Οι ιστορίες είναι και διαβόητες και θρυλικές. Ο πλεονάζων υπολογιστικός εξοπλισμός που αγοράστηκε σε δημοπρασία περιέχει χιλιάδες αρχεία με ιδιωτικές πληροφορίες, συμπεριλαμβανομένων των αρχείων υγείας των εργαζομένων, τραπεζικών πληροφοριών και άλλων δεδομένων που καλύπτονται από μια πληθώρα πολιτειακών και τοπικών νόμων περί απορρήτου και δεδομένων. Ξεχασμένες εικονικές μηχανές (VM) με εμπιστευτικά δεδομένα διακυβεύονται - και κανείς δεν ξέρει. Enterprise-class δρομολογητές με δεδομένα τοπολογίας για εταιρικά δίκτυα πωλούνται στο eBay. Με τόσα εμπιστευτικά δεδομένα που διατίθενται στο κοινό σε καθημερινή βάση, τι άλλο εκθέτουν οι εταιρείες σε πιθανούς επιτιθέμενους;
Το γεγονός είναι ότι πολλά δεδομένα εκτίθενται τακτικά. Τον περασμένο μήνα, για παράδειγμα, ο προμηθευτής κυβερνοασφάλειας ESET αναφερθεί ότι το 56% των παροπλισμένων δρομολογητών που πωλήθηκαν στη δευτερογενή αγορά περιείχαν ευαίσθητο εταιρικό υλικό. Αυτό περιλάμβανε δεδομένα διαμόρφωσης όπως κλειδιά ελέγχου ταυτότητας δρομολογητή σε δρομολογητή, διαπιστευτήρια IPsec και VPN ή/και κατακερματισμένους κωδικούς πρόσβασης, διαπιστευτήρια για συνδέσεις σε δίκτυα τρίτων και λεπτομέρειες σύνδεσης για ορισμένες συγκεκριμένες εφαρμογές.
Οι ευπάθειες που βασίζονται στο cloud που οδηγούν σε διαρροές δεδομένων είναι συνήθως αποτέλεσμα εσφαλμένων διαμορφώσεων, λέει ο Greg Hatcher, πρώην εκπαιδευτής στην Εθνική Υπηρεσία Ασφαλείας και τώρα διευθύνων σύμβουλος και συνιδρυτής της White Knight Labs, μιας εταιρείας συμβούλων κυβερνοασφάλειας που ειδικεύεται σε επιθετικές επιχειρήσεις στον κυβερνοχώρο. Μερικές φορές τα δεδομένα τίθενται σε κίνδυνο σκόπιμα αλλά αφελώς, σημειώνει, όπως ο ιδιόκτητος κώδικας που βρίσκει το δρόμο του στο ChatGPT στο πρόσφατο Παραβίαση της Samsung.
Εμπιστευτικά δεδομένα, όπως διαπιστευτήρια και εταιρικά μυστικά, αποθηκεύονται συχνά στο GitHub και σε άλλα αποθετήρια λογισμικού, λέει ο Hatcher. Για να αναζητήσουν έλεγχο ταυτότητας πολλαπλών παραγόντων ή παράκαμψη έγκυρων διαπιστευτηρίων, οι εισβολείς μπορούν να χρησιμοποιήσουν το MFASweep, μια δέσμη ενεργειών PowerShell που επιχειρεί να συνδεθεί σε διάφορες υπηρεσίες της Microsoft χρησιμοποιώντας ένα παρεχόμενο σύνολο διαπιστευτηρίων που προσπαθεί να προσδιορίσει εάν το MFA είναι ενεργοποιημένο. Evilginx, ένα πλαίσιο επίθεσης man-in-the-middle που χρησιμοποιείται για το ηλεκτρονικό ψάρεμα των διαπιστευτηρίων σύνδεσης μαζί με τα cookie περιόδου λειτουργίας. και άλλα εργαλεία. Αυτά τα εργαλεία μπορούν να βρουν τρωτά σημεία πρόσβασης σε μια ποικιλία συστημάτων και εφαρμογών, παρακάμπτοντας τις υπάρχουσες διαμορφώσεις ασφαλείας.
Η ύπαρξη αποθέματος περιουσιακών στοιχείων υλικού και λογισμικού είναι απαραίτητη, λέει ο Hatcher. Το απόθεμα υλικού θα πρέπει να περιλαμβάνει όλες τις συσκευές, επειδή η ομάδα ασφαλείας πρέπει να γνωρίζει ακριβώς ποιο υλικό υπάρχει στο δίκτυο για λόγους συντήρησης και συμμόρφωσης. Οι ομάδες ασφαλείας μπορούν να χρησιμοποιήσουν α απογραφή περιουσιακών στοιχείων λογισμικού για να προστατεύσουν τα περιβάλλοντα cloud τους, καθώς δεν μπορούν να έχουν πρόσβαση στο περισσότερο υλικό που βασίζεται σε σύννεφο. (Η εξαίρεση είναι ένα ιδιωτικό νέφος με υλικό ιδιοκτησίας εταιρείας στο κέντρο δεδομένων του παρόχου υπηρεσιών, το οποίο θα εμπίπτει επίσης στο απόθεμα περιουσιακών στοιχείων υλικού.)
Ακόμη και όταν οι εφαρμογές διαγράφονται από αποσυρθέντες σκληρούς δίσκους, το αρχείο unattend.xml στο λειτουργικό σύστημα Windows στον δίσκο εξακολουθεί να διατηρεί εμπιστευτικά δεδομένα που μπορεί να οδηγήσουν σε παραβιάσεις, λέει ο Hatcher.
"Εάν το καταλάβω και αυτός ο κωδικός πρόσβασης τοπικού διαχειριστή επαναχρησιμοποιηθεί σε όλο το εταιρικό περιβάλλον, τώρα μπορώ να αποκτήσω μια αρχική βάση", εξηγεί. «Μπορώ ήδη να κινούμαι πλευρικά σε όλο το περιβάλλον».
Τα ευαίσθητα δεδομένα ενδέχεται να μην παραμείνουν κρυφά
Εκτός από τη φυσική καταστροφή δίσκων, η επόμενη καλύτερη επιλογή είναι η αντικατάσταση ολόκληρου του δίσκου — αλλά αυτή η επιλογή μερικές φορές μπορεί επίσης να ξεπεραστεί.
Ο Oren Koren, συνιδρυτής και υπεύθυνος προστασίας προσωπικών δεδομένων της Veriti.ai που εδρεύει στο Τελ Αβίβ, λέει ότι οι λογαριασμοί υπηρεσιών είναι μια συχνά αγνοούμενη πηγή δεδομένων που μπορούν να εκμεταλλευτούν οι επιτιθέμενοι, τόσο σε διακομιστές παραγωγής όσο και όταν οι βάσεις δεδομένων σε αποσυρμένους διακομιστές αφήνονται εκτεθειμένες. Οι παραβιασμένοι πράκτορες μεταφοράς αλληλογραφίας, για παράδειγμα, μπορούν να λειτουργήσουν ως επίθεση man-in-the-middle, αποκρυπτογραφώντας δεδομένα απλού πρωτοκόλλου μεταφοράς αλληλογραφίας (SMTP) καθώς αποστέλλονται από διακομιστές παραγωγής.
Ομοίως, άλλοι λογαριασμοί υπηρεσιών θα μπορούσαν να τεθούν σε κίνδυνο εάν ο εισβολέας είναι σε θέση να προσδιορίσει την κύρια λειτουργία του λογαριασμού και να βρει ποια στοιχεία ασφαλείας είναι απενεργοποιημένα για την επίτευξη αυτού του στόχου. Ένα παράδειγμα θα ήταν η απενεργοποίηση της ανάλυσης δεδομένων όταν απαιτείται εξαιρετικά χαμηλή καθυστέρηση.
Ακριβώς όπως οι λογαριασμοί υπηρεσιών μπορούν να παραβιαστούν όταν αφεθούν χωρίς επίβλεψη, το ίδιο συμβαίνει και με τα ορφανά VM. Ο Hatcher λέει ότι σε δημοφιλή περιβάλλοντα cloud, τα VM συχνά δεν παροπλίζονται.
«Ως red teamer και ελεγκτής διείσδυσης, μας αρέσουν αυτά τα πράγματα γιατί αν αποκτήσουμε πρόσβαση σε αυτό, μπορούμε πραγματικά να δημιουργήσουμε επιμονή στο περιβάλλον του cloud με το να εμφανιστεί [και] ένα beacon σε ένα από αυτά τα κουτιά που μπορούν να μιλήσουν ξανά. ο διακομιστής μας [εντολών και ελέγχου]», λέει. «Τότε μπορούμε να κρατήσουμε αυτήν την πρόσβαση επ’ αόριστον».
Ένας τύπος αρχείου που συχνά λαμβάνει short shift είναι τα μη δομημένα δεδομένα. Ενώ γενικά ισχύουν κανόνες για δομημένα δεδομένα - διαδικτυακές φόρμες, αρχεία καταγραφής δικτύου, αρχεία καταγραφής διακομιστή Ιστού ή άλλα ποσοτικά δεδομένα από σχεσιακές βάσεις δεδομένων - τα μη δομημένα δεδομένα μπορεί να είναι προβληματικά, λέει Mark Shainman, ανώτερος διευθυντής προϊόντων διακυβέρνησης στο Securiti.ai. Αυτά είναι δεδομένα από μη σχεσιακές βάσεις δεδομένων, λίμνες δεδομένων, email, αρχεία καταγραφής κλήσεων, αρχεία καταγραφής Ιστού, επικοινωνίες ήχου και βίντεο, περιβάλλοντα ροής και πολλαπλές γενικές μορφές δεδομένων που χρησιμοποιούνται συχνά για υπολογιστικά φύλλα, έγγραφα και γραφικά.
«Μόλις καταλάβετε πού υπάρχουν τα ευαίσθητα δεδομένα σας, μπορείτε να εφαρμόσετε συγκεκριμένες πολιτικές που προστατεύουν αυτά τα δεδομένα», λέει ο Shainman.
Οι πολιτικές πρόσβασης μπορούν να διορθώσουν τρωτά σημεία
Η διαδικασία σκέψης πίσω από την κοινή χρήση δεδομένων συχνά εντοπίζει πιθανές ευπάθειες.
Λέει ο Shainman: «Εάν μοιράζομαι δεδομένα με ένα τρίτο μέρος, εφαρμόζω συγκεκριμένες πολιτικές κρυπτογράφησης ή κάλυψης, έτσι ώστε όταν αυτά τα δεδομένα προωθούνται προς τα κάτω, έχουν τη δυνατότητα να αξιοποιήσουν αυτά τα δεδομένα, αλλά αυτά τα ευαίσθητα δεδομένα που υπάρχουν μέσα αυτό το περιβάλλον δεν είναι εκτεθειμένο;»
Η νοημοσύνη πρόσβασης είναι μια ομάδα πολιτικών που επιτρέπει σε συγκεκριμένα άτομα να έχουν πρόσβαση σε δεδομένα που υπάρχουν σε μια πλατφόρμα. Αυτές οι πολιτικές ελέγχουν τη δυνατότητα προβολής και επεξεργασίας δεδομένων σε επίπεδο αδειών του εγγράφου και όχι σε βάση κελιών σε υπολογιστικό φύλλο, για παράδειγμα. Η προσέγγιση ενισχύεται διαχείριση κινδύνου τρίτων (TPRM) επιτρέποντας στους συνεργάτες να έχουν πρόσβαση σε δεδομένα που έχουν εγκριθεί για την κατανάλωσή τους· δεδομένα εκτός αυτής της άδειας, ακόμη και αν είναι προσβάσιμα, δεν μπορούν να προβληθούν ή να υποβληθούν σε επεξεργασία.
Έγγραφα όπως το NIST's Special Publication 800-80 Οδηγίες για την υγιεινή των μέσων ενημέρωσης και του Συμβουλίου Διαχείρισης Δεδομένων Επιχειρήσεων (EDM). πλαίσια ασφαλείας μπορεί να βοηθήσει τους επαγγελματίες ασφαλείας να ορίσουν ελέγχους για τον εντοπισμό και την αποκατάσταση τρωτών σημείων που σχετίζονται με τον παροπλισμό του υλικού και την προστασία δεδομένων.
- SEO Powered Content & PR Distribution. Ενισχύστε σήμερα.
- PlatoAiStream. Web3 Data Intelligence. Ενισχύθηκε η γνώση. Πρόσβαση εδώ.
- Minting the Future με την Adryenn Ashley. Πρόσβαση εδώ.
- Αγορά και πώληση μετοχών σε εταιρείες PRE-IPO με το PREIPO®. Πρόσβαση εδώ.
- πηγή: https://www.darkreading.com/edge-articles/making-sure-lost-data-stays-lost
- :είναι
- :δεν
- :που
- 7
- a
- ικανότητα
- Ικανός
- Σχετικα
- πρόσβαση
- πρόσβαση
- Λογαριασμός
- Λογαριασμοί
- Πράξη
- πραγματικά
- διαχειριστής
- πρακτορείο
- παράγοντες
- AI
- Όλα
- Επιτρέποντας
- επιτρέπει
- κατά μήκος
- ήδη
- an
- ανάλυση
- και
- εφαρμογές
- πλησιάζω
- εγκεκριμένη
- ΕΙΝΑΙ
- AS
- προσόν
- At
- επίθεση
- Προσπάθειες
- Δημοπρασία
- ήχου
- Πιστοποίηση
- διαθέσιμος
- πίσω
- Τράπεζες
- βάση
- BE
- φάρος
- επειδή
- πίσω
- είναι
- ΚΑΛΎΤΕΡΟΣ
- και οι δύο
- κουτιά
- παραβιάσεις
- αλλά
- by
- κλήση
- CAN
- Μπορεί να πάρει
- δεν μπορώ
- Κέντρο
- Διευθύνων Σύμβουλος
- ChatGPT
- αρχηγός
- Backup
- Συνιδρυτής
- κωδικός
- Διαβιβάσεις
- Εταιρείες
- Συμμόρφωση
- εξαρτήματα
- Συμβιβασμένος
- χρήση υπολογιστή
- διαμόρφωση
- σύνδεση
- Διασυνδέσεις
- συμβουλών
- κατανάλωση
- που περιέχονται
- Περιέχει
- έλεγχος
- ελέγχους
- μπισκότα
- Εταιρικές εκδηλώσεις
- θα μπορούσε να
- Συμβούλιο
- Του Συμβουλίου
- καλύπτονται
- δημιουργία
- Διαπιστεύσεις
- στον κυβερνοχώρο
- Κυβερνασφάλεια
- καθημερινά
- ημερομηνία
- ανάλυση δεδομένων
- Κέντρο δεδομένων
- διαχείριση δεδομένων
- βάσεις δεδομένων
- καθέκαστα
- Προσδιορίστε
- Συσκευές
- Διευθυντής
- do
- έγγραφο
- έγγραφα
- eBay
- αλλιώς
- ΗΛΕΚΤΡΟΝΙΚΗ ΔΙΕΥΘΥΝΣΗ
- Υπάλληλος
- ενεργοποιημένη
- κρυπτογράφηση
- Εταιρεία
- Ολόκληρος
- Περιβάλλον
- περιβάλλοντα
- εξοπλισμός
- ουσιώδης
- Even
- ακριβώς
- παράδειγμα
- εξαίρεση
- υφιστάμενα
- υπάρχει
- Εξηγεί
- Εκμεταλλεύομαι
- εκτεθειμένος
- γεγονός
- Πτώση
- Αρχεία
- Αρχεία
- Εύρεση
- εύρεση
- Για
- Πρώην
- μορφές
- Πλαίσιο
- από
- λειτουργία
- γενικά
- παίρνω
- GitHub
- γκολ
- διακυβέρνησης
- γραφικών
- Group
- τα χέρια
- Σκληρά
- υλικού
- κατακερματισμός
- Έχω
- he
- Υγεία
- βοήθεια
- κρατήστε
- κατέχει
- HTTPS
- i
- αναγνωρίζει
- προσδιορίσει
- προσδιορισμό
- if
- in
- περιλαμβάνουν
- περιλαμβάνονται
- Συμπεριλαμβανομένου
- άτομα
- κακόφημος
- πληροφορίες
- αρχικός
- Νοημοσύνη
- σε
- απογραφή
- IT
- ΤΟΥ
- jpg
- πλήκτρα
- Είδος
- Ιππότης
- Ξέρω
- Labs
- Επίθετο
- Αφάνεια
- Του νόμου
- οδηγήσει
- Διαρροές
- αριστερά
- μυθικός
- Επίπεδο
- Μόχλευση
- τοπικός
- κούτσουρο
- Σύνδεση
- έχασε
- Παρτίδα
- αγάπη
- μηχανήματα
- που
- συντήρηση
- Κατασκευή
- διαχείριση
- αγορά
- υλικό
- Εικόνες / Βίντεο
- Γνωρίστε
- ΣΠΙ
- Microsoft
- ενδέχεται να
- Μηνας
- πλέον
- μετακινήσετε
- πολύ
- επαλήθευση πολλών παραγόντων
- πολλαπλούς
- πλήθος
- my
- εθνικός
- Εθνική ασφάλεια
- ανάγκες
- δίκτυο
- δίκτυα
- επόμενη
- nist
- Όχι.
- Notes
- τώρα
- of
- off
- προσβλητικός
- Αξιωματικός
- συχνά
- on
- μια φορά
- ONE
- διαδικτυακά (online)
- λειτουργίας
- το λειτουργικό σύστημα
- λειτουργίες
- Επιλογή
- or
- ΑΛΛΑ
- δικός μας
- εκτός
- Ξεπεράστε
- Συνεργάτες
- κόμμα
- Κωδικός Πρόσβασης
- Κωδικοί πρόσβασης
- διείσδυση
- άδεια
- επιμονή
- Phishing
- Φυσικώς
- Μέρος
- πλατφόρμες
- Πλάτων
- Πληροφορία δεδομένων Plato
- Πλάτωνα δεδομένα
- Πολιτικές
- Δημοφιλής
- δυναμικού
- PowerShell
- πρωταρχικός
- μυστικότητα
- ιδιωτικός
- ιδιωτικές πληροφορίες
- διαδικασια μας
- Επεξεργασμένο
- παραγωγή
- Προϊόντα
- ιδιόκτητο
- PROS
- προστασία
- προστασία
- πρωτόκολλο
- παρέχεται
- προμηθευτής
- δημόσιο
- Δημοσίευση
- αγοράσει
- πίεσε
- βάζω
- ποσοτικός
- μάλλον
- λόγους
- πρόσφατος
- αρχεία
- Red
- τακτικά
- σχετίζεται με
- απαιτείται
- αποτέλεσμα
- Κίνδυνος
- διαχείριση των κινδύνων
- κανόνες
- s
- λέει
- Αναζήτηση
- δευτερεύων
- Δευτερογενής αγορά
- ασφάλεια
- αρχαιότερος
- ευαίσθητος
- αποστέλλονται
- Διακομιστές
- υπηρεσία
- Πάροχος υπηρεσιών
- Υπηρεσίες
- Συνεδρίαση
- σειρά
- μοιράζονται
- Κοντά
- θα πρέπει να
- Απλούς
- αφού
- So
- λογισμικό
- πωλούνται
- μερικοί
- Πηγή
- ειδική
- ειδικεύεται
- συγκεκριμένες
- Υπολογιστικό φύλλο
- Κατάσταση
- παραμονή
- Ακόμη
- αποθηκεύονται
- ιστορίες
- ροής
- δομημένος
- τέτοιος
- πλεόνασμα
- σύστημα
- συστήματα
- Συζήτηση
- ομάδες
- σύρμα
- από
- ότι
- Η
- τους
- τότε
- Αυτοί
- αυτοί
- πράγματα
- Τρίτος
- τρίτους
- αυτό
- εκείνοι
- σκέψη
- χιλιάδες
- παντού
- προς την
- εργαλεία
- μεταφορά
- Γύρισε
- Στροφή
- τύπος
- υπό
- καταλαβαίνω
- χρήση
- μεταχειρισμένος
- χρησιμοποιώντας
- συνήθως
- ποικιλία
- διάφορα
- πάροχος υπηρεσιών
- Βίντεο
- Δες
- Πραγματικός
- VPN
- Θέματα ευπάθειας
- Τρόπος..
- we
- ιστός
- του web server
- ΛΟΙΠΌΝ
- Τι
- πότε
- Ποιό
- ενώ
- άσπρο
- παράθυρα
- με
- εντός
- θα
- XML
- Εσείς
- Σας
- zephyrnet