VM'er) med fortrolige data er kompromitteret — og ingen ved det. Enterprise-klasse routere med topologidata om virksomhedsnetværk sælges på eBay. Med så mange fortrolige data, der gøres tilgængelige for offentligheden på daglig basis, hvad udsætter virksomheder så ellers for potentielle angribere?
Faktum er, at en masse data bliver eksponeret regelmæssigt. Sidste måned, for eksempel cybersikkerhedsleverandøren ESET rapporteret at 56 % af de udtjente routere solgt på det sekundære marked indeholdt følsomt virksomhedsmateriale. Dette omfattede sådanne konfigurationsdata som router-til-router-godkendelsesnøgler, IPsec- og VPN-legitimationsoplysninger og/eller hashed-adgangskoder, legitimationsoplysninger for forbindelser til tredjepartsnetværk og forbindelsesdetaljer for nogle specifikke applikationer.
Skybaserede sårbarheder, der resulterer i datalæk, er normalt et resultat af fejlkonfigurationer, siger Greg Hatcher, en tidligere instruktør ved National Security Agency og nu administrerende direktør og medstifter af White Knight Labs, et cybersikkerhedskonsulentfirma, der har specialiseret sig i offensive cyberoperationer. Nogle gange bringes dataene i fare bevidst, men naivt, bemærker han, såsom proprietær kode, der finder vej ind i ChatGPT i det seneste Samsung brud.
Fortrolige data, såsom legitimationsoplysninger og virksomhedshemmeligheder, gemmes ofte i GitHub og andre softwarelagre, siger Hatcher. For at søge efter multifaktorgodkendelse eller omgåelse af gyldige legitimationsoplysninger kan angribere bruge MFASweep, et PowerShell-script, der forsøger at logge på forskellige Microsoft-tjenester ved hjælp af et givet sæt legitimationsoplysninger, der forsøger at identificere, om MFA er aktiveret; Evilginx, en man-in-the-middle-angrebsramme, der bruges til phishing-loginoplysninger sammen med sessionscookies; og andre værktøjer. Disse værktøjer kan finde adgangssårbarheder til en række systemer og applikationer og omgå eksisterende sikkerhedskonfigurationer.
At have både hardware- og softwareaktiver er afgørende, siger Hatcher. Hardwarebeholdningen bør omfatte alle enheder, fordi sikkerhedsteamet skal vide præcis, hvilken hardware der er på netværket af vedligeholdelses- og overholdelsesårsager. Sikkerhedsteams kan bruge en opgørelse af softwareaktiver for at beskytte deres cloud-miljøer, da de ikke kan få adgang til det meste cloud-baseret hardware. (Undtagelsen er en privat sky med virksomhedsejet hardware i tjenesteudbyderens datacenter, som også vil falde ind under hardware-aktivbeholdningen.)
Selv når applikationer slettes fra gamle harddiske, indeholder unattend.xml-filen i Windows-operativsystemet på disken stadig fortrolige data, der kan føre til brud, siger Hatcher.
"Hvis jeg får fingrene i det, og den lokale administratoradgangskode genbruges i hele virksomhedsmiljøet, kan jeg nu få det første fodfæste," forklarer han. "Jeg kan allerede bevæge mig sideværts gennem hele miljøet."
Følsomme data forbliver muligvis ikke skjult
Ud over fysisk ødelæggelse af diske er den næstbedste mulighed at overskrive hele disken - men den mulighed kan nogle gange også overvindes.
Oren Koren, medstifter og chief privacy officer af Tel Aviv-baserede Veriti.ai, siger, at servicekonti er en ofte ignoreret kilde til data, som angribere kan udnytte, både på produktionsservere og når databaser på pensionerede servere efterlades eksponerede. Kompromitterede mailoverførselsagenter kan for eksempel fungere som et man-in-the-middle-angreb, der dekrypterer SMTP-data (Simple Mail Transfer Protocol), når de sendes fra produktionsservere.
På samme måde kan andre tjenestekonti blive kompromitteret, hvis hackeren er i stand til at bestemme kontoens primære funktion og finde ud af, hvilke sikkerhedskomponenter der er slået fra for at nå dette mål. Et eksempel kunne være at slå dataanalyse fra, når der kræves superlav latenstid.
Ligesom tjenestekonti kan blive kompromitteret, når de efterlades uden opsyn, kan forældreløse VM'er også. Hatcher siger, at i populære cloud-miljøer bliver VM'er ofte ikke dekommissioneret.
"Som en rød teamer og en penetrationstester elsker vi disse ting, fordi hvis vi får adgang til det, kan vi faktisk skabe vedholdenhed i skymiljøet ved at poppe ind [og] poppe en beacon på en af de bokse, som kan tale tilbage til vores [kommando-og-kontrol]-server,” siger han. "Så kan vi ligesom holde på den adgang på ubestemt tid."
En filtype, der ofte bliver kortvarig, er ustrukturerede data. Mens regler generelt er på plads for strukturerede data - onlineformularer, netværkslogfiler, webserverlogfiler eller andre kvantitative data fra relationelle databaser - kan de ustrukturerede data være problematiske, siger Mark Shainman, seniordirektør for governance-produkter hos Securiti.ai. Dette er data fra ikke-relationelle databaser, datasøer, e-mail, opkaldslogge, weblogs, lyd- og videokommunikation, streamingmiljøer og flere generiske dataformater, der ofte bruges til regneark, dokumenter og grafik.
"Når du forstår, hvor dine følsomme data findes, kan du indføre specifikke politikker, der beskytter disse data," siger Shainman.
Adgangspolitikker kan afhjælpe sårbarheder
Tankeprocessen bag deling af data identificerer ofte potentielle sårbarheder.
Shainman siger: "Hvis jeg deler data med en tredjepart, sætter jeg så specifikke krypterings- eller maskeringspolitikker på plads, så når disse data skubbes nedstrøms, har de mulighed for at udnytte disse data, men de følsomme data, der findes inden for at miljøet ikke er udsat?”
Adgangsintelligens er en gruppe af politikker, der tillader specifikke personer at få adgang til data, der findes på en platform. Disse politikker styrer muligheden for at se og behandle data på dokumentets tilladelsesniveau i stedet for på cellebasis på f.eks. et regneark. Tilgangen styrker tredjeparts risikostyring (TPRM) ved at give partnere adgang til data, der er godkendt til deres forbrug; data uden for denne tilladelse, selvom der er adgang til dem, kan ikke ses eller behandles.
Dokumenter såsom NISTs særlige publikation 800-80 Retningslinjer for mediesanitet og Enterprise Data Management (EDM) Council's sikkerhedsrammer kan hjælpe sikkerhedsprofessionelle med at definere kontroller til at identificere og afhjælpe sårbarheder relateret til nedlukning af hardware og beskyttelse af data.
- SEO Powered Content & PR Distribution. Bliv forstærket i dag.
- PlatoAiStream. Web3 Data Intelligence. Viden forstærket. Adgang her.
- Udmøntning af fremtiden med Adryenn Ashley. Adgang her.
- Køb og sælg aktier i PRE-IPO-virksomheder med PREIPO®. Adgang her.
- Kilde: https://www.darkreading.com/edge-articles/making-sure-lost-data-stays-lost
- :er
- :ikke
- :hvor
- 7
- a
- evne
- I stand
- Om
- adgang
- af udleverede
- Konto
- Konti
- Lov
- faktisk
- admin
- agentur
- midler
- AI
- Alle
- tillade
- tillader
- sammen
- allerede
- an
- analyse
- ,
- applikationer
- tilgang
- godkendt
- ER
- AS
- aktiv
- At
- angribe
- Forsøg på
- Auktion
- lyd
- Godkendelse
- til rådighed
- tilbage
- Bank
- grundlag
- BE
- beacon
- fordi
- bag
- være
- BEDSTE
- både
- kasser
- brud
- men
- by
- ringe
- CAN
- Kan få
- kan ikke
- center
- Direktør
- ChatGPT
- chef
- Cloud
- Medstifter
- kode
- Kommunikation
- Virksomheder
- Compliance
- komponenter
- Kompromitteret
- computing
- Konfiguration
- tilslutning
- Tilslutninger
- rådgivning
- forbrug
- indeholdt
- indeholder
- kontrol
- kontrol
- cookies
- Corporate
- kunne
- Rådet
- Rådets
- dækket
- skabe
- Legitimationsoplysninger
- Cyber
- Cybersecurity
- dagligt
- data
- dataanalyse
- Data Center
- datastyring
- databaser
- detaljer
- Bestem
- Enheder
- Direktør
- do
- dokumentet
- dokumenter
- eBay
- andet
- Medarbejder
- aktiveret
- kryptering
- Enterprise
- Hele
- Miljø
- miljøer
- udstyr
- væsentlig
- Endog
- præcist nok
- eksempel
- undtagelse
- eksisterende
- eksisterer
- Forklarer
- Exploit
- udsat
- Faktisk
- Fall
- File (Felt)
- Filer
- Finde
- finde
- Til
- Tidligere
- formularer
- Framework
- fra
- funktion
- generelt
- få
- GitHub
- mål
- regeringsførelse
- grafik
- gruppe
- hænder
- Hård Ost
- Hardware
- hash'et
- Have
- he
- Helse
- hjælpe
- hold
- besidder
- HTTPS
- i
- identificerer
- identificere
- identificere
- if
- in
- omfatter
- medtaget
- Herunder
- enkeltpersoner
- berygtede
- oplysninger
- initial
- Intelligens
- ind
- opgørelse
- IT
- ITS
- jpg
- nøgler
- Venlig
- Knight
- Kend
- Labs
- Efternavn
- Latency
- Love
- føre
- Lækager
- til venstre
- legendariske
- Niveau
- Leverage
- lokale
- log
- Logge på
- tabte
- Lot
- kærlighed
- Maskiner
- lavet
- vedligeholdelse
- Making
- ledelse
- Marked
- materiale
- Medier
- Mød
- MFA
- microsoft
- måske
- Måned
- mest
- bevæge sig
- meget
- multifaktorgodkendelse
- flere
- mangfoldighed
- my
- national
- national sikkerhed
- behov
- netværk
- net
- næste
- NIST
- ingen
- Noter
- nu
- of
- off
- offensiv
- Officer
- tit
- on
- engang
- ONE
- online
- drift
- operativsystem
- Produktion
- Option
- or
- Andet
- vores
- uden for
- Overvind
- partnere
- part
- Adgangskode
- Nulstilling/ændring af adgangskoder
- trænge ind
- tilladelse
- udholdenhed
- Phishing
- Fysisk
- Place
- perron
- plato
- Platon Data Intelligence
- PlatoData
- politikker
- Populær
- potentiale
- PowerShell
- primære
- Beskyttelse af personlige oplysninger
- private
- privat information
- behandle
- Behandlet
- produktion
- Produkter
- proprietære
- PROS
- beskytte
- beskyttelse
- protokol
- forudsat
- udbyder
- offentlige
- Offentliggørelse
- købt
- skubbet
- sætte
- kvantitativ
- hellere
- årsager
- nylige
- optegnelser
- Rød
- regelmæssigt
- relaterede
- påkrævet
- resultere
- Risiko
- risikostyring
- regler
- s
- siger
- Søg
- sekundær
- Sekundært marked
- sikkerhed
- senior
- følsom
- sendt
- Servere
- tjeneste
- Tjenesteudbyder
- Tjenester
- Session
- sæt
- deling
- Kort
- bør
- Simpelt
- siden
- So
- Software
- solgt
- nogle
- Kilde
- særligt
- specialiseret
- specifikke
- regneark
- Tilstand
- forblive
- Stadig
- opbevaret
- Historier
- streaming
- struktureret
- sådan
- overskud
- systemet
- Systemer
- Tal
- hold
- hold
- Sådanne
- end
- at
- deres
- derefter
- Disse
- de
- ting
- Tredje
- tredjepart
- denne
- dem
- tænkte
- tusinder
- hele
- til
- værktøjer
- overførsel
- Drejede
- Drejning
- typen
- under
- forstå
- brug
- anvendte
- ved brug af
- sædvanligvis
- række
- forskellige
- sælger
- video
- Specifikation
- Virtual
- VPN
- Sårbarheder
- Vej..
- we
- web
- Webserver
- GODT
- Hvad
- hvornår
- som
- mens
- hvid
- vinduer
- med
- inden for
- ville
- XML
- Du
- Din
- zephyrnet