הסיפורים ידועים לשמצה ואגדיים כאחד. ציוד מחשוב עודף שנרכש במכירה פומבית מכיל אלפי קבצים עם מידע פרטי, כולל רשומות בריאות של עובדים, מידע בנקאי ונתונים אחרים המכוסים על ידי שפע של חוקי פרטיות ונתונים במדינה ובמקומי. מכונות וירטואליות (VM) שנשכחו מזמן עם נתונים חסויים נפגעים - ואף אחד לא יודע. ברמה ארגונית נתבים עם נתוני טופולוגיה על רשתות ארגוניות נמכרים באיביי. עם כל כך הרבה נתונים סודיים שזמינים לציבור על בסיס יומי, מה עוד חברות חושפות לתוקפים פוטנציאליים?
העובדה היא שהרבה נתונים נחשפים באופן קבוע. בחודש שעבר, למשל, ספקית אבטחת הסייבר ESET דיווח ש-56% מהנתבים שהוצאו משימוש שנמכרו בשוק המשני הכילו חומר תאגידי רגיש. זה כלל נתוני תצורה כגון מפתחות אימות נתב לנתב, אישורי IPsec ו-VPN ו/או סיסמאות גיבוב, אישורים לחיבורים לרשתות של צד שלישי ופרטי חיבור עבור יישומים ספציפיים מסוימים.
פגיעויות מבוססות ענן שגורמות לדליפות נתונים הן בדרך כלל תוצאה של הגדרות שגויות, אומר גרג האטצ'ר, מדריך לשעבר בסוכנות לביטחון לאומי וכיום מנכ"ל ומייסד שותף של White Knight Labs, חברת ייעוץ לאבטחת סייבר שמתמחה בפעולות סייבר התקפיות. לפעמים הנתונים מסוכנים בכוונה אך בתמימות, הוא מציין, כמו קוד קנייני שמצא את דרכו אל ChatGPT לאחרונה הפרת סמסונג.
נתונים חסויים, כגון אישורים וסודות תאגידים, מאוחסנים לעתים קרובות ב-GitHub ובמאגרי תוכנה אחרים, אומר Hatcher. כדי לחפש אימות רב-גורמי או עקיפת אישורים חוקיים, תוקפים יכולים להשתמש ב-MFASweep, סקריפט PowerShell המנסה להיכנס לשירותים שונים של Microsoft באמצעות קבוצה מסופקת של אישורים שמנסה לזהות אם MFA מופעל; Evilginx, מסגרת התקפה של man-in-the-middle המשמשת לאישורי התחברות להתחזות יחד עם קובצי Cookie של הפעלה; וכלים נוספים. כלים אלה יכולים למצוא פרצות גישה למגוון מערכות ויישומים, תוך עקיפת תצורות אבטחה קיימות.
יש צורך במלאי חומרה ותוכנה כאחד, אומר Hatcher. מלאי החומרה צריך לכלול את כל המכשירים מכיוון שצוות האבטחה צריך לדעת בדיוק איזו חומרה יש ברשת מסיבות תחזוקה ותאימות. צוותי אבטחה יכולים להשתמש ב-a מלאי נכסי תוכנה כדי להגן על סביבות הענן שלהם, מכיוון שהם לא יכולים לגשת לרוב החומרה מבוססת הענן. (היוצא מן הכלל הוא ענן פרטי עם חומרה בבעלות החברה במרכז הנתונים של ספק השירות, שייכלל גם תחת מלאי נכסי החומרה).
גם כאשר יישומים נמחקים מדיסקים קשיחים שיצאו משימוש, קובץ unattend.xml במערכת ההפעלה Windows בדיסק עדיין מכיל נתונים חסויים שעלולים להוביל להפרות, אומר Hatcher.
"אם אשים את ידיי על זה ועל סיסמת הניהול המקומית הזו נעשה שימוש חוזר בכל הסביבה הארגונית, עכשיו אני יכול לקבל דריסת רגל ראשונית", הוא מסביר. "אני כבר יכול לנוע לרוחב בכל הסביבה."
נתונים רגישים עשויים שלא להישאר מוסתרים
חוץ מהשמדת דיסקים פיזית, האפשרות הבאה הטובה ביותר היא החלפת הדיסק כולו - אבל לפעמים אפשר להתגבר גם על אפשרות זו.
אורן קורן, מייסד שותף וקצין הפרטיות הראשי של Veriti.ai התל אביבי, אומר שחשבונות שירות הם מקור נתונים שמתעלמים ממנו לעתים קרובות שתוקפים יכולים לנצל, הן בשרתי ייצור והן כאשר מסדי נתונים בשרתים שיצאו משימוש נותרים חשופים. סוכני העברת דואר שנפגעו, למשל, יכולים לפעול כמתקפת אדם באמצע, לפענח נתוני פרוטוקול העברת דואר פשוט (SMTP) בזמן שהם נשלחים משרתי הייצור.
באופן דומה, חשבונות שירות אחרים עלולים להיפגע אם התוקף יוכל לקבוע את הפונקציה העיקרית של החשבון ולמצוא אילו רכיבי אבטחה כבויים כדי לעמוד ביעד זה. דוגמה לכך היא כיבוי של ניתוח נתונים כאשר נדרש זמן אחזור סופר נמוך.
בדיוק כפי שניתן לסכן חשבונות שירות כאשר הם נותרים ללא השגחה, כך גם VMs יתומים. Hatcher אומר שבסביבות ענן פופולריות, מכשירי VM לרוב אינם מבוטלים.
"בתור צוות אדום ובוחן חדירה, אנחנו אוהבים את הדברים האלה, כי אם נקבל גישה לזה, נוכל למעשה ליצור התמדה בתוך סביבת הענן על ידי קפיצה [ו] הפצצת משואה על אחת מהקופסאות האלה שאפשר לדבר אליהן בחזרה. השרת [פקודה ושליטה] שלנו", הוא אומר. "אז נוכל להחזיק בגישה הזו ללא הגבלת זמן."
סוג קובץ אחד שלעתים קרובות נמשך זמן קצר הוא נתונים לא מובנים. בעוד שבדרך כלל קיימים כללים עבור נתונים מובנים - טפסים מקוונים, יומני רשת, יומני שרת אינטרנט או נתונים כמותיים אחרים ממסדי נתונים יחסיים - הנתונים הלא מובנים יכולים להיות בעייתיים, אומר מארק שיינמן, מנהל בכיר למוצרי ממשל ב-Securiti.ai. מדובר בנתונים מבסיסי נתונים לא יחסיים, אגמי נתונים, דואר אלקטרוני, יומני שיחות, יומני אינטרנט, תקשורת אודיו ווידאו, סביבות סטרימינג ומספר פורמטים גנריים של נתונים המשמשים לעתים קרובות עבור גיליונות אלקטרוניים, מסמכים וגרפיקה.
"ברגע שאתה מבין היכן הנתונים הרגישים שלך קיימים, אתה יכול לקבוע מדיניות ספציפית שתגן על הנתונים האלה", אומר שיינמן.
מדיניות גישה יכולה לתקן פגיעויות
תהליך החשיבה שמאחורי שיתוף הנתונים מזהה לעתים קרובות נקודות תורפה פוטנציאליות.
אומר שיינמן: "אם אני משתף נתונים עם צד שלישי, האם אני מציב מדיניות הצפנה או מיסוך ספציפיים, כך שכאשר הנתונים האלה נדחפים במורד הזרם, יש להם את היכולת למנף את הנתונים האלה, אבל את הנתונים הרגישים שקיימים בתוך שהסביבה לא חשופה?"
Access Intelligence היא קבוצה של מדיניות המאפשרת לאנשים ספציפיים לגשת לנתונים הקיימים בתוך פלטפורמה. מדיניות זו שולטת ביכולת להציג ולעבד נתונים ברמת ההרשאה של המסמך, במקום על בסיס תא על גיליון אלקטרוני, למשל. הגישה מתחזקת ניהול סיכונים של צד שלישי (TPRM) על ידי מתן אפשרות לשותפים לגשת לנתונים שאושרו לצריכה שלהם; לא ניתן להציג או לעבד נתונים מחוץ להרשאה זו, גם אם יש גישה אליהם.
מסמכים כמו הפרסום המיוחד של NIST 800-80 הנחיות לתברואה במדיה והמועצה לניהול נתונים ארגוניים (EDM). מסגרות אבטחה יכול לעזור למקצועני האבטחה להגדיר בקרות לזיהוי ותיקון פגיעויות הקשורות לביטול חומרה והגנה על נתונים.
- הפצת תוכן ויחסי ציבור מופעל על ידי SEO. קבל הגברה היום.
- PlatoAiStream. Web3 Data Intelligence. הידע מוגבר. גישה כאן.
- הטבעת העתיד עם אדריאן אשלי. גישה כאן.
- קנה ומכירה של מניות בחברות PRE-IPO עם PREIPO®. גישה כאן.
- מקור: https://www.darkreading.com/edge-articles/making-sure-lost-data-stays-lost
- :הוא
- :לֹא
- :איפה
- 7
- a
- יכולת
- יכול
- אודות
- גישה
- נצפה
- חֶשְׁבּוֹן
- חשבונות
- לפעול
- למעשה
- מנהל
- סוכנות
- סוכנים
- AI
- תעשיות
- מאפשר
- מאפשר
- לאורך
- כְּבָר
- an
- אנליזה
- ו
- יישומים
- גישה
- מאושר
- ARE
- AS
- נכס
- At
- לתקוף
- ניסיונות
- מכירה פומבית
- אודיו
- אימות
- זמין
- בחזרה
- בנקאות
- בסיס
- BE
- משואה
- כי
- מאחור
- להיות
- הטוב ביותר
- שניהם
- תיבות
- פרות
- אבל
- by
- שיחה
- CAN
- יכול לקבל
- לא יכול
- מרכז
- מנכ"ל
- ChatGPT
- רֹאשׁ
- ענן
- מייסד שותף
- קוד
- תקשורת
- חברות
- הענות
- רכיבים
- התפשר
- מחשוב
- תְצוּרָה
- הקשר
- חיבורי
- ייעוץ
- צְרִיכָה
- הכלול
- מכיל
- לִשְׁלוֹט
- בקרות
- עוגיות
- משותף
- יכול
- המועצה
- של המועצה
- מכוסה
- לִיצוֹר
- אישורים
- סייבר
- אבטחת סייבר
- יומי
- נתונים
- ניתוח נתונים
- מרכז נתונים
- ניהול נתונים
- מאגרי מידע
- פרטים
- לקבוע
- התקנים
- מְנַהֵל
- do
- מסמך
- מסמכים
- eBay
- אחר
- אמייל
- עובד
- מופעל
- הצף
- מִפְעָל
- שלם
- סביבה
- סביבות
- ציוד
- חיוני
- אֲפִילוּ
- בדיוק
- דוגמה
- יוצא מן הכלל
- קיימים
- קיים
- מסביר
- לנצל
- חשוף
- עובדה
- ליפול
- שלח
- קבצים
- מציאת
- בעד
- לשעבר
- צורות
- מסגרת
- החל מ-
- פונקציה
- בדרך כלל
- לקבל
- GitHub
- מטרה
- ממשל
- גרפיקה
- קְבוּצָה
- ידיים
- קשה
- חומרה
- חשיש
- יש
- he
- בְּרִיאוּת
- לעזור
- להחזיק
- מחזיק
- HTTPS
- i
- מזהה
- לזהות
- זיהוי
- if
- in
- לכלול
- כלול
- כולל
- אנשים
- מְתוֹעָב
- מידע
- בתחילה
- מוֹדִיעִין
- אל תוך
- מלאי
- IT
- שֶׁלָה
- jpg
- מפתחות
- סוג
- אַבִּיר
- לדעת
- מעבדות
- אחרון
- חֶבִיוֹן
- חוקים
- עוֹפֶרֶת
- דליפות
- עזבו
- אגדי
- רמה
- תנופה
- מקומי
- היכנס
- התחבר
- אבוד
- מגרש
- אהבה
- מכונה
- עשוי
- תחזוקה
- עשייה
- ניהול
- שוק
- חוֹמֶר
- מדיה
- לִפְגוֹשׁ
- משרד חוץ
- מיקרוסופט
- יכול
- חוֹדֶשׁ
- רוב
- המהלך
- הרבה
- אימות רב-פקטורי
- מספר
- המון
- my
- לאומי
- ביטחון לאומי
- צרכי
- רשת
- רשתות
- הבא
- ניסט
- לא
- הערות
- עַכשָׁיו
- of
- כבוי
- מתקפה
- קָצִין
- לעתים קרובות
- on
- פעם
- ONE
- באינטרנט
- פועל
- מערכת הפעלה
- תפעול
- אפשרות
- or
- אחר
- שלנו
- בחוץ
- להתגבר על
- שותפים
- צד
- סיסמה
- סיסמאות
- חֲדִירָה
- רשות
- התמדה
- דיוג
- פיזית
- מקום
- פלטפורמה
- אפלטון
- מודיעין אפלטון
- אפלטון נתונים
- מדיניות
- פופולרי
- פוטנציאל
- PowerShell
- יְסוֹדִי
- פְּרָטִיוּת
- פְּרָטִי
- מידע פרטי
- תהליך
- מעובד
- הפקה
- מוצרים
- קניינית
- PROS
- להגן
- אבטחה
- פרוטוקול
- ובלבד
- ספק
- ציבורי
- פרסום
- נרכש
- דחף
- גם
- כמותי
- במקום
- סיבות
- לאחרונה
- רשום
- Red
- באופן קבוע
- קָשׁוּר
- נדרש
- תוצאה
- הסיכון
- ניהול סיכונים
- כללי
- s
- אומר
- חיפוש
- משני
- שוק משני
- אבטחה
- לחצני מצוקה לפנסיונרים
- רגיש
- נשלח
- שרתים
- שרות
- ספק שירות
- שירותים
- מושב
- סט
- שיתוף
- קצר
- צריך
- פָּשׁוּט
- since
- So
- תוכנה
- נמכרים
- כמה
- מָקוֹר
- מיוחד
- מתמחה
- ספציפי
- גיליון אלקטרוני
- מדינה
- להשאר
- עוד
- מאוחסן
- סיפורים
- נהירה
- מובנה
- כזה
- עודף
- מערכת
- מערכות
- לדבר
- נבחרת
- צוותי
- כזה
- מֵאֲשֶׁר
- זֶה
- השמיים
- שֶׁלָהֶם
- אז
- אלה
- הֵם
- דברים
- שְׁלִישִׁי
- צד שלישי
- זֶה
- אלה
- מחשבה
- אלפים
- בכל
- ל
- כלים
- להעביר
- הסתובב
- פנייה
- סוג
- תחת
- להבין
- להשתמש
- מְשׁוּמָשׁ
- באמצעות
- בְּדֶרֶך כְּלַל
- מגוון
- שונים
- מוכר
- וִידֵאוֹ
- לצפיה
- וירטואלי
- VPN
- פגיעויות
- דֶרֶך..
- we
- אינטרנט
- שרת אינטרנט
- טוֹב
- מה
- מתי
- אשר
- בזמן
- לבן
- חלונות
- עם
- בתוך
- היה
- XML
- אתה
- זפירנט