Die Geschichten sind sowohl berüchtigt als auch legendär. Bei einer Auktion gekaufte überschüssige Computerausrüstung enthält Tausende von Dateien mit privaten Informationen, darunter Gesundheitsakten von Mitarbeitern, Bankinformationen und andere Daten, die einer Vielzahl staatlicher und lokaler Datenschutz- und Datengesetze unterliegen. Längst vergessene virtuelle Maschinen (VMs) mit vertraulichen Daten werden gefährdet - und niemand weiß es. Enterprise-Klasse Router mit Topologiedaten über Unternehmensnetzwerke werden bei eBay verkauft. Was setzen Unternehmen potenziellen Angreifern sonst noch aus, wenn der Öffentlichkeit täglich so viele vertrauliche Daten zugänglich gemacht werden?
Tatsache ist, dass regelmäßig viele Daten offengelegt werden. Letzten Monat zum Beispiel der Cybersicherheitsanbieter ESET berichtet dass 56 % der ausgemusterten Router, die auf dem Sekundärmarkt verkauft wurden, sensibles Unternehmensmaterial enthielten. Dazu gehörten Konfigurationsdaten wie Router-zu-Router-Authentifizierungsschlüssel, IPsec- und VPN-Anmeldeinformationen und/oder gehashte Passwörter, Anmeldeinformationen für Verbindungen zu Netzwerken von Drittanbietern und Verbindungsdetails für bestimmte Anwendungen.
Cloudbasierte Schwachstellen, die zu Datenlecks führen, sind normalerweise das Ergebnis von Fehlkonfigurationen, sagt Greg Hatcher, ehemaliger Ausbilder bei der National Security Agency und jetzt CEO und Mitbegründer von White Knight Labs, einem Beratungsunternehmen für Cybersicherheit, das sich auf offensive Cyberoperationen spezialisiert hat. Er stellt fest, dass die Daten manchmal absichtlich, aber naiv gefährdet werden, wie etwa in letzter Zeit proprietärer Code, der seinen Weg in ChatGPT findet Samsung-Verstoß.
Vertrauliche Daten wie Anmeldeinformationen und Unternehmensgeheimnisse werden häufig in GitHub und anderen Software-Repositories gespeichert, sagt Hatcher. Um nach Multifaktor-Authentifizierung oder Umgehungen für gültige Anmeldeinformationen zu suchen, können Angreifer MFASweep verwenden, ein PowerShell-Skript, das versucht, sich mit einem bereitgestellten Satz von Anmeldeinformationen bei verschiedenen Microsoft-Diensten anzumelden, um festzustellen, ob MFA aktiviert ist. Evilginx, ein Man-in-the-Middle-Angriffs-Framework, das zum Phishing von Anmeldeinformationen zusammen mit Sitzungscookies verwendet wird; und andere Werkzeuge. Diese Tools können Zugriffsschwachstellen in einer Vielzahl von Systemen und Anwendungen finden und dabei bestehende Sicherheitskonfigurationen umgehen.
Laut Hatcher ist es unerlässlich, sowohl über einen Bestand an Hardware- als auch über Software-Assets zu verfügen. Die Hardwareinventur sollte alle Geräte umfassen, da das Sicherheitsteam aus Wartungs- und Compliance-Gründen genau wissen muss, welche Hardware im Netzwerk vorhanden ist. Sicherheitsteams können a Software-Asset-Inventur zum Schutz ihrer Cloud-Umgebungen, da sie auf die meiste Cloud-basierte Hardware nicht zugreifen können. (Ausnahme ist eine private Cloud mit firmeneigener Hardware im Rechenzentrum des Dienstleisters, die ebenfalls zum Hardware-Asset-Inventar gehören würde.)
Selbst wenn Anwendungen von ausgemusterten Festplatten gelöscht werden, enthält die Datei unattend.xml im Windows-Betriebssystem auf der Festplatte immer noch vertrauliche Daten, die zu Sicherheitsverletzungen führen können, sagt Hatcher.
„Wenn ich das in die Hände bekomme und das lokale Administratorkennwort in der gesamten Unternehmensumgebung wiederverwendet wird, kann ich jetzt einen ersten Fuß fassen“, erklärt er. „Ich kann mich bereits seitlich in der Umgebung bewegen.“
Sensible Daten bleiben möglicherweise nicht verborgen
Abgesehen von der physischen Zerstörung von Festplatten besteht die nächstbeste Option darin, die gesamte Festplatte zu überschreiben – aber diese Option kann manchmal auch umgangen werden.
Oren Koren, Mitbegründer und Chief Privacy Officer von Veriti.ai mit Sitz in Tel Aviv, sagt, dass Dienstkonten eine oft ignorierte Datenquelle sind, die Angreifer ausnutzen können, sowohl auf Produktionsservern als auch wenn Datenbanken auf ausgemusterten Servern offengelegt bleiben. Kompromittierte Mail Transfer Agents können beispielsweise als Man-in-the-Middle-Angriff fungieren und SMTP-Daten (Simple Mail Transfer Protocol) entschlüsseln, während sie von Produktionsservern gesendet werden.
Ebenso könnten andere Dienstkonten kompromittiert werden, wenn der Angreifer die primäre Funktion des Kontos ermitteln und herausfinden kann, welche Sicherheitskomponenten deaktiviert sind, um dieses Ziel zu erreichen. Ein Beispiel wäre das Ausschalten der Datenanalyse, wenn eine extrem niedrige Latenz erforderlich ist.
Genauso wie Dienstkonten gefährdet sein können, wenn sie unbeaufsichtigt bleiben, können auch verwaiste VMs gefährdet sein. Laut Hatcher werden VMs in beliebten Cloud-Umgebungen oft nicht außer Betrieb genommen.
„Als Red Teamer und Penetrationstester lieben wir diese Dinge, denn wenn wir Zugriff darauf haben, können wir tatsächlich Beständigkeit in der Cloud-Umgebung schaffen, indem wir einen Beacon auf einer dieser Boxen platzieren, mit denen wir kommunizieren können.“ unser [Befehls- und Kontroll-]Server“, sagt er. „Dann können wir diesen Zugriff auf unbestimmte Zeit behalten.“
Ein Dateityp, der oft zu kurz kommt, sind unstrukturierte Daten. Während für strukturierte Daten – Online-Formulare, Netzwerkprotokolle, Webserver-Protokolle oder andere quantitative Daten aus relationalen Datenbanken – im Allgemeinen Regeln gelten, können unstrukturierte Daten problematisch sein, heißt es Mark Shainman, Senior Director für Governance-Produkte bei Securiti.ai. Hierbei handelt es sich um Daten aus nicht relationalen Datenbanken, Data Lakes, E-Mails, Anrufprotokollen, Webprotokollen, Audio- und Videokommunikation, Streaming-Umgebungen und mehreren generischen Datenformaten, die häufig für Tabellenkalkulationen, Dokumente und Grafiken verwendet werden.
„Sobald Sie wissen, wo sich Ihre sensiblen Daten befinden, können Sie spezifische Richtlinien zum Schutz dieser Daten einführen“, sagt Shainman.
Zugriffsrichtlinien können Schwachstellen beheben
Der Denkprozess hinter dem Datenaustausch identifiziert häufig potenzielle Schwachstellen.
Shainman sagt: „Wenn ich Daten mit Dritten teile, setze ich spezielle Verschlüsselungs- oder Maskierungsrichtlinien ein, damit diese beim Weiterleiten dieser Daten die Möglichkeit haben, diese Daten zu nutzen, aber auch die darin enthaltenen sensiblen Daten.“ Diese Umgebung ist nicht exponiert?“
Access Intelligence ist eine Gruppe von Richtlinien, die es bestimmten Personen ermöglicht, auf Daten zuzugreifen, die innerhalb einer Plattform vorhanden sind. Diese Richtlinien steuern die Möglichkeit, Daten auf der Berechtigungsebene des Dokuments anzuzeigen und zu verarbeiten, und nicht beispielsweise auf Zellenbasis in einer Tabellenkalkulation. Der Ansatz stärkt Third-Party-Risikomanagement (TPRM) indem wir Partnern den Zugriff auf Daten ermöglichen, die für ihren Verbrauch genehmigt wurden; Daten außerhalb dieser Erlaubnis können, selbst wenn darauf zugegriffen wird, nicht eingesehen oder verarbeitet werden.
Dokumente wie die NIST-Sonderpublikation 800-80 Richtlinien zur Medienhygiene und des Enterprise Data Management (EDM) Council Sicherheits-Frameworks kann Sicherheitsexperten dabei helfen, Kontrollen zur Identifizierung und Behebung von Schwachstellen im Zusammenhang mit der Außerbetriebnahme von Hardware und dem Schutz von Daten zu definieren.
- SEO-gestützte Content- und PR-Distribution. Holen Sie sich noch heute Verstärkung.
- PlatoAiStream. Web3-Datenintelligenz. Wissen verstärkt. Hier zugreifen.
- Die Zukunft prägen mit Adryenn Ashley. Hier zugreifen.
- Kaufen und verkaufen Sie Anteile an PRE-IPO-Unternehmen mit PREIPO®. Hier zugreifen.
- Quelle: https://www.darkreading.com/edge-articles/making-sure-lost-data-stays-lost
- :Ist
- :nicht
- :Wo
- 7
- a
- Fähigkeit
- Fähig
- LiveBuzz
- Zugang
- Zugriff
- Konto
- Trading Konten
- Handlung
- berührt das Schneidwerkzeug
- Administrator
- Agentur
- Agenten
- AI
- Alle
- Zulassen
- erlaubt
- entlang
- bereits
- an
- Analyse
- und
- Anwendungen
- Ansatz
- genehmigt
- SIND
- AS
- Vermögenswert
- At
- Attacke
- Versuche
- Auktion
- Audio-
- Authentifizierung
- verfügbar
- Zurück
- Bankinggg
- Grundlage
- BE
- Leuchtfeuer
- weil
- hinter
- Sein
- BESTE
- beide
- Boxen
- Verstöße
- aber
- by
- rufen Sie uns an!
- CAN
- Kann bekommen
- kann keine
- Center
- CEO
- ChatGPT
- Chef
- Cloud
- Co-Gründer
- Code
- Kommunikation
- Unternehmen
- Compliance
- Komponenten
- Kompromittiert
- Computing
- Konfiguration
- Verbindung
- Verbindungen
- Beratung
- Verbrauch
- enthalten
- enthält
- Smartgeräte App
- Steuerung
- Cookies
- Unternehmen
- könnte
- Rat
- Rat
- bedeckt
- erstellen
- Referenzen
- Cyber-
- Internet-Sicherheit
- Unterricht
- technische Daten
- Datenanalyse
- Data Center
- Datenmanagement
- Datenbanken
- Details
- Bestimmen
- Geräte
- Direktor
- do
- Dokument
- Unterlagen
- eBay
- sonst
- Mitarbeiter
- freigegeben
- Verschlüsselung
- Unternehmen
- Ganz
- Arbeitsumfeld
- Umgebungen
- Ausrüstung
- essential
- Sogar
- genau
- Beispiel
- Ausnahme
- vorhandenen
- existiert
- Erklärt
- Ausnutzen
- ausgesetzt
- Tatsache
- Fallen
- Reichen Sie das
- Mappen
- Finden Sie
- Suche nach
- Aussichten für
- Früher
- Formen
- Unser Ansatz
- für
- Funktion
- allgemein
- bekommen
- GitHub
- Kundenziele
- Governance
- Grafik
- Gruppe an
- Hände
- hart
- Hardware
- gehasht
- Haben
- he
- Gesundheit
- Hilfe
- hält
- HTTPS
- i
- identifiziert
- identifizieren
- Identifizierung
- if
- in
- das
- inklusive
- Einschließlich
- Einzelpersonen
- berüchtigt
- Information
- Anfangs-
- Intelligenz
- in
- Inventar
- IT
- SEINE
- jpg
- Tasten
- Art
- Knight
- Wissen
- Labs
- Nachname
- Latency
- Gesetze
- führen
- Undichtigkeiten
- links
- legendär
- Niveau
- Hebelwirkung
- aus einer regionalen
- Log
- login
- verloren
- Los
- ich liebe
- Maschinen
- gemacht
- Wartung
- Making
- Management
- Markt
- Ihres Materials
- Medien
- Triff
- MFA
- Microsoft
- könnte
- Monat
- vor allem warme
- schlauer bewegen
- viel
- Multifaktor-Authentifizierung
- mehrere
- Vielzahl
- my
- National
- nationale Sicherheit
- Bedürfnisse
- Netzwerk
- Netzwerke
- weiter
- nist
- nicht
- Notizen
- jetzt an
- of
- WOW!
- Offensive
- Offizier
- vorgenommen,
- on
- einmal
- EINEM
- Online
- die
- Betriebssystem
- Einkauf & Prozesse
- Option
- or
- Andere
- UNSERE
- aussen
- Überwinden
- Party
- Passwort
- Passwörter
- Eindringen
- Erlaubnis
- Beharrlichkeit
- Phishing
- Physisch
- Ort
- Plattform
- Plato
- Datenintelligenz von Plato
- PlatoData
- Politik durchzulesen
- Beliebt
- Potenzial
- Powershell
- primär
- Datenschutz
- privat
- private Informationen
- Prozessdefinierung
- Verarbeitet
- Produktion
- Produkte
- Eigentums-
- PROS
- Risiken zu minimieren
- Schutz
- Protokoll
- vorausgesetzt
- Versorger
- Öffentlichkeit
- Publikationen
- gekauft
- geschoben
- setzen
- quantitativ
- lieber
- Gründe
- kürzlich
- Aufzeichnungen
- Rot
- regelmäßig
- bezogene
- falls angefordert
- Folge
- Risiko
- Risikomanagement
- Ohne eine erfahrene Medienplanung zur Festlegung von Regeln und Strategien beschleunigt der programmatische Medieneinkauf einfach die Rate der verschwenderischen Ausgaben.
- s
- sagt
- Suche
- Sekundär-
- Zweiter Markt
- Sicherheitdienst
- Senior
- empfindlich
- geschickt
- Fertige Server
- Dienstanbieter
- Lösungen
- Sitzung
- kompensieren
- ,,teilen"
- Short
- sollte
- Einfacher
- da
- So
- Software
- verkauft
- einige
- Quelle
- besondere
- spezialisiert
- spezifisch
- Kalkulationstabelle
- Bundesstaat
- bleiben
- Immer noch
- gelagert
- Geschichten
- Streaming
- strukturierte
- so
- Überschuss
- System
- Systeme und Techniken
- Reden
- Team
- Teams
- Tel
- als
- zur Verbesserung der Gesundheitsgerechtigkeit
- Das
- ihr
- dann
- Diese
- vom Nutzer definierten
- Dritte
- basierte Online-to-Offline-Werbezuordnungen von anderen gab.
- fehlen uns die Worte.
- diejenigen
- dachte
- Tausende
- während
- zu
- Werkzeuge
- privaten Transfer
- Turned
- Drehung
- tippe
- für
- verstehen
- -
- benutzt
- Verwendung von
- gewöhnlich
- Vielfalt
- verschiedene
- Verkäufer
- Video
- Anzeigen
- Assistent
- VPN
- Sicherheitslücken
- Weg..
- we
- Netz
- Web-Server
- GUT
- Was
- wann
- welche
- während
- Weiß
- Fenster
- mit
- .
- würde
- XML
- Du
- Ihr
- Zephyrnet