这些故事既臭名昭著又传奇。 在拍卖会上购买的剩余计算设备包含数以千计的私人信息文件,包括员工健康记录、银行信息以及许多州和地方隐私和数据法律所涵盖的其他数据。 被遗忘已久的虚拟机 (VM) 机密数据被泄露 - 没有人知道。 企业级 具有公司网络拓扑数据的路由器 在 eBay 上出售。 每天都有如此多的机密数据向公众开放,公司还有什么暴露给潜在攻击者的?
事实上,很多数据会定期暴露。 例如上个月,网络安全厂商 ESET 报道 在二级市场上出售的退役路由器中有 56% 包含敏感的公司材料。 这包括配置数据,例如路由器到路由器的身份验证密钥、IPsec 和 VPN 凭据和/或散列密码、连接到第三方网络的凭据以及某些特定应用程序的连接详细信息。
导致数据泄露的基于云的漏洞通常是错误配置的结果,Greg Hatcher 说,他曾是美国国家安全局的讲师,现任 White Knight Labs 的首席执行官兼联合创始人,这是一家专门从事攻击性网络操作的网络安全咨询公司。 他指出,有时数据会被故意但天真地置于风险之中,例如最近专有代码进入 ChatGPT 三星违规.
Hatcher 说,机密数据,例如凭据和公司机密,通常存储在 GitHub 和其他软件存储库中。 为了搜索多因素身份验证或绕过有效凭据,攻击者可以使用 MFASweep,这是一个 PowerShell 脚本,它会尝试使用提供的一组凭据来登录各种 Microsoft 服务,这些凭据会尝试识别 MFA 是否已启用; 邪恶的,一个中间人攻击框架,用于钓鱼登录凭据和会话 cookie; 和其他工具。 这些工具可以找到各种系统和应用程序的访问漏洞,绕过现有的安全配置。
Hatcher 说,拥有硬件和软件资产清单是必不可少的。 硬件清单应包括所有设备,因为出于维护和合规性原因,安全团队需要准确了解网络上的硬件。 安全团队可以使用 软件资产清单 保护他们的云环境,因为他们无法访问大多数基于云的硬件。 (例外情况是在服务提供商的数据中心拥有公司自有硬件的私有云,这也属于硬件资产清单。)
Hatcher 说,即使从报废的硬盘中删除了应用程序,磁盘上 Windows 操作系统中的 unattend.xml 文件仍然包含可能导致泄露的机密数据。
“如果我掌握了这一点,并且该本地管理员密码在整个企业环境中得到重复使用,我现在就可以获得初步的立足点,”他解释道。 “我已经可以在整个环境中横向移动了。”
敏感数据可能不会隐藏
除了物理上破坏磁盘之外,下一个最佳选择是覆盖整个磁盘——但有时也可以克服该选项。
总部位于特拉维夫的 Veriti.ai 的联合创始人兼首席隐私官 Oren Koren 表示,服务帐户是攻击者可以利用的一个经常被忽视的数据源,无论是在生产服务器上还是在退役服务器上的数据库暴露在外时。 例如,受感染的邮件传输代理可以充当中间人攻击,解密从生产服务器发送的简单邮件传输协议 (SMTP) 数据。
同样,如果攻击者能够确定帐户的主要功能并找到关闭了哪些安全组件以满足该目标,则其他服务帐户也可能受到威胁。 一个例子是在需要超低延迟时关闭数据分析。
正如服务帐户在无人看管时可能会受到损害一样,孤立的 VM 也是如此。 Hatcher 说,在流行的云环境中,虚拟机通常不会退役。
“作为一名红队队员和一名渗透测试员,我们喜欢这些东西,因为如果我们能够访问它,我们实际上可以通过弹出 [并] 在其中一个可以回复的盒子上弹出一个信标来在云环境中创建持久性我们的 [命令和控制] 服务器,”他说。 “然后我们可以无限期地保留该访问权限。”
一种经常被忽视的文件类型是非结构化数据。 虽然规则通常适用于结构化数据——在线表格、网络日志、Web 服务器日志或来自关系数据库的其他定量数据——但非结构化数据可能存在问题,说 Securiti.ai 治理产品高级总监 Mark Shainman. 这是来自非关系数据库、数据湖、电子邮件、通话记录、Web 日志、音频和视频通信、流媒体环境以及通常用于电子表格、文档和图形的多种通用数据格式的数据。
“一旦了解了敏感数据的位置,就可以制定保护这些数据的特定策略,”Shainman 说。
访问策略可以修复漏洞
共享数据背后的思考过程通常会识别潜在的漏洞。
Shainman 说:“如果我与第三方共享数据,我是否制定了特定的加密或屏蔽策略,以便在将该数据推送到下游时,他们能够利用该数据,但其中存在的敏感数据那个环境没有暴露?
访问智能是一组策略,允许特定个人访问平台中存在的数据。 例如,这些策略控制在文档的权限级别查看和处理数据的能力,而不是在电子表格的单元格基础上。 该方法支持 第三方风险管理(TPRM) 允许合作伙伴访问批准供其使用的数据; 超出该权限的数据,即使被访问,也无法查看或处理。
NIST 特别出版物 800-80 等文件 媒体卫生指南 和企业数据管理 (EDM) 委员会的 安全框架 可以帮助安全专家定义用于识别和修复与停用硬件和保护数据相关的漏洞的控制措施。
- SEO 支持的内容和 PR 分发。 今天得到放大。
- 柏拉图爱流。 Web3 数据智能。 知识放大。 访问这里。
- 与 Adryenn Ashley 一起铸造未来。 访问这里。
- 使用 PREIPO® 买卖 PRE-IPO 公司的股票。 访问这里。
- Sumber: https://www.darkreading.com/edge-articles/making-sure-lost-data-stays-lost
- :是
- :不是
- :在哪里
- 7
- a
- 对,能力--
- Able
- 关于
- ACCESS
- 访问
- 账号管理
- 账户
- 法案
- 通
- 管理员
- 机构
- 中介代理
- AI
- 所有类型
- 允许
- 允许
- 沿
- 已经
- an
- 分析
- 和
- 应用领域
- 的途径
- 批准
- 保健
- AS
- 财富
- At
- 攻击
- 尝试
- 拍卖
- 音频
- 认证
- 可使用
- 背部
- 银行业
- 基础
- BE
- 烽火
- 因为
- 背后
- 作为
- 最佳
- 都
- 箱
- 违规
- 但是
- by
- 呼叫
- CAN
- 可以得到
- 不能
- Center
- CEO
- ChatGPT
- 首席
- 云端技术
- 联合创始人
- 码
- 通信
- 公司
- 符合
- 组件
- 妥协
- 计算
- 配置
- 地都
- 连接
- 顾问
- 消费
- 包含
- 包含
- 控制
- 控制
- 曲奇饼
- 公司
- 可以
- 评议会
- 理事会
- 覆盖
- 创建信息图
- 资历
- 网络
- 网络安全
- 每天
- data
- 数据分析
- 数据中心
- 数据管理
- 数据库
- 详情
- 确定
- 设备
- 副总经理
- do
- 文件
- 文件
- 易趣
- 其他
- 邮箱地址
- 员工
- 启用
- 加密
- 企业
- 整个
- 环境
- 环境中
- 设备
- 必要
- 甚至
- 究竟
- 例子
- 例外
- 现有
- 存在
- 介绍
- 利用
- 裸露
- 事实
- 秋季
- 文件
- 档
- 找到最适合您的地方
- 寻找
- 针对
- 前
- 形式
- 骨架
- 止
- 功能
- 通常
- 得到
- GitHub上
- 目标
- 治理
- 图像
- 团队
- 手
- 硬
- 硬件
- 哈希
- 有
- he
- 健康管理
- 帮助
- 举行
- 持有
- HTTPS
- i
- 识别
- 鉴定
- 确定
- if
- in
- 包括
- 包括
- 包含
- 个人
- 臭名昭著
- 信息
- 初始
- 房源搜索
- 成
- 库存
- IT
- 它的
- JPG
- 键
- 类
- 骑士
- 知道
- 实验室
- 名:
- 潜伏
- 法律
- 铅
- 泄漏
- 左
- 传奇的
- Level
- 杠杆作用
- 本地
- 日志
- 登录
- 丢失
- 占地
- 爱
- 机
- 制成
- 保养
- 制作
- 颠覆性技术
- 市场
- 材料
- 媒体
- 满足
- 外交部
- 微软
- 可能
- 月
- 最先进的
- 移动
- 许多
- 多因素身份验证
- 多
- 多数
- my
- National
- 国家安全
- 需要
- 网络
- 网络
- 下页
- NIST
- 没有
- 现在
- of
- 折扣
- 进攻
- 官
- 经常
- on
- 一旦
- 一
- 在线
- 操作
- 操作系统
- 运营
- 附加选项
- or
- 其他名称
- 我们的
- 学校以外
- 克服
- 伙伴
- 党
- 密码
- 密码
- 渗透
- 允许
- 坚持
- 钓鱼
- 物理
- 地方
- 平台
- 柏拉图
- 柏拉图数据智能
- 柏拉图数据
- 政策
- 热门
- 潜力
- PowerShell的
- 小学
- 隐私
- 私立
- 私人信息
- 过程
- 处理
- 生产
- 核心产品
- 所有权
- PROS
- 保护
- 保护
- 协议
- 提供
- 提供者
- 国家
- 出版物
- 购买
- 放
- 量
- 宁
- 原因
- 最近
- 记录
- 红色
- 经常
- 有关
- 必须
- 导致
- 风险
- 变更管理
- 定位、竞价/采购和分析/优化数字媒体采购,但算法只不过是解决问题的操作和规则。
- s
- 说
- 搜索
- 次
- 二级市场
- 保安
- 前辈
- 敏感
- 发送
- 服务器
- 服务
- 服务供应商
- 特色服务
- 会议
- 集
- 共享
- 短
- 应该
- 简易
- 自
- So
- 软件
- 出售
- 一些
- 来源
- 特别
- 专业
- 具体的
- 电子表格
- 州/领地
- 留
- 仍
- 存储
- 故事
- 流
- 结构化
- 这样
- 盈余
- 系统
- 产品
- 谈论
- 团队
- 队
- 电话
- 比
- 这
- 其
- 然后
- 博曼
- 他们
- 事
- 第三
- 第三方
- Free Introduction
- 那些
- 思想
- 数千
- 始终
- 至
- 工具
- 转让
- 转身
- 谈到
- 类型
- 下
- 理解
- 使用
- 用过的
- 运用
- 平时
- 各种
- 各个
- 供应商
- 视频
- 查看
- 在线会议
- VPN
- 漏洞
- 方法..
- we
- 卷筒纸
- Web服务器
- 井
- 什么是
- ,尤其是
- 这
- 而
- 白色
- 窗户
- 中
- 将
- XML
- 完全
- 您一站式解决方案
- 和风网