कहानियाँ कुख्यात और पौराणिक दोनों हैं। नीलामी में खरीदे गए अधिशेष कंप्यूटिंग उपकरण में निजी जानकारी वाली हजारों फाइलें होती हैं, जिनमें कर्मचारी स्वास्थ्य रिकॉर्ड, बैंकिंग जानकारी और कई राज्य और स्थानीय गोपनीयता और डेटा कानूनों द्वारा कवर किए गए अन्य डेटा शामिल हैं। लंबे समय से भूली हुई वर्चुअल मशीनें (वीएम) गोपनीय डेटा के साथ समझौता किया गया है - और कोई नहीं जानता. एंटरप्राइज़-क्लास कॉर्पोरेट नेटवर्क के बारे में टोपोलॉजी डेटा वाले राउटर eBay पर बेचे जाते हैं. जनता को दैनिक आधार पर इतना गोपनीय डेटा उपलब्ध कराने के बाद, कंपनियां संभावित हमलावरों को और क्या उजागर कर रही हैं?
तथ्य यह है कि बहुत सारा डेटा नियमित रूप से उजागर होता रहता है। पिछले महीने, उदाहरण के लिए, साइबर सुरक्षा विक्रेता ईएसईटी की रिपोर्ट द्वितीयक बाजार में बेचे गए 56% डीकमीशन राउटर्स में संवेदनशील कॉर्पोरेट सामग्री शामिल थी। इसमें राउटर-टू-राउटर प्रमाणीकरण कुंजी, आईपीसेक और वीपीएन क्रेडेंशियल और/या हैशेड पासवर्ड, तृतीय-पक्ष नेटवर्क से कनेक्शन के लिए क्रेडेंशियल और कुछ विशिष्ट अनुप्रयोगों के लिए कनेक्शन विवरण जैसे कॉन्फ़िगरेशन डेटा शामिल थे।
राष्ट्रीय सुरक्षा एजेंसी के पूर्व प्रशिक्षक और अब व्हाइट नाइट लैब्स के सीईओ और सह-संस्थापक, एक साइबर सुरक्षा परामर्शदाता, जो आक्रामक साइबर संचालन में माहिर हैं, ग्रेग हैचर कहते हैं कि क्लाउड-आधारित कमजोरियाँ जो डेटा लीक का कारण बनती हैं, आमतौर पर गलत कॉन्फ़िगरेशन का परिणाम होती हैं। उन्होंने नोट किया कि कभी-कभी डेटा को जानबूझकर लेकिन भोलेपन से जोखिम में डाल दिया जाता है, जैसे हाल ही में मालिकाना कोड चैटजीपीटी में अपना रास्ता खोज रहा है। सैमसंग उल्लंघन.
हैचर का कहना है कि गोपनीय डेटा, जैसे क्रेडेंशियल और कॉर्पोरेट रहस्य, अक्सर GitHub और अन्य सॉफ़्टवेयर रिपॉजिटरी में संग्रहीत किए जाते हैं। मल्टीफैक्टर प्रमाणीकरण या वैध क्रेडेंशियल के लिए बाईपास की खोज करने के लिए, हमलावर एमएफएएसवीप का उपयोग कर सकते हैं, एक पावरशेल स्क्रिप्ट जो क्रेडेंशियल के दिए गए सेट का उपयोग करके विभिन्न माइक्रोसॉफ्ट सेवाओं में लॉग इन करने का प्रयास करती है जो यह पहचानने का प्रयास करती है कि एमएफए सक्षम है या नहीं; Evilginx, एक मैन-इन-द-मिडिल अटैक फ्रेमवर्क जिसका उपयोग सत्र कुकीज़ के साथ फ़िशिंग लॉगिन क्रेडेंशियल के लिए किया जाता है; और अन्य उपकरण। ये उपकरण मौजूदा सुरक्षा कॉन्फ़िगरेशन को दरकिनार करते हुए विभिन्न प्रणालियों और अनुप्रयोगों में पहुंच संबंधी कमजोरियों का पता लगा सकते हैं।
हैचर का कहना है कि हार्डवेयर और सॉफ्टवेयर परिसंपत्ति सूची दोनों का होना आवश्यक है। हार्डवेयर इन्वेंट्री में सभी डिवाइस शामिल होने चाहिए क्योंकि सुरक्षा टीम को रखरखाव और अनुपालन कारणों से यह जानने की ज़रूरत है कि नेटवर्क पर कौन सा हार्डवेयर है। सुरक्षा दल इसका उपयोग कर सकते हैं सॉफ़्टवेयर परिसंपत्ति सूची अपने क्लाउड वातावरण की सुरक्षा के लिए, क्योंकि वे अधिकांश क्लाउड-आधारित हार्डवेयर तक नहीं पहुंच सकते हैं। (अपवाद सेवा प्रदाता के डेटा सेंटर में कंपनी के स्वामित्व वाले हार्डवेयर वाला एक निजी क्लाउड है, जो हार्डवेयर परिसंपत्ति सूची के अंतर्गत भी आएगा।)
हैचर का कहना है कि जब एप्लिकेशन को सेवानिवृत्त हार्ड डिस्क से हटा दिया जाता है, तब भी डिस्क पर विंडोज ऑपरेटिंग सिस्टम में unattend.xml फ़ाइल में गोपनीय डेटा होता है जो उल्लंघन का कारण बन सकता है।
"अगर मैं उस पर अपना हाथ जमा लेता हूं और उस स्थानीय व्यवस्थापक पासवर्ड का पूरे एंटरप्राइज़ वातावरण में पुन: उपयोग किया जाता है, तो मुझे अब प्रारंभिक आधार मिल सकता है," वह बताते हैं। "मैं पहले से ही पूरे वातावरण में पार्श्व रूप से घूम सकता हूं।"
संवेदनशील डेटा छिपा नहीं रह सकता
डिस्क को भौतिक रूप से नष्ट करने के अलावा, अगला सबसे अच्छा विकल्प पूरी डिस्क को ओवरराइट करना है - लेकिन उस विकल्प को कभी-कभी दूर भी किया जा सकता है।
तेल अवीव स्थित Veriti.ai के सह-संस्थापक और मुख्य गोपनीयता अधिकारी ओरेन कोरेन का कहना है कि सेवा खाते डेटा का अक्सर अनदेखा किया जाने वाला स्रोत हैं, जिसका हमलावर उत्पादन सर्वर पर और जब सेवानिवृत्त सर्वर पर डेटाबेस खुला छोड़ दिया जाता है, दोनों का शोषण कर सकते हैं। उदाहरण के लिए, समझौता किए गए मेल ट्रांसफर एजेंट, एक मैन-इन-द-मिडिल हमले के रूप में कार्य कर सकते हैं, सरल मेल ट्रांसफर प्रोटोकॉल (एसएमटीपी) डेटा को डिक्रिप्ट कर सकते हैं क्योंकि यह उत्पादन सर्वर से भेजा जा रहा है।
इसी तरह, यदि हमलावर खाते के प्राथमिक कार्य को निर्धारित करने और यह पता लगाने में सक्षम है कि उस लक्ष्य को पूरा करने के लिए कौन से सुरक्षा घटक बंद हैं, तो अन्य सेवा खातों से समझौता किया जा सकता है। जब सुपर-लो विलंबता की आवश्यकता होती है तो एक उदाहरण डेटा विश्लेषण को बंद करना होगा।
जिस प्रकार सेवा खातों को अप्राप्य छोड़ दिए जाने पर समझौता किया जा सकता है, उसी प्रकार अनाथ वीएम भी हो सकते हैं। हैचर का कहना है कि लोकप्रिय क्लाउड वातावरण में, वीएम को अक्सर बंद नहीं किया जाता है।
"एक रेड टीमर और एक पैठ परीक्षक के रूप में, हम इन चीजों को पसंद करते हैं क्योंकि अगर हमें उस तक पहुंच मिलती है, तो हम वास्तव में उन बक्सों में से एक पर एक बीकन पॉप करके [और] क्लाउड वातावरण के भीतर दृढ़ता पैदा कर सकते हैं जो वापस बात कर सकता है हमारा [कमांड-एंड-कंट्रोल] सर्वर,'' वह कहते हैं। "तब हम उस पहुंच को अनिश्चित काल तक बनाए रख सकते हैं।"
एक फ़ाइल प्रकार जो अक्सर छोटा हो जाता है वह असंरचित डेटा है। जबकि नियम आम तौर पर संरचित डेटा के लिए लागू होते हैं - ऑनलाइन फॉर्म, नेटवर्क लॉग, वेब सर्वर लॉग, या रिलेशनल डेटाबेस से अन्य मात्रात्मक डेटा - असंरचित डेटा समस्याग्रस्त हो सकता है, कहते हैं मार्क शैनमैन, Securiti.ai में शासन उत्पादों के वरिष्ठ निदेशक. यह गैर-संबंधपरक डेटाबेस, डेटा झील, ईमेल, कॉल लॉग, वेब लॉग, ऑडियो और वीडियो संचार, स्ट्रीमिंग वातावरण और कई सामान्य डेटा प्रारूपों से डेटा है जो अक्सर स्प्रेडशीट, दस्तावेज़ और ग्राफिक्स के लिए उपयोग किया जाता है।
शैनमैन कहते हैं, "एक बार जब आप समझ जाते हैं कि आपका संवेदनशील डेटा कहां मौजूद है, तो आप उस डेटा की सुरक्षा के लिए विशिष्ट नीतियां बना सकते हैं।"
पहुंच नीतियां कमजोरियों को दूर कर सकती हैं
डेटा साझा करने के पीछे की विचार प्रक्रिया अक्सर संभावित कमजोरियों की पहचान करती है।
शैनमैन कहते हैं: "अगर मैं किसी तीसरे पक्ष के साथ डेटा साझा कर रहा हूं, तो क्या मैं विशिष्ट एन्क्रिप्शन या मास्किंग नीतियां रखता हूं, ताकि जब उस डेटा को नीचे की ओर धकेला जाए, तो उनके पास उस डेटा का लाभ उठाने की क्षमता हो, लेकिन वह संवेदनशील डेटा जो भीतर मौजूद है वह वातावरण उजागर नहीं हुआ है?”
एक्सेस इंटेलिजेंस नीतियों का एक समूह है जो विशिष्ट व्यक्तियों को एक प्लेटफ़ॉर्म के भीतर मौजूद डेटा तक पहुंचने की अनुमति देता है। उदाहरण के लिए, ये नीतियां स्प्रेडशीट पर सेल के आधार पर दस्तावेज़ के अनुमति स्तर पर डेटा को देखने और संसाधित करने की क्षमता को नियंत्रित करती हैं। दृष्टिकोण को बल मिलता है तृतीय-पक्ष जोखिम प्रबंधन (टीपीआरएम) साझेदारों को उनके उपभोग के लिए अनुमोदित डेटा तक पहुँचने की अनुमति देकर; उस अनुमति के बाहर का डेटा, भले ही उस तक पहुंच हो, उसे देखा या संसाधित नहीं किया जा सकता है।
एनआईएसटी का विशेष प्रकाशन 800-80 जैसे दस्तावेज़ मीडिया स्वच्छता के लिए दिशानिर्देश और एंटरप्राइज डेटा मैनेजमेंट (ईडीएम) काउंसिल सुरक्षा ढाँचे सुरक्षा पेशेवरों को हार्डवेयर को डीकमीशन करने और डेटा की सुरक्षा से संबंधित कमजोरियों की पहचान करने और उन्हें दूर करने के लिए नियंत्रण परिभाषित करने में मदद मिल सकती है।
- एसईओ संचालित सामग्री और पीआर वितरण। आज ही प्रवर्धित हो जाओ।
- प्लेटोआईस्ट्रीम। Web3 डेटा इंटेलिजेंस। ज्ञान प्रवर्धित। यहां पहुंचें।
- मिंटिंग द फ्यूचर डब्ल्यू एड्रिएन एशले। यहां पहुंचें।
- PREIPO® के साथ PRE-IPO कंपनियों में शेयर खरीदें और बेचें। यहां पहुंचें।
- स्रोत: https://www.darkreading.com/edge-articles/making-sure-lost-data-stays-lost
- :है
- :नहीं
- :कहाँ
- 7
- a
- क्षमता
- योग्य
- About
- पहुँच
- पहुँचा
- लेखा
- अकौन्टस(लेखा)
- अधिनियम
- वास्तव में
- व्यवस्थापक
- एजेंसी
- एजेंटों
- AI
- सब
- की अनुमति दे
- की अनुमति देता है
- साथ में
- पहले ही
- an
- विश्लेषण
- और
- अनुप्रयोगों
- दृष्टिकोण
- अनुमोदित
- हैं
- AS
- आस्ति
- At
- आक्रमण
- प्रयास
- नीलाम
- ऑडियो
- प्रमाणीकरण
- उपलब्ध
- वापस
- बैंकिंग
- आधार
- BE
- प्रकाश
- क्योंकि
- पीछे
- जा रहा है
- BEST
- के छात्रों
- बक्से
- उल्लंघनों
- लेकिन
- by
- कॉल
- कर सकते हैं
- पा सकते हैं
- नही सकता
- केंद्र
- मुख्य कार्यपालक अधिकारी
- ChatGPT
- प्रमुख
- बादल
- सह-संस्थापक
- कोड
- संचार
- कंपनियों
- अनुपालन
- घटकों
- छेड़छाड़ की गई
- कंप्यूटिंग
- विन्यास
- संबंध
- कनेक्शन
- परामर्श
- खपत
- निहित
- शामिल हैं
- नियंत्रण
- नियंत्रण
- कुकीज़
- कॉर्पोरेट
- सका
- परिषद
- परिषद के
- कवर
- बनाना
- साख
- साइबर
- साइबर सुरक्षा
- दैनिक
- तिथि
- डेटा विश्लेषण
- डाटा केंद्र
- आँकड़ा प्रबंधन
- डेटाबेस
- विवरण
- निर्धारित करना
- डिवाइस
- निदेशक
- do
- दस्तावेज़
- दस्तावेजों
- ईबे
- अन्य
- ईमेल
- कर्मचारी
- सक्षम
- एन्क्रिप्शन
- उद्यम
- संपूर्ण
- वातावरण
- वातावरण
- उपकरण
- आवश्यक
- और भी
- ठीक ठीक
- उदाहरण
- अपवाद
- मौजूदा
- मौजूद
- बताते हैं
- शोषण करना
- उजागर
- तथ्य
- गिरना
- पट्टिका
- फ़ाइलें
- खोज
- खोज
- के लिए
- पूर्व
- रूपों
- ढांचा
- से
- समारोह
- आम तौर पर
- मिल
- GitHub
- लक्ष्य
- शासन
- ग्राफ़िक्स
- समूह
- हाथ
- कठिन
- हार्डवेयर
- टुकड़ों में बंटी
- है
- he
- स्वास्थ्य
- मदद
- पकड़
- रखती है
- HTTPS
- i
- पहचानती
- पहचान करना
- पहचान
- if
- in
- शामिल
- शामिल
- सहित
- व्यक्तियों
- बदनाम
- करें-
- प्रारंभिक
- बुद्धि
- में
- सूची
- IT
- आईटी इस
- जेपीजी
- Instagram पर
- बच्चा
- शूरवीर
- जानना
- लैब्स
- पिछली बार
- विलंब
- कानून
- नेतृत्व
- लीक
- बाएं
- प्रसिद्ध
- स्तर
- लीवरेज
- स्थानीय
- लॉग इन
- लॉग इन
- खोया
- लॉट
- मोहब्बत
- मशीनें
- बनाया गया
- रखरखाव
- निर्माण
- प्रबंध
- बाजार
- सामग्री
- मीडिया
- मिलना
- एमएफए
- माइक्रोसॉफ्ट
- हो सकता है
- महीना
- अधिकांश
- चाल
- बहुत
- मल्टीकॉलर प्रमाणीकरण
- विभिन्न
- भीड़
- my
- राष्ट्रीय
- राष्ट्रीय सुरक्षा
- की जरूरत है
- नेटवर्क
- नेटवर्क
- अगला
- NIST
- नहीं
- नोट्स
- अभी
- of
- बंद
- अपमानजनक
- अफ़सर
- अक्सर
- on
- एक बार
- ONE
- ऑनलाइन
- परिचालन
- ऑपरेटिंग सिस्टम
- संचालन
- विकल्प
- or
- अन्य
- हमारी
- बाहर
- काबू
- भागीदारों
- पार्टी
- पासवर्ड
- पासवर्ड
- पीडीएफ
- प्रवेश
- अनुमति
- हठ
- फ़िशिंग
- शारीरिक रूप से
- जगह
- मंच
- प्लेटो
- प्लेटो डेटा इंटेलिजेंस
- प्लेटोडाटा
- नीतियाँ
- लोकप्रिय
- संभावित
- PowerShell का
- प्राथमिक
- एकांत
- निजी
- निजी जानकारी
- प्रक्रिया
- प्रसंस्कृत
- उत्पादन
- उत्पाद
- मालिकाना
- PROS
- रक्षा करना
- संरक्षण
- प्रोटोकॉल
- बशर्ते
- प्रदाता
- सार्वजनिक
- प्रकाशन
- खरीदा
- धकेल दिया
- रखना
- मात्रात्मक
- बल्कि
- कारण
- हाल
- अभिलेख
- लाल
- नियमित तौर पर
- सम्बंधित
- अपेक्षित
- परिणाम
- जोखिम
- जोखिम प्रबंधन
- नियम
- s
- कहते हैं
- Search
- माध्यमिक
- द्वितीयक बाजार
- सुरक्षा
- वरिष्ठ
- संवेदनशील
- भेजा
- सर्वर
- सेवा
- सेवा प्रदाता
- सेवाएँ
- सत्र
- सेट
- बांटने
- कम
- चाहिए
- सरल
- के बाद से
- So
- सॉफ्टवेयर
- बेचा
- कुछ
- स्रोत
- विशेष
- माहिर
- विशिष्ट
- स्प्रेडशीट
- राज्य
- रहना
- फिर भी
- संग्रहित
- कहानियों
- स्ट्रीमिंग
- संरचित
- ऐसा
- अधिशेष
- प्रणाली
- सिस्टम
- बातचीत
- टीम
- टीमों
- तेल
- से
- कि
- RSI
- लेकिन हाल ही
- फिर
- इन
- वे
- चीज़ें
- तीसरा
- तीसरे दल
- इसका
- उन
- विचार
- हजारों
- भर
- सेवा मेरे
- उपकरण
- स्थानांतरण
- बदल गया
- मोड़
- टाइप
- के अंतर्गत
- समझना
- उपयोग
- प्रयुक्त
- का उपयोग
- आमतौर पर
- विविधता
- विभिन्न
- विक्रेता
- वीडियो
- देखें
- वास्तविक
- वीपीएन
- कमजोरियों
- मार्ग..
- we
- वेब
- वेब सर्वर
- कुंआ
- क्या
- कब
- कौन कौन से
- जब
- सफेद
- खिड़कियां
- साथ में
- अंदर
- होगा
- एक्सएमएल
- आप
- आपका
- जेफिरनेट