Історії сумно відомі та легендарні. Зайве комп’ютерне обладнання, придбане на аукціоні, містить тисячі файлів із особистою інформацією, включаючи записи про стан здоров’я працівників, банківську інформацію та інші дані, на які поширюється безліч державних і місцевих законів про конфіденційність і дані. Давно забуті віртуальні машини (VM) з конфіденційними даними скомпрометовано - і ніхто не знає. Підприємство-клас маршрутизатори з топологічними даними про корпоративні мережі продаються на eBay. З такою кількістю конфіденційних даних, які щодня стають доступними для громадськості, що ще компанії наражають на потенційних зловмисників?
Справа в тому, що багато даних регулярно оприлюднюється. Минулого місяця, наприклад, постачальник засобів кібербезпеки ESET повідомляє що 56% виведених з експлуатації маршрутизаторів, проданих на вторинному ринку, містили конфіденційні корпоративні матеріали. Це включало такі конфігураційні дані, як ключі автентифікації між маршрутизаторами, облікові дані IPsec і VPN та/або хешовані паролі, облікові дані для підключення до сторонніх мереж і деталі підключення для деяких конкретних програм.
Хмарні вразливості, які призводять до витоку даних, зазвичай є результатом неправильної конфігурації, каже Грег Гетчер, колишній інструктор в Агентстві національної безпеки, а нині генеральний директор і співзасновник White Knight Labs, консалтингової компанії з кібербезпеки, яка спеціалізується на наступальних кіберопераціях. Інколи дані піддаються ризику навмисно, але наївно, зазначає він, наприклад, пропрієтарний код, який знаходить шлях до ChatGPT у нещодавньому Злом Samsung.
Конфіденційні дані, такі як облікові дані та корпоративні секрети, часто зберігаються в GitHub та інших сховищах програмного забезпечення, говорить Хетчер. Для пошуку багатофакторної автентифікації або обходу дійсних облікових даних зловмисники можуть використовувати MFASweep, сценарій PowerShell, який намагається увійти в різні служби Microsoft за допомогою наданого набору облікових даних, який намагається визначити, чи ввімкнено MFA; Evilginx, структура атаки типу "людина посередині", яка використовується для фішингу облікових даних для входу разом із файлами cookie сеансу; та інші інструменти. Ці інструменти можуть знаходити вразливі місця в різноманітних системах і програмах, обходячи існуючі конфігурації безпеки.
Наявність інвентаризації апаратних і програмних активів є важливою, каже Хетчер. Інвентаризація обладнання має включати всі пристрої, оскільки група безпеки повинна точно знати, яке обладнання є в мережі з міркувань обслуговування та відповідності. Команди безпеки можуть використовувати a інвентаризація активів програмного забезпечення щоб захистити свої хмарні середовища, оскільки вони не мають доступу до більшості хмарного обладнання. (Винятком є приватна хмара з апаратним забезпеченням компанії в центрі обробки даних постачальника послуг, яке також підпадає під інвентаризацію активів обладнання.)
Навіть коли програми видаляються з жорстких дисків, які вийшли з експлуатації, файл unattend.xml в операційній системі Windows на диску все ще містить конфіденційні дані, які можуть призвести до порушень, каже Хетчер.
«Якщо я візьму його в руки, і цей пароль локального адміністратора буде повторно використано в корпоративному середовищі, я тепер зможу отримати початкову точку опори», — пояснює він. «Я вже можу рухатися вбік у всьому середовищі».
Конфіденційні дані можуть не залишатися прихованими
Крім фізичного знищення дисків, наступним найкращим варіантом є перезапис усього диска, але цей варіант іноді також можна подолати.
Орен Корен, співзасновник і директор з питань конфіденційності Veriti.ai, що базується в Тель-Авіві, каже, що облікові записи сервісів часто ігноруються джерелом даних, якими можуть скористатися зловмисники, як на робочих серверах, так і коли бази даних на виведених з експлуатації серверах залишаються відкритими. Наприклад, скомпрометовані агенти передачі пошти можуть діяти як атака «людина посередині», дешифруючи прості дані протоколу передачі пошти (SMTP), які надсилаються з робочих серверів.
Подібним чином інші облікові записи служби можуть бути скомпрометовані, якщо зловмисник зможе визначити основну функцію облікового запису та знайти, які компоненти безпеки вимкнено для досягнення цієї мети. Прикладом може бути вимкнення аналізу даних, коли потрібна наднизька затримка.
Подібно до того, як облікові записи служб можуть бути скомпрометовані, якщо їх залишити без нагляду, так само можуть бути порушені віртуальні машини. Хетчер каже, що в популярних хмарних середовищах віртуальні машини часто не виводяться з експлуатації.
«Як команда червоних команд і тестувальник проникнення, ми любимо ці речі, тому що якщо ми отримаємо до них доступ, ми зможемо створити стійкість у хмарному середовищі, запустивши [і] вивівши маяк на одному з тих ящиків, які можуть відповісти наш [командно-контрольний] сервер», — каже він. «Тоді ми можемо утримувати цей доступ нескінченно».
Одним із типів файлів, які часто не користуються, є неструктуровані дані. Хоча для структурованих даних зазвичай діють правила — онлайн-форми, мережеві журнали, журнали веб-серверів або інші кількісні дані з реляційних баз даних — неструктуровані дані можуть бути проблематичними, каже Марк Шайнман, старший директор із продуктів управління Securiti.ai. Це дані з нереляційних баз даних, озер даних, електронної пошти, журналів викликів, веб-журналів, аудіо- та відеозв’язку, потокових середовищ і багатьох загальних форматів даних, які часто використовуються для електронних таблиць, документів і графіки.
«Коли ви зрозумієте, де знаходяться ваші конфіденційні дані, ви зможете запровадити спеціальні політики, які захищатимуть ці дані», — говорить Шайнман.
Політики доступу можуть усунути вразливості
Процес мислення, що стоїть за обміном даними, часто визначає потенційні вразливі місця.
Шайнман каже: «Якщо я ділюся даними з третьою стороною, чи встановлюю я спеціальні політики шифрування чи маскування, щоб, коли ці дані надсилалися вниз, вони мали можливість використовувати ці дані, але ті конфіденційні дані, які існують усередині це середовище не піддається впливу?»
Інтелектуальний доступ – це група політик, які дозволяють певним особам отримувати доступ до даних, які існують на платформі. Ці політики контролюють можливість перегляду та обробки даних на рівні дозволу документа, а не на основі комірки електронної таблиці, наприклад. Підхід зміцнює управління ризиками третьої сторони (TPRM) шляхом надання партнерам доступу до даних, схвалених для їх використання; дані за межами цього дозволу, навіть якщо до них є доступ, не можна переглянути або обробити.
Такі документи, як спеціальна публікація NIST 800-80 Рекомендації щодо медіа санітарії і Рада з управління корпоративними даними (EDM). рамки безпеки може допомогти фахівцям із безпеки визначити елементи керування для виявлення та усунення вразливостей, пов’язаних із виведенням з експлуатації обладнання та захистом даних.
- Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
- PlatoAiStream. Web3 Data Intelligence. Розширення знань. Доступ тут.
- Карбування майбутнього з Адріенн Ешлі. Доступ тут.
- Купуйте та продавайте акції компаній, які вийшли на IPO, за допомогою PREIPO®. Доступ тут.
- джерело: https://www.darkreading.com/edge-articles/making-sure-lost-data-stays-lost
- :є
- : ні
- :де
- 7
- a
- здатність
- Здатний
- МЕНЮ
- доступ
- доступний
- рахунки
- Рахунки
- Діяти
- насправді
- адмін
- агентство
- агенти
- AI
- ВСІ
- Дозволити
- дозволяє
- по
- вже
- an
- аналіз
- та
- застосування
- підхід
- затверджений
- ЕСТЬ
- AS
- активи
- At
- атака
- Спроби
- Аукціон
- аудіо
- Authentication
- доступний
- назад
- Banking
- основа
- BE
- маяк
- оскільки
- за
- буття
- КРАЩЕ
- обидва
- коробки
- порушення
- але
- by
- call
- CAN
- Може отримати
- не може
- Центр
- Генеральний директор
- ChatGPT
- головний
- хмара
- Співзасновник
- код
- зв'язку
- Компанії
- дотримання
- Компоненти
- Компрометація
- обчислення
- конфігурація
- зв'язку
- Зв'язки
- консультування
- споживання
- містяться
- містить
- контроль
- управління
- печиво
- Корпоративний
- може
- Рада
- Ради
- покритий
- створювати
- Повноваження
- кібер-
- Кібербезпека
- щодня
- дані
- аналіз даних
- Центр обробки даних
- управління даними
- базами даних
- деталі
- Визначати
- прилади
- Директор
- do
- документ
- документація
- eBay
- ще
- Співробітник
- включений
- шифрування
- підприємство
- Весь
- Навколишнє середовище
- середовищах
- обладнання
- істотний
- Навіть
- точно
- приклад
- виняток
- існуючий
- існує
- Пояснює
- Експлуатувати
- піддаватися
- факт
- Падати
- філе
- Файли
- знайти
- виявлення
- для
- Колишній
- форми
- Рамки
- від
- функція
- в цілому
- отримати
- GitHub
- мета
- управління
- графіка
- Group
- Руки
- Жорсткий
- апаратні засоби
- хеш
- Мати
- he
- здоров'я
- допомога
- тримати
- тримає
- HTTPS
- i
- ідентифікує
- ідентифікувати
- ідентифікує
- if
- in
- включати
- включені
- У тому числі
- осіб
- ганебний
- інформація
- початковий
- Інтелект
- в
- інвентаризація
- IT
- ЙОГО
- JPG
- ключі
- Дитина
- лицар
- Знати
- Labs
- останній
- Затримка
- Законодавство
- вести
- Витоку
- залишити
- Легендарний
- рівень
- Важіль
- місцевий
- журнал
- Логін
- втрачений
- серія
- любов
- Машинки для перманенту
- made
- обслуговування
- Робить
- управління
- ринок
- матеріал
- Медіа
- Зустрічатися
- МЗС
- Microsoft
- може бути
- місяць
- найбільш
- рухатися
- багато
- багатофакторна аутентифікація
- множинний
- безліч
- my
- National
- національна безпека
- потреби
- мережу
- мереж
- наступний
- nist
- немає
- примітки
- зараз
- of
- від
- наступ
- Офіцер
- часто
- on
- один раз
- ONE
- онлайн
- операційний
- операційна система
- операції
- варіант
- or
- Інше
- наші
- поза
- Подолати
- партнери
- партія
- Пароль
- Паролі
- проникнення
- дозвіл
- наполегливість
- phishing
- Фізично
- місце
- платформа
- plato
- Інформація про дані Платона
- PlatoData
- Політика
- популярний
- потенціал
- PowerShell
- первинний
- недоторканність приватного життя
- приватний
- приватна інформація
- процес
- Оброблено
- Production
- Продукти
- власником
- PROS
- захист
- захищає
- протокол
- за умови
- Постачальник
- громадськість
- Публікація
- придбано
- штовхнув
- put
- кількісний
- швидше
- Причини
- останній
- облік
- червоний
- регулярно
- пов'язаний
- вимагається
- результат
- Risk
- управління ризиками
- Правила
- s
- говорить
- Пошук
- вторинний
- Вторинний ринок
- безпеку
- старший
- чутливий
- посланий
- Сервери
- обслуговування
- Постачальник послуг
- Послуги
- Сесія
- комплект
- поділ
- Короткий
- Повинен
- простий
- з
- So
- Софтвер
- проданий
- деякі
- Source
- спеціальний
- спеціалізується
- конкретний
- Електронна таблиця
- стан
- залишатися
- Як і раніше
- зберігати
- історії
- потоковий
- структурований
- такі
- профіцит
- система
- Systems
- балаканина
- команда
- команди
- Такі
- ніж
- Що
- Команда
- їх
- потім
- Ці
- вони
- речі
- третій
- третя сторона
- це
- ті
- думка
- тисячі
- по всьому
- до
- інструменти
- переклад
- Опинився
- Поворот
- тип
- при
- розуміти
- використання
- використовуваний
- використання
- зазвичай
- різноманітність
- різний
- продавець
- Відео
- вид
- Віртуальний
- VPN
- Уразливості
- шлях..
- we
- Web
- Веб-сервер
- ДОБРЕ
- Що
- коли
- який
- в той час як
- білий
- windows
- з
- в
- б
- XML
- Ти
- вашу
- зефірнет