A veszélyeztetett adatok azonosítása logisztikai rémálom lehet

Most értesült arról, hogy vállalati hálózatát vagy felhőkörnyezetét megsértették. Tudja, hogyan lehet azonosítani, hogy mely adatok kerültek veszélybe, és hol tárolták azokat?

A jogsértési vizsgálat elindításához általában szükség van valamilyen kiindulási pontra, de ennek tudatában nem mindig lehetséges. Néha nem tudhatod, melyik adatot vagy fizikai eszközt sértették meg – csak azt, hogy az FBI most hívott fel, hogy közölje, hogy a vállalati adataidat a Dark Web-en találták eladásra – mondja Tyler Young, a BigID biztonsági cég CISO-ja, amely adatvédelemre szakosodott. , megfelelőség és irányítás.

Meg kell határozni a forrásadatbázist, -alkalmazást, -kiszolgálót vagy -tárhelyet, hogy az kriminalisztikai csapat ki tudja küszöbölni a hálózaton még fenyegető potenciális fenyegetéseket.

John Benkert, a Cigent adatbiztonsági vállalat társalapítója és vezérigazgatója azt javasolja, hogy ha nem tudja pontosan, milyen adatok sérülnek meg, kezdje el a szervezet működése szempontjából legkritikusabb, vagy a legérzékenyebb információkat tartalmazó rendszerek és erőforrások értékelését. Összpontosítson azokra a rendszerekre, amelyekre a legvalószínűbb a jogsértés, például az ismert sebezhetőségekkel vagy gyenge biztonsági ellenőrzésekkel rendelkező rendszerekre.

„Amikor a biztonsági csapatok kompromittált adatokat keresnek, gyakran rossz dolgokra összpontosítanak, például ismert aláírásokat vagy kompromisszumjeleket keresnek” – mondja Ani Chaudhuri, a Dasera vezérigazgatója. „Ez a megközelítés hatékony lehet az ismert fenyegetések észlelésére, de kevésbé hasznos új vagy fejlett fenyegetések megtalálására, amelyek nem egyeznek az ismert mintákkal. Ehelyett a biztonsági csapatoknak arra kell összpontosítaniuk, hogy megértsék a szervezet adatait, és hogyan érik el, használják és tárolják őket."

Tartsa naprakész tudását a nyomon követhetőség fenntartásához

Young azt állítja, hogy az eszközök alapvető ismerete, beleértve az adatrendszereket, az identitásokat és az embereket, segít visszafelé dolgozni, ha jogsértés történik. Az automatizált adatfelderítés és -osztályozás révén a szervezetek jobban megérthetik, hol találhatók érzékeny adataik, és ki férhet hozzá. Ezek az információk azután felhasználhatók a biztonsági ellenőrzések azonosítására és rangsorolására, mint például a hozzáférés-szabályozás és a titkosítás, az adatok védelme érdekében – jegyzi meg.

A pontok összekapcsolása a rendszerek, emberek, biztonsági vezérlők és más azonosítható eszközök között visszavezeti a közmondásos útvonalat az adatszivárgáson keresztül, a sötét weben lévő adatoktól egészen addig, ahol az adatok eredetileg a vállalati szervereken voltak, vagy a felhőben.

Elengedhetetlen a naprakész vagyonkezelési profil, beleértve az adatok tárolásának helyét, mely adatok melyik tárolóban találhatók, valamint a hálózati topológia és eszközök teljes jegyzéke.

„A CISO-knak teljes rálátással kell rendelkezniük szervezetük IT-infrastruktúrájára, beleértve az összes virtuális gépet, tárolórendszert és végpontokat” – mondja Young.

A Cigent's Benkert azonosít néhány gyakori hibát, amelyet a szervezetek elkövetnek a jogsértés kivizsgálása során:

• Gyors cselekvés elmulasztása. Az idő nagyon fontos a jogsértés kivizsgálásánál, és a kriminalisztikai adatok gyűjtésének késése lehetővé teszi a támadók számára, hogy elfedjék nyomaikat, megsemmisítsék a bizonyítékokat vagy fokozzák a támadást.
• Adatok felülírása vagy módosítása. A vállalatok véletlenül felülírhatják vagy módosíthatják a kriminalisztikai adatokat, ha folytatják az érintett rendszerek használatát, vagy ellenőrizetlen vizsgálatokat folytatnak.
• Szakértelem hiánya. A kriminalisztikai adatok gyűjtése és elemzése speciális készségeket és eszközöket igényel, és előfordulhat, hogy a vállalatok nem rendelkeznek megfelelő belső szakértelemmel e feladatok hatékony elvégzéséhez.
• Nem vesz figyelembe minden lehetséges bizonyítékforrást. Előfordulhat, hogy a vállalatok figyelmen kívül hagyják vagy nem vizsgálják meg teljes mértékben az összes lehetséges kriminalisztikai adatforrást, mint pl felhő szolgáltatások, mobileszközökön vagy fizikai adathordozón.
• Az adatok kriminalisztikailag megalapozott megőrzése. A bizonyítékok sértetlenségének megőrzése érdekében fontos, hogy igazságügyileg megalapozott módszereket alkalmazzanak az adatgyűjtéshez és -megőrzéshez. Ahhoz, hogy a gyűjtési folyamat igazságügyileg megalapozott legyen, konzisztensnek, megismételhetőnek, jól dokumentáltnak és hitelesítettnek kell lennie.
• Nincs világos incidensreagálási terv. Egy jól meghatározott terv segíthet abban, hogy minden lényeges adatot összegyűjtsenek, és a vizsgálatot módszeresen és hatékonyan lefolytatják.

„A folyamatos megfigyelési és kockázatészlelési képességek segítenek a szervezeteknek azonosítani azokat a rendellenes vagy gyanús viselkedéseket, amelyek adatszivárgásra utalhatnak” – jegyzi meg a Dasera Chaudhuri. Az adathozzáférési minták, valamint az adatok és az infrastruktúra változásainak figyelésével a szervezetek gyorsan észlelhetik a lehetséges fenyegetéseket, és figyelmeztethetik a biztonsági csapatokat, hogy tegyenek lépéseket.

Az OT megsértése különleges aggályokat jelent

Az üzemi technológiai (OT) környezetek megsértése gyakran további kihívások elé állítja a kriminalisztikai csapatokat. Hagyományos informatikai hálózattal a szerverek és más végponti eszközök fizikailag eltávolíthatók, és egy rendészeti laborba vihetők elemzésre. De ez nem feltétlenül így van az OT környezetekben – jegyzi meg Marty Edwards, a Tenable OT/IoT technológiai igazgató-helyettese, a Nemzetközi Automatizálási Társaság (ISA) Global Cybersecurity Alliance (GCA) tagja és az ISA korábbi igazgatója.

OT-környezetekben a kritikus infrastruktúra-rendszerekbe, például víztisztító telepekbe vagy elektromos hálózatba beágyazott eszközvezérlőkben veszélyeztetett adatok létezhetnek, amelyeket nem lehet leválasztani vagy kikapcsolni anélkül, hogy ez emberek ezreit érintené.

Még egy kompromittált, kritikus fontosságú laptop FBI-nak való átadása esetén is előfordulhat, hogy az informatikai csapatnak meg kell tárgyalnia a laptop cseréjének folyamatát, hogy megőrizze a kritikus funkcióját, ahelyett, hogy bizonyítékok zsákjába helyezné. Ahol Az OT és az IT hálózatok konvergálnak, a gyakori kibertámadások, mint például a zsarolóvírusok, sokkal összetettebb törvényszéki vizsgálatokhoz vezethetnek a hálózati eszközök eltérő biztonsági szintje miatt.

Az egyik nehézség az, hogy az OT-rendszerek nagyon testreszabott és olykor szabadalmaztatott hardvert használnak, és a protokollokat nem teszik közzé vagy nem hozzáférhetők nyíltan – jegyzi meg Edwards.

„Néhány esetben saját szerszámokat kellett készítenünk, vagy együttműködnünk kellett a gyártóval vagy az eladóval, hogy behozzuk a gyári szerszámaikat, amelyeket nem adnak el senkinek, de a termék gyártása során használnak. " mondja.

Előfordulhat, hogy a testreszabott szoftvereszközöket a helyszínen egyedileg kell elkészíteni, mivel a hagyományos kriminalisztikai eszközök gyakran nem működnek, mondja Edwards.

• SEO által támogatott tartalom és PR terjesztés. Erősödjön még ma.
• PlatoAiStream. Web3 adatintelligencia. Felerősített tudás. Hozzáférés itt.
• A jövő pénzverése – Adryenn Ashley. Hozzáférés itt.
• Részvények vásárlása és eladása PRE-IPO társaságokban a PREIPO® segítségével. Hozzáférés itt.
• Forrás: https://www.darkreading.com/edge-articles/identifying-compromised-data-can-be-a-logistical-nightmare