Táimid ag caint faoi shlándáil sa scamall

Thar Nochtadh

A ligean ar é a chur ar an mbealach seo, cad a dhéanann tú buartha faoi a nochtadh? Cad iad na sócmhainní is luachmhaire atá agat? D'Uimhir Leasa Shóisialaigh? Faisnéis do chuntais bhainc? Doiciméid phríobháideacha, nó grianghraif? Do frása síolta crypto? Má bhainistíonn tú cuideachta, nó má tá tú freagrach as sonraí a choinneáil slán, seans go mbeidh imní ort faoi na cineálacha céanna faisnéise a bheith i gcontúirt, ach ar abroader scála. Chuir do chustaiméirí cosaint a gcuid sonraí ar iontaoibh duit.

Mar thomhaltóirí, glacaimid slándáil ár sonraí go deo. Níos mó agus níos minice na laethanta seo go stóráiltear sonraí sa scamall. Tairgeann roinnt díoltóirí seirbhísí a ligeann do chustaiméirí sonraí a chúltaca óna ríomhairí áitiúla go dtí an scamall. Smaoinigh air mar thiomáint crua fíorúil sa spéir. Fógraítear é seo mar bhealach sábháilte agus áisiúil chun do shonraí a chosaint. Áisiúil, sea. Is féidir leat comhad a scriosadh de thaisme a ghnóthú. Is féidir leat tiomántán crua iomlán a chur ar ais a raibh a shonraí truaillithe.

Ach an bhfuil sé sábháilte? Cuirtear glas agus eochair ar fáil duit. Is é an eochair, de ghnáth, ainm úsáideora agus pasfhocal. Tá sé criptithe agus ar eolas agat amháin. Sin an fáth a molann saineolaithe slándála do phasfhocal a choinneáil slán. Má fhaigheann duine éigin rochtain ar do phasfhocal, tá an eochair fhíorúil acu do do theach fíorúil.

Tá a fhios agat seo go léir. Tá do phasfhocal don tseirbhís scamall cúltaca 16 carachtar ar fad, tá litreacha móra agus litreacha beaga, uimhreacha agus cúpla carachtar speisialta ann. Athraíonn tú é gach sé mhí mar go bhfuil a fhios agat go ndéanann sé níos deacra don hacker. Tá sé difriúil ó do phasfhocail eile - ní úsáideann tú an focal faire céanna le haghaidh suíomhanna iolracha. Cad a d'fhéadfadh dul mícheart?

Tairgeann roinnt cuideachtaí an rud atá brandáilte acu mar “Néal Pearsanta.” iartharach Digital ar cheann de na cuideachtaí sin a sholáthraíonn bealach éasca chun do shonraí a chúltaca chuig do spás pearsanta i néal. Tá sé stórála líonraithe ar fáil ar an idirlíon. Plocálann sé isteach do ródaire Wi-Fi ionas gur féidir leat rochtain a fháil air ó áit ar bith laistigh de do líonra. Go háisiúil, toisc go bhfuil sé ceangailte leis an idirlíon freisin, is féidir leat rochtain a fháil ar do shonraí pearsanta ó áit ar bith ar an idirlíon. Le háisiúlacht tagann riosca.

Seasamh Comhréiteach

Níos luaithe i mbliana, bhris hackers isteach san Iarthar Digital's agus bhí siad in ann tuairim is 10 Tb de shonraí a íoslódáil. Choinnigh na seoltaí dubha na sonraí ansin le haghaidh airgead fuascailte agus rinne siad iarracht comhaontú a idirbheartú ó thuaidh de US$10,000,000 chun na sonraí a thabhairt ar ais go sábháilte. Tá sonraí cosúil le ola. Nó b'fhéidir gur analaí níos fearr é ór. Labhair duine de na hackers ar choinníoll na anaithnideachta. Ha! TechCrunch chuir sé agallamh air agus é i mbun an mhargaidh ghnó seo. Is é an rud atá suimiúil ná go raibh an Iarthair san áireamh sna sonraí a cuireadh i gcontúirt Digital's deimhniú cód-shínithe. Is é seo an coibhéis teicneolaíochta de scanadh reitine. Tá an deimhniú ceaptha chun an t-úinéir nó an t-iompróir a shainaithint go dearfach. Leis an scanadh fíorúil reitine seo, níl aon phasfhocal ag teastáil chun sonraí “slánaithe” a rochtain. I bhfocail eile, leis an teastas seo is féidir leis an bhfear gnó hata dubh seo siúl díreach i doras tosaigh an digital pálás.

An Iarthair Digital dhiúltaigh siad trácht a dhéanamh mar fhreagra ar éilimh an hacker go raibh siad fós i líonra WD. Léirigh an hacker gan ainm díomá go raibh ionadaithe ag an Iarthair Digital ní chuirfeadh sé a chuid glaonna ar ais. Go hoifigiúil, i a brúigh scaoileadh, Iarthair Digital “Bunaithe ar an imscrúdú go dtí seo, creideann an Chuideachta go bhfuair an páirtí neamhúdaraithe sonraí áirithe óna chórais agus go bhfuil sé ag obair chun nádúr agus raon feidhme na sonraí sin a thuiscint.” Mar sin, an Iarthair Digital tá mam, ach tá an hacker ag blabbing. Maidir leis an gcaoi a ndearna siad é, déanann an hacker cur síos ar an gcaoi ar bhain siad leas as leochaileachtaí aitheanta agus a raibh siad in ann rochtain a fháil ar shonraí sa scamall mar riarthóir domhanda.

Tá rochtain ag riarthóir domhanda, de réir nádúr an róil, ar gach rud. Níl do phasfhocal ag teastáil uaidh. Tá an máistir-eochair aige.

An Iarthair Digital Níl sé ina Aonair

A suirbhé fuarthas amach anuraidh go raibh 83% de na cuideachtaí a ndearnadh suirbhé orthu níos mó ná ceann amháin sárú sonraí, a raibh 45% díobh néalbhunaithe. Tá an meán ba é an costas a bhain le sárú sonraí sna Stáit Aontaithe ná US$9.44 milliún. Rinneadh costais a mhiondealú i gceithre chatagóir costais — gnó caillte, braite agus formhéadú, fógra agus freagairt tar éis sárú. (Níl mé cinnte cén catagóir ina bhfuil an t-airgead fuascailte sonraí. Níl sé soiléir ar íoc aon duine de na freagróirí éilimh airgead fuascailte.) Is é an meán-am a thógann sé ar eagraíocht sárú sonraí a aithint agus freagairt dó ná timpeall 9 mí. Ní haon iontas é, mar sin, go bhfuil roinnt míonna tar éis an Iarthair Digital ar dtús admhaigh sárú sonraí, tá siad fós ag fiosrú.

Tá sé deacair a rá go díreach cé mhéad cuideachtaí a raibh sáruithe sonraí orthu. Tá aithne agam ar chuideachta mhór phríobháideach amháin a d'ionsaigh earraí ransom. Dhiúltaigh na húinéirí dul i mbun caibidlíochta agus níor íoc siad. Chiallaigh sé sin, ina ionad sin, caillte ríomhphoist agus comhaid sonraí. Roghnaigh siad gach rud a atógáil ó chúltacaí neamhionfhabhtaithe agus bogearraí a athshuiteáil. Bhí downtime suntasach ann agus cailleadh táirgiúlacht. Ní raibh an ócáid ​​seo sna meáin riamh. Bhí an t-ádh ar an gcuideachta sin mar gheall ar 66% I gcás cuideachtaí beaga agus meánmhéide a ndéanann earraí ransom ionsaí orthu, téann siad as gnó laistigh de 6 mhí.

• Tá 30,000 suíomh Gréasáin hacked laethúil
• Tá 4 mhilliún comhad goidte gach lá
• Bhí 22 billiún taifead sáraithe i 2021

Má rinne tú gnó riamh le, nó má d'úsáid tú seirbhísí Capital One, Marriott, Equifax, Target nó Uber, d'fhéadfadh go gcuirfí isteach ar do phasfhocal. D’fhulaing gach ceann de na cuideachtaí móra seo sárú sonraí suntasach.

• Caipiteal a hAon: Fuair ​​hacker rochtain ar 100 milliún custaiméir agus iarratasóir trí leas a bhaint as leochaileacht i mbonneagar scamall na cuideachta.
• Marriott: Nocht sárú sonraí faisnéis ar 500 milliún custaiméir (níor aimsíodh an sárú seo ar feadh 4 bliana).
• Equifax: Nochtadh faisnéis phearsanta sa scamall ar 147 milliún custaiméir.
• Sprioc: Fuair ​​cibearchoirpigh rochtain ar 40 milliún uimhir chárta creidmheasa.
• Uber: Chuir hackers isteach ar ríomhaire glúine forbróra agus fuair sé rochtain ar 57 milliún úsáideoir agus 600,000 tiománaí.
• LastPass^[1]: Ghoid hackers sonraí cruinneachán 33 milliún custaiméir mar gheall ar shárú stórála néil don chuideachta bainisteoir phasfhocal seo. Fuair ​​an t-ionsaitheoir rochtain ar stóráil néil Lastpass ag baint úsáide as “eochair rochtana stórála scamall agus eochracha díchriptithe coimeádáin dé-stórála” a goideadh óna thimpeallacht fhorbróra.

Is féidir leat seiceáil le fáil amach ar nochtadh do shárú sonraí ar an suíomh Gréasáin seo: an bhfuil mé pwned? Clóscríobh isteach do sheoladh ríomhphoist agus taispeánfaidh sé duit cé mhéad sárú sonraí a bhfuarthas an seoladh ríomhphoist isteach ann. Mar shampla, chlóscríobh mé isteach ceann de mo sheoladh ríomhphoist pearsanta agus fuair mé amach go raibh sé ina chuid de 25 sárú sonraí éagsúla, lena n-áirítear Evite , Dropbox, Adobe, LinkedIn agus Twitter.

Ag cur bac ar Oireannaigh nach dteastaíonn

Seans nach mbeidh admháil phoiblí riamh ag Western Digital de cad go díreach a tharla. Léiríonn an eachtra dhá rud: níl na sonraí sa scamall ach chomh slán leis na coimeádaithe agus ní mór do choimeádaithe na n-eochracha a bheith cúramach go háirithe. Is mór an fhreagracht a bhíonn ar Phrionsabal Peter Parker a athinsint le rochtain fhréamh.

Chun a bheith níos cruinne, níl úsáideoir fréimhe agus riarthóir domhanda díreach mar a chéile. Tá mórán cumhachta ag an dá cheann ach ba cheart go mbeidís ina gcuntais ar leithligh. Is leis an úsáideoir fréimhe agus tá rochtain aige ar an gcuntas scamall corparáideach ag an leibhéal is ísle. Mar sin, d'fhéadfadh an cuntas seo na sonraí go léir, VManna, faisnéis chustaiméirí a scriosadh - gach rud atá faighte ag gnóthas sa scamall. I AWS, níl ach Tascanna 10, lena n-áirítear do chuntas AWS a bhunú agus a dhúnadh, a dteastaíonn rochtain fhréamh uathu i ndáiríre.

Ba cheart cuntais riarthóra a chruthú chun tascanna riaracháin a dhéanamh (duh). Is gnách go mbíonn cuntais iolracha Riarthóra ann a bhíonn bunaithe ar an duine de ghnáth, murab ionann agus an cuntas fréimhe aonair. Toisc go bhfuil cuntais Riarthóra ceangailte le duine aonair, is féidir leat monatóireacht a dhéanamh go héasca ar cé a rinne na hathruithe sa timpeallacht.

An Pribhléid is Lú le haghaidh Slándála uasta

Rinne an suirbhé ar shárú sonraí staidéar ar an tionchar a bhí ag 28 fachtóir ar dhéine sárú sonraí. Bhí tionchar dearfach ag úsáid slándála AI, cur chuige DevSecOps, oiliúint fostaithe, bainistíocht aitheantais agus rochtana, MFA, anailísíocht slándála ar an meánmhéid dollar a cailleadh i dteagmhas a laghdú. De bharr an méid sin, ba fhachtóirí iad teipeanna comhlíonta, castacht an chórais slándála, ganntanas scileanna slándála, agus imirce néalríomhaireachta a chuir le glanmhéadú níos airde ar an meánchostas a bhain le sárú sonraí.

Agus tú ag dul ar imirce go dtí an scamall, ní mór duit a bheith níos airdeallaí ná riamh maidir le do shonraí a chosaint. Seo roinnt bealaí breise chun do riosca a laghdú agus timpeallacht níos sábháilte a reáchtáil ó a slándála seasamh:

1. Fíordheimhniú Il-fhachtóir: MFA a fhorfheidhmiú le haghaidh fréimhe agus gach cuntas Riarthóra. Níos fearr fós, bain úsáid as gléas MFA crua-earraí fisiceach. Ní hamháin go mbeadh ainm an chuntais agus pasfhocal ag teastáil ó hacker féideartha, ach freisin an MFA fisiceach a ghineann cód sioncronaithe.

2. Cumhacht i líon beag: Teorainn a bhfuil rochtain ar an fhréamh. Molann roinnt saineolaithe slándála nach mó ná 3 úsáideoir. Bainistigh rochtain úsáideora fréimhe go dícheallach. Mura ndéanann tú bainistíocht aitheantais agus seach-bhordáil aon áit eile, déan anseo é. Má fhágann duine sa chiorcal muiníne an eagraíocht, athraigh an fhréamhfhocal faire. Ghnóthú an gléas MFA.

3. Pribhléidí an Chuntais Réamhshocraithe: Agus cuntais úsáideora nó róil nua á gcur ar fáil agat, cinntigh go dtugtar pribhléidí íosta dóibh de réir réamhshocraithe. Tosaigh le polasaí rochtana íosta agus ansin ceadanna breise a dheonú de réir mar is gá. Is samhail é an prionsabal a bhaineann leis an tslándáil is lú a sholáthar chun tasc a chur i gcrích a shásóidh caighdeáin chomhlíonta slándála SOC2. Is é an coincheap gur cheart go mbeadh an t-íosmhéid slándála ag aon úsáideoir nó feidhmchlár chun an fheidhm riachtanach a chomhlíonadh. Dá airde an phribhléid a chuirtear i mbaol, is mó an riosca. Os a choinne sin, dá ísle an phribhléid a nochtar, is lú an riosca.

4. Pribhléidí Iniúchóireachta: Déan iniúchadh agus athbhreithniú rialta ar na pribhléidí a shanntar d'úsáideoirí, róil agus cuntais laistigh de do thimpeallacht néil. Cinntíonn sé seo nach bhfuil ach an cead riachtanach ag daoine aonair chun a gcuid tascanna ainmnithe a dhéanamh.

5. Bainistiú Céannachta agus Pribhléidí Díreach in Am: Aon phribhléidí iomarcacha nó neamhúsáidte a shainaithint agus a chúlghairm chun riosca rochtana neamhúdaraithe a íoslaghdú. Na cearta rochtana a sholáthar d’úsáideoirí ach amháin nuair a éilíonn siad iad ar feadh tasc sonrach nó ar feadh tréimhse teoranta. Laghdaíonn sé seo an dromchla ionsaí agus laghdaíonn sé an deis do bhagairtí slándála féideartha.

6. Dintiúir leabaithe: Cosc a chur ar chódú crua fíordheimhnithe neamhchriptithe (ainm úsáideora, pasfhocal, eochracha rochtana) i scripteanna, poist, nó cód eile. Ina ionad sin féach isteach a bainisteoir rúin gur féidir leat a úsáid chun dintiúir a aisghabháil go ríomhchláraithe.

7. Cumraíocht Bhonneagair-mar-Chód (IaC).: Cloí le dea-chleachtais slándála agus do bhonneagar scamall á chumrú ag baint úsáide as uirlisí IaC cosúil le AWS CloudFormation nó Terraform. Seachain rochtain phoiblí a dheonú de réir réamhshocraithe agus srian rochtain ar acmhainní ar líonraí iontaofa, úsáideoirí nó seoltaí IP amháin. Úsáid a bhaint as ceadanna míneáilte agus as meicníochtaí rialaithe rochtana chun prionsabal na pribhléide is lú a fhorfheidhmiú.

8. Logáil Gníomhartha: Cumasaigh logáil agus monatóireacht chuimsitheach ar ghníomhartha agus imeachtaí laistigh de do thimpeallacht scamall. Logaí a ghabháil agus a anailísiú le haghaidh aon ghníomhaíochtaí neamhghnácha nó a d’fhéadfadh a bheith mailíseach. Réitigh láidre um bainistiú loga agus faisnéise slándála agus bainistithe imeachtaí (SIEM) a chur i bhfeidhm chun teagmhais slándála a bhrath agus freagairt go pras dóibh.

9. Measúnachtaí Leochaileachta Rialta: Déan measúnuithe leochaileachta rialta agus tástáil threáite chun laigí slándála i do thimpeallacht scamall a aithint. Paiste agus leasaigh aon leochaileachtaí aitheanta go pras. Coinnigh súil ar nuashonruithe slándála agus paistí arna n-eisiúint ag do sholáthraí néal agus cinntigh go gcuirtear i bhfeidhm iad go pras chun cosaint a thabhairt ar bhagairtí aitheanta.

10. Oideachas agus Oiliúint: Cultúr feasachta slándála a chur chun cinn agus oiliúint rialta a sholáthar d’fhostaithe maidir le tábhacht phrionsabal na pribhléide is lú. Oideachas a chur orthu faoi na rioscaí féideartha a bhaineann le pribhléidí iomarcacha agus na cleachtais is fearr le leanúint nuair a bhíonn acmhainní á rochtain agus á mbainistiú laistigh den timpeallacht néal.

11. Paistí agus Nuashonruithe: Laghdaigh leochaileachtaí trí na bogearraí freastalaí go léir a nuashonrú go rialta. Coinnigh do bhonneagar néal agus feidhmchláir ghaolmhara cothrom le dáta chun cosaint a thabhairt ar leochaileachtaí aitheanta. Is minic a scaoileann soláthraithe scamall paistí slándála agus nuashonruithe, agus mar sin tá sé ríthábhachtach fanacht cothrom lena gcuid moltaí.

Iontaobhas

Is faoi mhuinín atá sé – ní thugann tú ach muinín dóibh siúd i d’eagraíocht chun na tascanna a theastaíonn uathu a dhéanamh chun a gcuid oibre a chur i gcrích. Molann saineolaithe slándála Iontaobhas nialais. Tá samhail slándála Zero Trust bunaithe ar thrí phríomhphrionsabal:

• Fíoraigh go sainráite – bain úsáid as na pointí sonraí go léir atá ar fáil chun aitheantas agus rochtain úsáideora a bhailíochtú.
• Bain úsáid as an rochtain is lú pribhléid - díreach in am agus gan ach dóthain slándála.
• Glac leis an sárú – criptigh gach rud, bain úsáid as anailísíocht réamhghníomhach agus bíodh freagra éigeandála i bhfeidhm.

Mar thomhaltóir na seirbhísí scamall agus scamall, tagann sé síos freisin ar iontaoibh. Caithfidh tú a fhiafraí díot féin, “an bhfuil muinín agam as mo dhíoltóir mo shonraí luachmhara a stóráil sa scamall?” Ciallaíonn muinín, sa chás seo, go bhfuil tú ag brath ar an gcuideachta sin, nó ar cheann cosúil léi, chun slándáil a bhainistiú mar a chuireamar síos thuas. Mar mhalairt air sin, má thugann tú freagra diúltach, an bhfuil tú sásta na cineálacha céanna gníomhaíochtaí bainistíochta slándála a dhéanamh i do thimpeallacht bhaile. An bhfuil muinín agat asat féin?

Mar chuideachta a sholáthraíonn seirbhísí sa néal, chuir custaiméirí a muinín ionat chun a gcuid sonraí a chosaint i do bhonneagar néal. Is próiseas leanúnach é. Fan ar an eolas faoi bhagairtí atá ag teacht chun cinn, cuir do bhearta slándála in oiriúint dá réir sin, agus comhoibrigh le gairmithe a bhfuil taithí acu nó le comhairleoirí slándála chun an chosaint is fearr a chinntiú do do ghnó sa tírdhreach scamall atá ag forbairt de shíor.

1. https://www.bleepingcomputer.com/news/security/lastpass-hackers-stole-customer-vault-data-in-cloud-storage-breach/ ↑