Les histoires sont à la fois infâmes et légendaires. L'équipement informatique excédentaire acheté aux enchères contient des milliers de fichiers contenant des informations privées, notamment les dossiers médicaux des employés, les informations bancaires et d'autres données couvertes par une multitude de lois nationales et locales sur la confidentialité et les données. Machines virtuelles (VM) oubliées depuis longtemps avec des données confidentielles sont compromises - et personne ne sait. Classe entreprise routeurs avec des données de topologie sur les réseaux d'entreprise sont vendus sur eBay. Avec autant de données confidentielles mises quotidiennement à la disposition du public, qu'est-ce que les entreprises exposent d'autre aux attaquants potentiels ?
Le fait est que beaucoup de données sont exposées régulièrement. Le mois dernier, par exemple, le fournisseur de cybersécurité ESET rapporté que 56 % des routeurs mis hors service vendus sur le marché secondaire contenaient du matériel d'entreprise sensible. Cela comprenait des données de configuration telles que les clés d'authentification de routeur à routeur, les informations d'identification IPsec et VPN et/ou les mots de passe hachés, les informations d'identification pour les connexions à des réseaux tiers et les détails de connexion pour certaines applications spécifiques.
Les vulnérabilités basées sur le cloud qui entraînent des fuites de données sont généralement le résultat de mauvaises configurations, explique Greg Hatcher, ancien instructeur à la National Security Agency et maintenant PDG et co-fondateur de White Knight Labs, un cabinet de conseil en cybersécurité spécialisé dans les cyberopérations offensives. Parfois, les données sont mises en danger délibérément mais naïvement, note-t-il, comme le code propriétaire qui s'est retrouvé dans ChatGPT dans le récent Violation de Samsung.
Les données confidentielles, telles que les informations d'identification et les secrets d'entreprise, sont souvent stockées dans GitHub et d'autres référentiels de logiciels, explique Hatcher. Pour rechercher une authentification multifacteur ou contourner des informations d'identification valides, les attaquants peuvent utiliser MFASweep, un script PowerShell qui tente de se connecter à divers services Microsoft à l'aide d'un ensemble d'informations d'identification fourni qui tente d'identifier si MFA est activé ; Malginx, un cadre d'attaque de type "man-in-the-middle" utilisé pour le phishing des identifiants de connexion avec les cookies de session ; et autres outils. Ces outils peuvent trouver des vulnérabilités d'accès dans une variété de systèmes et d'applications, en contournant les configurations de sécurité existantes.
Avoir à la fois un inventaire des actifs matériels et logiciels est essentiel, dit Hatcher. L'inventaire matériel doit inclure tous les périphériques, car l'équipe de sécurité doit savoir exactement quel matériel se trouve sur le réseau pour des raisons de maintenance et de conformité. Les équipes de sécurité peuvent utiliser un inventaire des actifs logiciels pour protéger leurs environnements cloud, car ils ne peuvent pas accéder à la plupart du matériel basé sur le cloud. (L'exception est un cloud privé avec du matériel appartenant à l'entreprise dans le centre de données du fournisseur de services, qui relèverait également de l'inventaire des actifs matériels.)
Même lorsque les applications sont supprimées des disques durs obsolètes, le fichier unattend.xml du système d'exploitation Windows sur le disque contient toujours des données confidentielles qui peuvent entraîner des violations, explique Hatcher.
"Si je mets la main dessus et que ce mot de passe d'administrateur local est réutilisé dans l'environnement de l'entreprise, je peux maintenant prendre un premier pied", explique-t-il. "Je peux déjà me déplacer latéralement dans l'environnement."
Les données sensibles peuvent ne pas rester cachées
À moins de détruire physiquement les disques, la meilleure option suivante consiste à écraser l'intégralité du disque, mais cette option peut parfois également être surmontée.
Oren Koren, co-fondateur et responsable de la confidentialité de Veriti.ai, basé à Tel-Aviv, affirme que les comptes de service sont une source de données souvent ignorée que les attaquants peuvent exploiter, à la fois sur les serveurs de production et lorsque les bases de données sur les serveurs obsolètes sont exposées. Les agents de transfert de courrier compromis, par exemple, peuvent agir comme une attaque de type "man-in-the-middle", en déchiffrant les données du protocole de transfert de courrier simple (SMTP) au fur et à mesure qu'elles sont envoyées depuis les serveurs de production.
De même, d'autres comptes de service pourraient être compromis si l'attaquant est en mesure de déterminer la fonction principale du compte et de trouver quels composants de sécurité sont désactivés pour atteindre cet objectif. Un exemple serait de désactiver l'analyse des données lorsqu'une latence extrêmement faible est requise.
Tout comme les comptes de service peuvent être compromis lorsqu'ils sont laissés sans surveillance, il en va de même pour les machines virtuelles orphelines. Hatcher dit que dans les environnements cloud populaires, les machines virtuelles ne sont souvent pas mises hors service.
"En tant qu'équipe rouge et testeur d'intrusion, nous aimons ces choses parce que si nous y avons accès, nous pouvons en fait créer de la persistance dans l'environnement cloud en apparaissant [et] en faisant apparaître une balise sur l'une de ces boîtes qui peuvent répondre à notre serveur [de commande et de contrôle] », dit-il. "Ensuite, nous pouvons en quelque sorte conserver cet accès indéfiniment."
Un type de fichier souvent négligé est celui des données non structurées. Alors que des règles sont généralement en place pour les données structurées - formulaires en ligne, journaux réseau, journaux de serveur Web ou autres données quantitatives provenant de bases de données relationnelles - les données non structurées peuvent être problématiques, dit Mark Shainman, directeur principal des produits de gouvernance chez Securiti.ai. Il s'agit de données provenant de bases de données non relationnelles, de lacs de données, de courriers électroniques, de journaux d'appels, de journaux Web, de communications audio et vidéo, d'environnements de diffusion en continu et de plusieurs formats de données génériques souvent utilisés pour les feuilles de calcul, les documents et les graphiques.
« Une fois que vous comprenez où se trouvent vos données sensibles, vous pouvez mettre en place des politiques spécifiques qui protègent ces données », explique Shainman.
Les politiques d'accès peuvent remédier aux vulnérabilités
Le processus de réflexion derrière le partage de données identifie souvent des vulnérabilités potentielles.
Selon Shainman : "Si je partage des données avec un tiers, est-ce que je mets en place des politiques de cryptage ou de masquage spécifiques, de sorte que lorsque ces données sont poussées en aval, ils ont la capacité d'exploiter ces données, mais ces données sensibles qui existent dans cet environnement n'est pas exposé ?
L'intelligence d'accès est un groupe de politiques qui permet à des individus spécifiques d'accéder aux données qui existent au sein d'une plate-forme. Ces stratégies contrôlent la possibilité d'afficher et de traiter les données au niveau d'autorisation du document, plutôt que sur la base d'une cellule sur une feuille de calcul, par exemple. L'approche renforce gestion des risques tiers (TPRM) en permettant aux partenaires d'accéder aux données validées pour leur consommation ; les données en dehors de cette autorisation, même si elles sont consultées, ne peuvent pas être consultées ou traitées.
Des documents tels que la publication spéciale 800-80 du NIST Lignes directrices pour l'assainissement des médias et l'Enterprise Data Management (EDM) Council's cadres de sécurité peut aider les professionnels de la sécurité à définir des contrôles pour identifier et corriger les vulnérabilités liées au démantèlement du matériel et à la protection des données.
- Contenu propulsé par le référencement et distribution de relations publiques. Soyez amplifié aujourd'hui.
- PlatoAiStream. Intelligence des données Web3. Connaissance Amplifiée. Accéder ici.
- Frapper l'avenir avec Adryenn Ashley. Accéder ici.
- Achetez et vendez des actions de sociétés PRE-IPO avec PREIPO®. Accéder ici.
- La source: https://www.darkreading.com/edge-articles/making-sure-lost-data-stays-lost
- :est
- :ne pas
- :où
- 7
- a
- capacité
- Capable
- A Propos
- accès
- accédé
- Compte
- hybrides
- Agis
- actually
- admin
- agence
- agents
- AI
- Tous
- Permettre
- permet
- le long de
- déjà
- an
- selon une analyse de l’Université de Princeton
- ainsi que
- applications
- une approche
- ,
- SONT
- AS
- atout
- At
- attaquer
- Tentatives
- Enchères
- acoustique
- Authentification
- disponibles
- RETOUR
- Services bancaires
- base
- BE
- pour
- car
- derrière
- va
- LES MEILLEURS
- tous les deux
- boîtes
- infractions
- mais
- by
- Appelez-nous
- CAN
- Peut obtenir
- ne peut pas
- Canaux centraux
- CEO
- ChatGPT
- chef
- le cloud
- Co-fondateur
- code
- Communications
- Sociétés
- conformité
- composants électriques
- Compromise
- informatique
- configuration
- connexion
- Connexions
- conseil
- consommation
- contenu
- contient
- des bactéries
- contrôles
- biscuits
- Entreprises
- pourriez
- Conseil
- du Conseil
- couvert
- engendrent
- Lettres de créance
- cyber
- Cybersécurité
- Tous les jours
- données
- l'analyse des données
- Centre de données
- gestion des données
- bases de données
- détails
- Déterminer
- Compatibles
- Directeur
- do
- document
- INSTITUTIONNELS
- eBay
- d'autre
- Employés
- activé
- chiffrement
- Entreprise
- Tout
- Environment
- environnements
- l'équipements
- essential
- Pourtant, la
- exactement
- exemple
- exception
- existant
- existe
- Explique
- Exploiter
- exposé
- fait
- Automne
- Déposez votre dernière attestation
- Fichiers
- Trouvez
- trouver
- Pour
- Ancien
- document
- Framework
- De
- fonction
- généralement
- obtenez
- GitHub
- objectif
- gouvernance
- graphique
- Réservation de groupe
- Mains
- Dur
- Matériel
- haché
- Vous avez
- he
- Santé
- vous aider
- appuyez en continu
- détient
- HTTPS
- i
- identifie
- identifier
- identifier
- if
- in
- comprendre
- inclus
- Y compris
- individus
- infâme
- d'information
- initiale
- Intelligence
- développement
- inventaire
- IT
- SES
- jpg
- clés
- Genre
- Chevalier
- Savoir
- Labs
- Nom de famille
- Latence
- Lois
- conduire
- Fuites
- à gauche
- légendaire
- Niveau
- Levier
- locales
- enregistrer
- vous connecter
- perdu
- Lot
- love
- Les machines
- LES PLANTES
- facile
- Fabrication
- gestion
- Marché
- Matériel
- Médias
- Découvrez
- MFA
- Microsoft
- pourrait
- Mois
- (en fait, presque toutes)
- Bougez
- beaucoup
- authentification multifactorielle
- plusieurs
- multitude
- my
- Nationales
- la sécurité nationale
- Besoins
- réseau et
- réseaux
- next
- nist
- aucune
- Notes
- maintenant
- of
- de rabais
- offensive
- Financier
- souvent
- on
- une fois
- ONE
- en ligne
- d'exploitation
- le système d'exploitation
- Opérations
- Option
- or
- Autre
- nos
- au contrôle
- Overcome
- partenaires,
- fête
- Mot de Passe
- mots de passe
- pénétration
- autorisation
- persistance
- phishing
- Physiquement
- Place
- plateforme
- Platon
- Intelligence des données Platon
- PlatonDonnées
- politiques
- Populaire
- défaillances
- PowerShell
- primaire
- la confidentialité
- Privé
- information privée
- processus
- Traité
- Vidéo
- Produits
- propriétaire
- AVANTAGES
- protéger
- L'utilisation de sélénite dans un espace est un excellent moyen de neutraliser l'énergie instable ou négative.
- protocole
- à condition de
- de voiture.
- public
- Publication
- acheté
- Poussé
- mettre
- quantitatif
- plutôt
- Les raisons
- récent
- Articles
- Rouge
- régulièrement
- en relation
- conditions
- résultat
- Analyse
- la gestion des risques
- s
- dit
- Rechercher
- secondaire
- Marché secondaire
- sécurité
- supérieur
- sensible
- envoyé
- Serveurs
- service
- Prestataire de services
- Services
- Session
- set
- partage
- Shorts
- devrait
- étapes
- depuis
- So
- Logiciels
- vendu
- quelques
- Identifier
- spécial
- spécialise
- groupe de neurones
- Tableur
- Région
- rester
- Encore
- stockée
- Stories
- streaming
- structuré
- tel
- excédent
- combustion propre
- Système
- discutons-en
- équipe
- équipes
- Téléphone
- que
- qui
- La
- leur
- puis
- Ces
- l'ont
- des choses
- Troisièmement
- des tiers.
- this
- ceux
- pensée
- milliers
- tout au long de
- à
- les outils
- transférer
- Tourné
- Tournant
- type
- sous
- comprendre
- utilisé
- d'utiliser
- en utilisant
- d'habitude
- variété
- divers
- vendeur
- Vidéo
- Voir
- Salle de conférence virtuelle
- VPN
- vulnérabilités
- Façon..
- we
- web
- le serveur web
- WELL
- Quoi
- quand
- qui
- tout en
- blanc
- fenêtres
- comprenant
- dans les
- pourra
- XML
- Vous n'avez
- Votre
- zéphyrnet