Как происходят утечки данных и почему их обнаружение занимает так много времени
Когда сегодня используется термин «утечка данных», он обычно относится к инцидентам, в результате которых были украдены миллионы конфиденциальных записей. Эти инциденты в основном совершаются для получения финансовой выгоды и часто включают месяцы «обзора» организации, чтобы найти любые сбои, лазейки или уязвимости, которые можно использовать. Хотя иногда киберпреступники действительно находят угрозы безопасности, которыми можно воспользоваться, во многих случаях им просто везет, когда сотрудник или ничего не подозревающая жертва случайно оставляет информацию незащищенной или раскрывает ее в Интернете. Преднамеренно или случайно, после того, как дело сделано и конфиденциальная информация потеряна, стоимость с точки зрения ущерба и репутации практически одинакова. Риску подвержены не только малые или средние предприятия с устаревшим оборудованием, поскольку корпоративные организации были успешно атакованы почти во всех секторах, включая ведущих поставщиков общедоступных облачных сервисов, таких как AWS и Azure.
Как пресловутая халатность приводит к утечке данных
Только в этом году защита финансовых компаний, таких как Capital One и First American Financial, социальных платформ, таких как Facebook и Evite, и даже медицинских и государственных учреждений, таких как AMA и FEMA, была нарушена. Хотя отчасти это происходит из-за того, что киберпреступники используют новые методы и технологии, в основном это происходит из-за халатности. Это включает в себя отказ от обновления мер безопасности, использование устаревших систем безопасности, использование слабых паролей или паролей по умолчанию, неактивных файлов и настроек безопасности по умолчанию. Хорошие примеры современной цены небрежности включают неправильную настройку сервера в Capital One, которая привела к утечке 106 миллионов записей, и незащищенные экземпляры MongoDB, которые затронули 275 миллионов пользователей. Взлом в Evite в этом году — еще один хороший пример, поскольку неактивный файл хранилища данных стал причиной взлома 10 миллионов учетных записей.
Кроме того, смущение, которое возникает, когда количество утечек записей исчисляется миллионами, нарушения, оставленные открытыми непреднамеренно, часто могут оставаться незамеченными в течение многих лет, прежде чем кто-либо выявит проблему. Фактически, нарушения часто оставались незамеченными до тех пор, пока информация, связанная с учетной записью, не начала появляться для продажи в даркнете. В этом году брешь, обнаруженная в First American Financial, которая раскрыла 800 миллионов записей, включая номера социального страхования и банковских счетов, была открыта в течение двух лет. Это было вызвано тем, что веб-сайт не аутентифицировал доступ браузера к своим документам и, наконец, был обнаружен и сообщен застройщиком, который выяснил, что, просто изменив числа в URL-адресах веб-сайта, миллионы документов с конфиденциальной информацией стали видны всем. Точно так же в Planet Hollywood и других ресторанах, принадлежащих сети Earl Enterprises, на их POS-системах было установлено вредоносное ПО, что привело к 10-месячному взлому, в течение которого номера кредитных карт были доступны вместе с именами держателей карт и датами истечения срока действия.
Промежуток времени
Согласно исследованию IBM, на выявление и сдерживание нарушения уходит около 197 дней, в то время как другое исследование, проведенное Verizon, предполагает, что для обнаружения 66 процентов нарушений может потребоваться до года. Еще одно исследование Ponemon Institute говорит, что в среднем требуется три месяца, чтобы обнаружить нарушение, и еще четыре месяца после этого, чтобы устранить его. Основываясь на всех приведенных выше отчетах, можно с уверенностью сказать, что нам требуется слишком много времени для обнаружения и устранения нарушений. Это очень важно, поскольку ущерб, причиняемый нарушением, экспоненциально увеличивается в зависимости от времени, необходимого для его устранения. Если речь идет о финансовой информации, как в прошлогоднем взломе British Airways, даже 15 дней могут стать катастрофическими. Это 15 дней, когда финансовая информация клиентов находится в открытом доступе, где любой проходящий мимо киберпреступник может получить ее в свои руки.
Одной из основных проблем, связанных с устранением современных утечек данных, является тот факт, что они редко нарушают работу служб до такой степени, когда есть какие-либо фактические признаки того, что проблема возникла. Кроме того, в интересах злоумышленников, чтобы жертвы не знали о взломе, поэтому они, очевидно, делают все, что в их силах, чтобы замести следы и заставить нас поверить, что все в порядке. Незнание — это, конечно, счастье для киберпреступников. Современная безопасность должна быть активной, как киберпреступники, которые месяцами изучают инфраструктуру в поисках уязвимостей. В отличие от этого, мы не можем сидеть и ждать, пока что-то сломается и наши телефоны запищат, те времена прошли.
Самоуничтожение
Хотя первоочередной задачей, очевидно, является предотвращение атак, вызывающих утечку данных, на самом деле не существует такой вещи, как надежная защита, которая позволяла бы вам расслабиться и расслабиться. Современная безопасность требует такой же проактивности, как и потенциальные хакеры, и «самоанализа» собственной среды на наличие угроз и уязвимостей. У Netflix была правильная идея с их программой Chaos Monkey, которая сеет хаос в их собственной среде, поскольку она, по сути, держит сотрудников готовыми к любым инцидентам. Однако, прежде чем приступить к «Разрушению Ральфа» в собственной среде, вы можете начать с проведения базовых проверок потенциальных уязвимостей в вашей среде. Некоторые организации даже нанимают профессиональных тестировщиков, которые используют те же методы, что и киберпреступники, для контролируемого взлома системы. Обнаружение угроз до потенциальных нарушений не только экономит деньги, но и доверие и репутацию. Последнее, чего хочет организация, — это быть известной из-за нарушений, а не из их фактической сферы деятельности.
Другие передовые методы включают управление доступом с помощью надежных учетных данных, паролей и многофакторной проверки подлинности, а также особую осторожность при использовании сторонних поставщиков. Мы предполагаем, что сторонние сервисы безопасны, и именно это предположение приводит к довольно популярному способу кражи ваших данных. Устройства IoT также требуют особого внимания, поскольку они особенно уязвимы, поскольку постоянно подключены к Интернету и часто имеют устаревшие системы безопасности с настройками по умолчанию, которые по своей природе небезопасны. Обучение сотрудников и применение политик BYOD могут помочь убедиться, что все предупреждены, на одной странице, и гарантировать, что вредоносное ПО не попадет в систему через мобильные устройства. Неиспользуемое и устаревшее программное обеспечение или хранилище данных следует выбрасывать из стека, поскольку невостребованный багаж является излюбленной целью злоумышленников. Кроме того, все программное обеспечение должно быть обновлено и исправлено как можно скорее, чтобы предотвратить уязвимости, возникающие в более старых версиях.
Предотвращение утечки данных: всегда тяжелая битва
В то время как утечки данных становятся все более частыми и серьезными, традиционные меры безопасности проигрывают войну за безопасность данных. Нет ни одного сектора, который остался бы незатронутым, и нет ни одной всеобъемлющей меры безопасности без исключений. Что еще хуже, так это то, что взлом больше не является серьезной проблемой, он быстро обнаруживает его, что просто показывает, насколько мы отстаем с точки зрения безопасности. Это связано с тем, что никто не заметит нарушения, если каждый не будет постоянно его искать. И именно эту агрессивность в отношении поиска уязвимых мест необходимо прививать каждому сотруднику, если мы хотим иметь шанс.