Historie są zarówno niesławne, jak i legendarne. Nadwyżki sprzętu komputerowego zakupionego na aukcjach zawierają tysiące plików z prywatnymi informacjami, w tym kartami zdrowia pracowników, informacjami bankowymi i innymi danymi objętymi wieloma stanowymi i lokalnymi przepisami dotyczącymi prywatności i danych. Dawno zapomniane maszyny wirtualne (VM) z poufnymi danymi są zagrożone - i nikt nie wie. Klasa korporacyjna routery z danymi topologicznymi dotyczącymi sieci korporacyjnych są sprzedawane w serwisie eBay. Przy tak dużej ilości poufnych danych udostępnianych codziennie opinii publicznej, co jeszcze firmy narażają na potencjalne ataki?
Faktem jest, że wiele danych jest regularnie ujawnianych. W zeszłym miesiącu na przykład dostawca cyberbezpieczeństwa ESET zgłaszane że 56% wycofanych z eksploatacji routerów sprzedawanych na rynku wtórnym zawierało wrażliwe materiały korporacyjne. Obejmowało to takie dane konfiguracyjne, jak klucze uwierzytelniające router-router, poświadczenia IPsec i VPN i/lub zaszyfrowane hasła, poświadczenia połączeń z sieciami innych firm oraz szczegóły połączeń dla niektórych określonych aplikacji.
Luki w chmurze, które powodują wycieki danych, są zwykle wynikiem błędnej konfiguracji, mówi Greg Hatcher, były instruktor w Agencji Bezpieczeństwa Narodowego, a obecnie dyrektor generalny i współzałożyciel White Knight Labs, firmy konsultingowej zajmującej się bezpieczeństwem cybernetycznym, która specjalizuje się w ofensywnych operacjach cybernetycznych. Czasami dane są narażane celowo, ale naiwnie, jak zauważa, na przykład zastrzeżony kod przedostający się do ChatGPT w ostatnim czasie Włamanie Samsunga.
Poufne dane, takie jak dane uwierzytelniające i tajemnice korporacyjne, są często przechowywane w GitHub i innych repozytoriach oprogramowania, mówi Hatcher. Aby wyszukać uwierzytelnianie wieloskładnikowe lub obejścia prawidłowych poświadczeń, osoby atakujące mogą użyć MFASweep, skryptu PowerShell, który próbuje zalogować się do różnych usług firmy Microsoft przy użyciu dostarczonego zestawu poświadczeń, który próbuje określić, czy MFA jest włączone; Evilginx, struktura ataku typu „man-in-the-middle” używana do wyłudzania danych logowania wraz z sesyjnymi plikami cookie; i inne narzędzia. Narzędzia te mogą znajdować luki w dostępie do różnych systemów i aplikacji, omijając istniejące konfiguracje zabezpieczeń.
Posiadanie zarówno spisu sprzętu, jak i oprogramowania jest niezbędne, mówi Hatcher. Inwentaryzacja sprzętu powinna obejmować wszystkie urządzenia, ponieważ zespół ds. bezpieczeństwa musi dokładnie wiedzieć, jaki sprzęt znajduje się w sieci ze względu na konserwację i zgodność. Zespoły ds. bezpieczeństwa mogą korzystać z inwentaryzacja zasobów oprogramowania aby chronić swoje środowiska w chmurze, ponieważ nie mają dostępu do większości sprzętu opartego na chmurze. (Wyjątkiem jest prywatna chmura ze sprzętem należącym do firmy w centrum danych usługodawcy, która również wchodziłaby w zakres spisu zasobów sprzętowych).
Hatcher mówi, że nawet jeśli aplikacje zostaną usunięte z wycofanych z eksploatacji dysków twardych, plik unattend.xml w systemie operacyjnym Windows na dysku nadal zawiera poufne dane, które mogą prowadzić do naruszeń.
„Jeśli dostanę to w swoje ręce, a hasło lokalnego administratora będzie ponownie używane w całym środowisku korporacyjnym, będę mógł teraz uzyskać początkowy punkt oparcia” — wyjaśnia. „Już teraz mogę poruszać się na boki w całym środowisku”.
Wrażliwe dane mogą nie pozostać ukryte
Poza fizycznym niszczeniem dysków, następną najlepszą opcją jest zastąpienie całego dysku — ale czasami tę opcję można również obejść.
Oren Koren, współzałożyciel i dyrektor ds. prywatności Veriti.ai z siedzibą w Tel Awiwie, mówi, że konta usług są często ignorowanym źródłem danych, które atakujący mogą wykorzystać, zarówno na serwerach produkcyjnych, jak i wtedy, gdy bazy danych na serwerach wycofanych są narażone. Zaatakowani agenci przesyłania poczty mogą na przykład działać jako atak typu man-in-the-middle, odszyfrowując dane SMTP (Simple Mail Transfer Protocol) wysyłane z serwerów produkcyjnych.
Podobnie inne konta usług mogą zostać naruszone, jeśli osoba atakująca będzie w stanie określić podstawową funkcję konta i dowiedzieć się, które składniki zabezpieczeń są wyłączone, aby osiągnąć ten cel. Przykładem może być wyłączenie analizy danych, gdy wymagane jest bardzo małe opóźnienie.
Tak jak konta usług mogą zostać naruszone, gdy zostaną pozostawione bez nadzoru, tak samo mogą zostać naruszone osierocone maszyny wirtualne. Hatcher mówi, że w popularnych środowiskach chmurowych maszyny wirtualne często nie są wycofywane z eksploatacji.
„Jako czerwony zespół i tester penetracyjny uwielbiamy te rzeczy, ponieważ jeśli uzyskamy do nich dostęp, możemy faktycznie stworzyć trwałość w środowisku chmurowym, wskakując [i] wysyłając sygnał nawigacyjny na jednym z tych pudełek, które mogą rozmawiać z nasz serwer [dowodzenia i kontroli]”, mówi. „Wtedy możemy trzymać ten dostęp w nieskończoność”.
Jednym z typów plików, który często jest pomijany, są dane nieustrukturyzowane. Chociaż ogólnie istnieją reguły dotyczące danych strukturalnych — formularzy online, dzienników sieciowych, dzienników serwerów WWW lub innych danych ilościowych z relacyjnych baz danych — dane nieustrukturyzowane mogą być problematyczne, mówi. Mark Shainman, starszy dyrektor ds. produktów ładu korporacyjnego w Securiti.ai. Są to dane z nierelacyjnych baz danych, jezior danych, poczty e-mail, dzienników połączeń, dzienników sieci Web, komunikacji audio i wideo, środowisk przesyłania strumieniowego oraz wielu ogólnych formatów danych często używanych w arkuszach kalkulacyjnych, dokumentach i grafice.
„Kiedy już zrozumiesz, gdzie znajdują się Twoje poufne dane, możesz wprowadzić określone zasady chroniące te dane” — mówi Shainman.
Zasady dostępu mogą usuwać luki w zabezpieczeniach
Proces myślowy stojący za udostępnianiem danych często identyfikuje potencjalne luki w zabezpieczeniach.
Shainman mówi: „Jeśli udostępniam dane stronom trzecim, czy wprowadzam określone zasady szyfrowania lub maskowania, aby po przekazaniu danych dalej mogły one wykorzystać te dane, ale wrażliwe dane, które istnieją w to środowisko nie jest narażone?”
Analiza dostępu to grupa zasad, które umożliwiają określonym osobom dostęp do danych istniejących na platformie. Te zasady kontrolują możliwość przeglądania i przetwarzania danych na poziomie uprawnień dokumentu, a nie na przykład na podstawie komórek w arkuszu kalkulacyjnym. Podejście wzmacnia zarządzanie ryzykiem strony trzeciej (TPRM) poprzez umożliwienie partnerom dostępu do danych zatwierdzonych do ich wykorzystania; danych poza tym zezwoleniem, nawet jeśli uzyskano do nich dostęp, nie można przeglądać ani przetwarzać.
Dokumenty takie jak specjalna publikacja NIST 800-80 Wytyczne dotyczące sanitacji mediów oraz Rada ds. Zarządzania Danymi Przedsiębiorstwa (EDM). ramy bezpieczeństwa może pomóc specjalistom ds. bezpieczeństwa w zdefiniowaniu kontroli służących do identyfikowania i usuwania luk w zabezpieczeniach związanych z wycofywaniem sprzętu i ochroną danych.
- Dystrybucja treści i PR oparta na SEO. Uzyskaj wzmocnienie już dziś.
- PlatoAiStream. Analiza danych Web3. Wiedza wzmocniona. Dostęp tutaj.
- Wybijanie przyszłości w Adryenn Ashley. Dostęp tutaj.
- Kupuj i sprzedawaj akcje spółek PRE-IPO z PREIPO®. Dostęp tutaj.
- Źródło: https://www.darkreading.com/edge-articles/making-sure-lost-data-stays-lost
- :Jest
- :nie
- :Gdzie
- 7
- a
- zdolność
- Zdolny
- O nas
- dostęp
- dostęp
- Konto
- Konta
- działać
- faktycznie
- Admin
- agencja
- agentów
- AI
- Wszystkie kategorie
- Pozwalać
- pozwala
- wzdłuż
- już
- an
- analiza
- i
- aplikacje
- podejście
- zatwierdzony
- SĄ
- AS
- kapitał
- At
- atakować
- Próby
- Aukcja
- audio
- Uwierzytelnianie
- dostępny
- z powrotem
- Bankowość
- podstawa
- BE
- oświetlać
- bo
- za
- jest
- BEST
- obie
- Skrzynki
- naruszenia
- ale
- by
- wezwanie
- CAN
- Może uzyskać
- nie może
- Centrum
- ceo
- ChatGPT
- szef
- Chmura
- Współzałożyciel
- kod
- Komunikacja
- Firmy
- spełnienie
- składniki
- Zagrożone
- computing
- systemu
- połączenie
- połączenia
- doradztwo
- konsumpcja
- zawarte
- zawiera
- kontrola
- kontroli
- cookies
- Korporacyjny
- mógłby
- Rada
- Rada
- pokryty
- Stwórz
- Listy uwierzytelniające
- cyber
- Bezpieczeństwo cybernetyczne
- codziennie
- dane
- analiza danych
- Centrum danych
- zarządzanie danymi
- Bazy danych
- detale
- Ustalać
- urządzenia
- Dyrektor
- do
- dokument
- dokumenty
- eBay
- więcej
- Pracownik
- włączony
- szyfrowanie
- Enterprise
- Cały
- Środowisko
- środowiska
- sprzęt
- niezbędny
- Parzyste
- dokładnie
- przykład
- wyjątek
- Przede wszystkim system został opracowany
- istnieje
- Objaśnia
- Wykorzystać
- narażony
- fakt
- Spadać
- filet
- Akta
- Znajdź
- znalezieniu
- W razie zamówieenia projektu
- Dawny
- formularze
- Framework
- od
- funkcjonować
- ogólnie
- otrzymać
- GitHub
- cel
- zarządzanie
- grafika
- Zarządzanie
- siła robocza
- Ciężko
- sprzęt komputerowy
- zaszyfrowany
- Have
- he
- Zdrowie
- pomoc
- przytrzymaj
- posiada
- HTTPS
- i
- identyfikuje
- zidentyfikować
- identyfikacja
- if
- in
- zawierać
- włączony
- Włącznie z
- osób
- niesławny
- Informacja
- początkowy
- Inteligencja
- najnowszych
- inwentarz
- IT
- JEGO
- jpg
- Klawisze
- Uprzejmy
- Rycerz
- Wiedzieć
- Labs
- Nazwisko
- Utajenie
- Laws
- prowadzić
- Wycieki
- lewo
- legendarny
- poziom
- Dźwignia
- miejscowy
- log
- Zaloguj Się
- stracił
- Partia
- miłość
- maszyny
- zrobiony
- konserwacja
- Dokonywanie
- i konserwacjami
- rynek
- materiał
- Media
- Poznaj nasz
- MSZ
- Microsoft
- może
- Miesiąc
- większość
- ruch
- dużo
- uwierzytelnianie wieloczynnikowe
- wielokrotność
- wielość
- my
- narodowy
- bezpieczeństwo narodowe
- wymagania
- sieć
- sieci
- Następny
- nist
- Nie
- Uwagi
- już dziś
- of
- poza
- obraźliwy
- Oficer
- często
- on
- pewnego razu
- ONE
- Online
- operacyjny
- system operacyjny
- operacje
- Option
- or
- Inne
- ludzkiej,
- zewnętrzne
- Przezwyciężać
- wzmacniacz
- przyjęcie
- Hasło
- hasła
- penetracja
- pozwolenie
- uporczywość
- phishing
- Fizycznie
- Miejsce
- Platforma
- plato
- Analiza danych Platona
- PlatoDane
- polityka
- Popularny
- potencjał
- PowerShell
- pierwotny
- prywatność
- prywatny
- prywatna informacja
- wygląda tak
- Obrobiony
- Produkcja
- Produkty
- własność
- PROS
- chronić
- ochrony
- protokół
- pod warunkiem,
- dostawca
- publiczny
- Publikacja
- zakupione
- popychany
- położyć
- ilościowy
- raczej
- Przyczyny
- niedawny
- dokumentacja
- Czerwony
- regularnie
- związane z
- wymagany
- dalsze
- Ryzyko
- Zarządzanie ryzykiem
- reguły
- s
- mówią
- Szukaj
- wtórny
- Rynek Wtórny
- bezpieczeństwo
- senior
- wrażliwy
- wysłany
- Serwery
- usługa
- Usługodawca
- Usługi
- Sesja
- zestaw
- dzielenie
- Short
- powinien
- Prosty
- ponieważ
- So
- Tworzenie
- sprzedany
- kilka
- Źródło
- specjalny
- specjalizuje się
- specyficzny
- Arkusz kalkulacyjny
- Stan
- pobyt
- Nadal
- przechowywany
- historie
- Streaming
- zbudowany
- taki
- nadwyżka
- system
- systemy
- Mówić
- zespół
- Zespoły
- Tel
- niż
- że
- Połączenia
- ich
- następnie
- Te
- one
- rzeczy
- Trzeci
- innych firm
- to
- tych
- myśl
- tysiące
- poprzez
- do
- narzędzia
- przenieść
- Obrócony
- Obrócenie
- rodzaj
- dla
- zrozumieć
- posługiwać się
- używany
- za pomocą
- zazwyczaj
- różnorodność
- różnorodny
- sprzedawca
- Wideo
- Zobacz i wysłuchaj
- Wirtualny
- VPN
- Luki w zabezpieczeniach
- Droga..
- we
- sieć
- serwer wWW
- DOBRZE
- Co
- jeśli chodzi o komunikację i motywację
- który
- Podczas
- biały
- okna
- w
- w ciągu
- by
- XML
- You
- Twój
- zefirnet