Pata Demo
Ingia

Je, Umejidhihirisha Hivi Karibuni?

by Septemba 14, 2023BI/AnalyticsMaoni 0

 

Tunazungumza juu ya usalama katika wingu

Zaidi ya Mfiduo

Hebu tuweke hivi, una wasiwasi gani kuhusu kuanika? Je, ni mali yako ya thamani zaidi? Nambari yako ya Usalama wa Jamii? Maelezo ya akaunti yako ya benki? Hati za kibinafsi, au picha? Maneno yako ya mbegu ya crypto? Ikiwa unasimamia kampuni, au unawajibika kwa uhifadhi salama wa data, unaweza kuwa na wasiwasi kuhusu aina sawa za habari kuathiriwa, lakini abroadmizani. Umekabidhiwa na wateja wako ulinzi wa data zao.

Kama watumiaji, tunapuuza usalama wa data yetu. Mara nyingi zaidi na zaidi siku hizi data huhifadhiwa kwenye wingu. Idadi ya wachuuzi hutoa huduma zinazowaruhusu wateja kuhifadhi nakala za data kutoka kwa kompyuta zao za karibu hadi kwenye wingu. Ifikirie kama kiendeshi kigumu angani. Hii inatangazwa kama njia salama na rahisi ya kulinda data yako. Rahisi, ndiyo. Unaweza kurejesha faili ambayo umefuta kimakosa. Unaweza kurejesha diski nzima ambayo data yake iliharibiwa.

Lakini ni salama? Umepewa kufuli na ufunguo. Jambo kuu ni, kwa kawaida, jina la mtumiaji na nenosiri. Imesimbwa kwa njia fiche na inajulikana kwako tu. Ndiyo maana wataalamu wa usalama wanapendekeza kuweka nenosiri lako salama. Ikiwa mtu atapata ufikiaji wa nenosiri lako, ana ufunguo pepe wa nyumba yako pepe.

Unajua haya yote. Nenosiri lako kwa huduma ya hifadhi ya wingu lina urefu wa vibambo 16, lina herufi kubwa na ndogo, nambari na vibambo kadhaa maalum. Unaibadilisha kila baada ya miezi sita kwa sababu unajua kwamba inafanya iwe vigumu kwa mdukuzi. Ni tofauti na manenosiri yako mengine - hutumii nenosiri sawa kwa tovuti nyingi. Nini kinaweza kwenda vibaya?

Baadhi ya kampuni hutoa kile ambacho wamekitaja kama "Wingu la Kibinafsi." Magharibi Digital ni mojawapo ya makampuni ambayo hutoa njia rahisi ya kuhifadhi data yako kwenye nafasi yako ya kibinafsi katika wingu. Ni hifadhi ya mtandao inayopatikana kwenye mtandao. Inachomeka kwenye kipanga njia chako cha Wi-Fi ili uweze kuifikia ukiwa popote ndani ya mtandao wako. Kwa urahisi, kwa sababu pia imeunganishwa kwenye mtandao, unaweza kufikia data yako ya kibinafsi kutoka popote kwenye mtandao. Kwa urahisi huja hatari.

Nafasi ya Kuingiliana

Mapema mwaka huu, wadukuzi waliingia Magharibi Digitalmifumo na waliweza kupakua takriban Tb 10 za data. Watumiaji barua weusi walishikilia data kwa fidia na kujaribu kujadili makubaliano ya kaskazini ya US $ 10,000,000 ili kurejesha data hiyo kwa usalama. Takwimu ni kama mafuta. Au labda dhahabu ni mlinganisho bora. Mmoja wa wadukuzi hao alizungumza kwa sharti la kutotajwa jina. Ha! TechCrunch ilimhoji alipokuwa katika mchakato wa dili hili la biashara. Kinachofurahisha ni kwamba data ambayo iliathiriwa ni pamoja na Magharibi Digitalcheti cha kutia saini msimbo. Hii ni sawa kiteknolojia ya skanning ya retina. Cheti kinakusudiwa kumtambulisha mmiliki au mhusika. Kwa uchanganuzi huu wa retina pepe, hakuna nenosiri linalohitajika ili kufikia data "iliyolindwa". Kwa maneno mengine, na cheti hiki mfanyabiashara huyu wa kofia nyeusi anaweza kutembea kwenye mlango wa mbele wa digital ikulu.

Magharibi Digital alikataa kutoa maoni yake kujibu madai ya mdukuzi huyo kuwa bado wako kwenye mtandao wa WD. Mdukuzi huyo ambaye hakutajwa jina alionyesha kusikitishwa na wawakilishi wa Magharibi Digital hakujibu simu zake. Rasmi, katika a vyombo vya habari ya kutolewa, Magharibi Digital ilitangaza kuwa, "Kulingana na uchunguzi hadi sasa, Kampuni inaamini kuwa mhusika ambaye hajaidhinishwa alipata data fulani kutoka kwa mifumo yake na anajitahidi kuelewa asili na upeo wa data hiyo." Kwa hivyo, Magharibi Digital ni mama, lakini mdukuzi anaropoka. Kuhusu jinsi walivyoifanya, mdukuzi anaeleza jinsi walivyotumia udhaifu unaojulikana na kuweza kupata ufikiaji wa data katika wingu kama msimamizi wa kimataifa.

Msimamizi wa kimataifa, kwa asili ya jukumu, anaweza kufikia kila kitu. Hahitaji nenosiri lako. Ana ufunguo mkuu.

Magharibi Digital si Peke Yake

A utafiti mwaka jana iligundua kuwa 83% ya makampuni yaliyohojiwa yalikuwa nayo zaidi ya moja uvunjaji wa data, 45% ambao walikuwa msingi wa wingu. The wastani gharama ya uvunjaji wa data nchini Marekani ilikuwa dola za Marekani milioni 9.44. Gharama ziligawanywa katika kategoria nne za gharama - biashara iliyopotea, utambuzi na kupanda, arifa na majibu ya ukiukaji baada ya. (Sina uhakika ni aina gani ya fidia ya data. Haijulikani ikiwa yeyote kati ya waliojibu alilipa madai ya fidia.) Muda wa wastani ambao shirika huchukua kubaini na kujibu ukiukaji wa data ni takriban miezi 9. Haishangazi, basi, kwamba miezi kadhaa baada ya Magharibi Digital kwanza walikubali uvunjaji wa data, bado wanachunguza.

Ni ngumu kusema ni kampuni ngapi zimekiuka data. Ninajua kampuni moja kubwa ya kibinafsi ambayo ilishambuliwa na ransomware. Wamiliki walikataa kujadili na hawakulipa. Hiyo ilimaanisha, badala yake, barua pepe na faili za data zilizopotea. Walichagua kuunda upya kila kitu kutoka kwa chelezo ambazo hazijaambukizwa na kusakinisha tena programu. Kulikuwa na wakati wa chini na upotezaji wa tija. Tukio hili halijawahi kuwa kwenye vyombo vya habari. Kampuni hiyo ilikuwa na bahati kwa sababu 66% ya makampuni madogo hadi ya kati ambao hushambuliwa na programu ya kukomboa huishia kufanya biashara ndani ya miezi 6.

Iwapo umewahi kufanya biashara na, au kutumia huduma za Capital One, Marriott, Equifax, Target au Uber, kuna uwezekano kwamba nenosiri lako liliingiliwa. Kila moja ya makampuni haya makubwa yalipata uvunjaji mkubwa wa data.

 

  • Capital One: Mdukuzi alipata ufikiaji wa wateja na waombaji milioni 100 kwa kutumia uwezekano wa kuathiriwa katika miundombinu ya mtandao ya kampuni.
  • Marriott: Ukiukaji wa data ulifichua taarifa kwa wateja milioni 500 (ukiukaji huu haukutambuliwa kwa miaka 4).
  • Equifax: Maelezo ya kibinafsi kwenye wingu kwa wateja milioni 147 yalifichuliwa.
  • Lengo: Wahalifu wa mtandao walipata nambari za kadi za mkopo milioni 40.
  • Uber: Wadukuzi walihatarisha kompyuta ndogo ya msanidi programu na kupata ufikiaji wa watumiaji milioni 57 na viendeshaji 600,000.
  • LastPass[1]: Wadukuzi waliiba data ya hifadhi ya wateja milioni 33 katika ukiukaji wa hifadhi ya wingu ya kampuni hii ya kudhibiti nenosiri. Mshambulizi alipata ufikiaji wa hifadhi ya wingu ya Lastpass kwa kutumia "ufunguo wa ufikiaji wa hifadhi ya wingu na funguo za kusimbua kontena mbili" zilizoibwa kutoka kwa mazingira yake ya msanidi.

Unaweza kuangalia ili kuona ikiwa umefichuliwa katika ukiukaji wa data kwenye tovuti hii: Je, nimepata pwned? Andika anwani yako ya barua pepe na itakuonyesha ni ukiukaji mangapi wa data ambao anwani ya barua pepe imepatikana. Kwa mfano, niliandika kwenye mojawapo ya anwani zangu za kibinafsi za barua pepe na nikagundua kuwa ilikuwa ni sehemu ya ukiukaji wa data 25 tofauti, ikiwa ni pamoja na Evite. , Dropbox, Adobe, LinkedIn na Twitter.

Kuzuia Wachumba Wasiotakiwa

Huenda kamwe kusiwe na kukiri kwa umma na Magharibi Digital ya kile hasa kilichotokea. Tukio hilo linaonyesha mambo mawili: data katika wingu ni salama tu kama watunzaji wake na watunza funguo wanahitaji kuwa waangalifu haswa. Ili kufafanua Kanuni ya Peter Parker, pamoja na ufikiaji wa mizizi huja jukumu kubwa.

Ili kuwa sahihi zaidi, mtumiaji wa mizizi na msimamizi wa kimataifa sio sawa kabisa. Zote zina nguvu nyingi lakini zinapaswa kuwa akaunti tofauti. Mtumiaji wa mizizi anamiliki na anaweza kufikia akaunti ya wingu ya shirika katika kiwango cha chini kabisa. Kwa hivyo, akaunti hii inaweza kufuta data yote, VM, maelezo ya mteja - kila kitu ambacho biashara imeweka salama kwenye wingu. Katika AWS, kuna tu kazi 10, ikiwa ni pamoja na kusanidi na kufunga akaunti yako ya AWS, ambayo inahitaji ufikiaji wa mizizi.

Akaunti za msimamizi zinapaswa kuundwa ili kutekeleza kazi za usimamizi (duh). Kawaida kuna akaunti nyingi za Msimamizi ambazo kwa kawaida hutegemea mtu, tofauti na akaunti moja ya mizizi. Kwa sababu akaunti za Msimamizi zimefungwa kwa mtu binafsi, unaweza kufuatilia kwa urahisi ni nani alifanya mabadiliko gani katika mazingira.

Haki Angalau kwa Usalama wa Juu

Utafiti wa uvunjaji data ulichunguza athari za mambo 28 kwenye ukali wa uvunjaji wa data. Matumizi ya usalama wa AI, mbinu ya DevSecOps, mafunzo ya wafanyakazi, udhibiti wa utambulisho na ufikiaji, MFA, uchanganuzi wa usalama zote zilikuwa na matokeo chanya katika kupunguza kiwango cha wastani cha dola kilichopotea katika tukio. Ilhali, kutofaulu kwa utiifu, utata wa mfumo wa usalama, uhaba wa ujuzi wa usalama na uhamishaji wa data kupitia wingu ni mambo yaliyochangia ongezeko kubwa la wastani la gharama ya ukiukaji wa data.

Unapohamia kwenye wingu, unahitaji kuwa macho zaidi katika kulinda data yako. Hapa kuna njia za ziada za kupunguza hatari yako na kuendesha mazingira salama kutoka kwa a usalama msimamo:

1. Uthibitishaji wa Muli-factor: tekeleza MFA kwa mizizi na akaunti zote za Msimamizi. Bora zaidi, tumia kifaa cha MFA cha vifaa vya kimwili. Mdukuzi anayewezekana hatahitaji tu jina la akaunti na nenosiri, lakini pia MFA halisi ambayo hutoa msimbo uliosawazishwa.

2. Nguvu kwa idadi ndogo: Weka kikomo ni nani anayeweza kufikia mzizi. Baadhi ya wataalam wa usalama wanapendekeza si zaidi ya watumiaji 3. Dhibiti ufikiaji wa mtumiaji wa mizizi kwa uangalifu. Ukitekeleza udhibiti wa utambulisho na kutosafiri popote pengine, ifanye hapa. Ikiwa mmoja katika mduara wa uaminifu ataacha shirika, badilisha nenosiri la msingi. Rejesha kifaa cha MFA.

3. Haki za Akaunti Chaguomsingi: Unapotoa akaunti au majukumu mapya ya mtumiaji, hakikisha kwamba yanapewa mapendeleo machache kwa chaguomsingi. Anza na sera ya kiwango cha chini cha ufikiaji kisha upe ruhusa za ziada inapohitajika. Kanuni ya kutoa usalama mdogo zaidi ili kukamilisha kazi ni mfano ambao utapitisha viwango vya kufuata usalama vya SOC2. Wazo ni kwamba mtumiaji au programu yoyote inapaswa kuwa na usalama wa chini unaohitajika kufanya kazi inayohitajika. Kadiri fursa inavyoathiriwa, ndivyo hatari inavyoongezeka. Kinyume chake, jinsi fursa inavyopungua, ndivyo hatari inavyopungua.

4. Haki za Ukaguzi: Kagua na ukague mara kwa mara haki zinazotolewa kwa watumiaji, majukumu na akaunti ndani ya mazingira yako ya mtandaoni. Hii inahakikisha kwamba watu binafsi wana ruhusa muhimu tu ya kufanya kazi zao zilizoteuliwa.

5. Usimamizi wa Kitambulisho na Haki za Wakati Uliopo: Tambua na ubatilishe mapendeleo yoyote ya kupita kiasi au ambayo hayajatumiwa ili kupunguza hatari ya ufikiaji ambao haujaidhinishwa. Toa haki za ufikiaji kwa watumiaji tu wanapozihitaji kwa kazi mahususi au kwa muda mfupi. Hii inapunguza eneo la mashambulizi na kupunguza fursa ya uwezekano wa vitisho vya usalama. https://www.cnbc.com/2022/10/20/former-hacker-kevin-mitnick-tips-to-protect-your-personal-info-online.html

6. Vitambulisho vilivyopachikwa: Zuia usimbaji ngumu wa uthibitishaji ambao haujasimbwa (jina la mtumiaji, nenosiri, vitufe vya ufikiaji) katika hati, kazi, au msimbo mwingine. Badala yake angalia a meneja wa siri ambayo unaweza kutumia kupata kitambulisho kiprogramu.

7. Usanidi wa Miundombinu-kama-Msimbo (IaC).: Zingatia mbinu bora za usalama wakati wa kusanidi miundombinu yako ya wingu kwa kutumia zana za IaC kama vile AWS CloudFormation au Terraform. Epuka kutoa ufikiaji wa umma kwa chaguo-msingi na uzuie ufikiaji wa rasilimali kwa mitandao inayoaminika pekee, watumiaji au anwani za IP. Tumia ruhusa zilizoboreshwa na mbinu za udhibiti wa ufikiaji ili kutekeleza kanuni ya upendeleo mdogo.

8. Uwekaji kumbukumbu wa Vitendo: Washa ukataji miti na ufuatiliaji wa kina wa vitendo na matukio ndani ya mazingira yako ya wingu. Nasa na uchanganue kumbukumbu kwa shughuli zozote zisizo za kawaida au zinazoweza kuwa mbaya. Tekeleza suluhisho thabiti la usimamizi wa kumbukumbu na habari za usalama na usimamizi wa hafla (SIEM) ili kugundua na kujibu matukio ya usalama mara moja.

9. Tathmini ya Mara kwa Mara ya Athari: Fanya tathmini za kuathiriwa mara kwa mara na majaribio ya kupenya ili kutambua udhaifu wa usalama katika mazingira yako ya wingu. Rekebisha na urekebishe udhaifu wowote uliotambuliwa mara moja. Fuatilia masasisho na viraka vya usalama vilivyotolewa na mtoa huduma wako wa mtandao na uhakikishe kuwa vinatumika mara moja ili kulinda dhidi ya vitisho vinavyojulikana.

10. Elimu na Mafunzo ya: Kuza utamaduni wa ufahamu wa usalama na kutoa mafunzo ya mara kwa mara kwa wafanyakazi kuhusu umuhimu wa kanuni ya upendeleo mdogo. Waelimishe kuhusu hatari zinazoweza kuhusishwa na mapendeleo mengi na mbinu bora za kufuata wakati wa kufikia na kudhibiti rasilimali ndani ya mazingira ya wingu.

11. Viraka na Usasisho: Punguza udhaifu kwa kusasisha programu zote za seva mara kwa mara. Sasisha miundombinu yako ya wingu na programu zinazohusiana ili kulinda dhidi ya athari zinazojulikana. Watoa huduma za wingu mara nyingi hutoa viraka na masasisho ya usalama, kwa hivyo ni muhimu kukaa hivi karibuni na mapendekezo yao.

Matumaini

Inakuja chini ya kuaminiwa - kuwapa wale tu katika shirika lako uaminifu wa kukamilisha kazi wanazohitaji kufanya ili kufanya kazi yao. Wataalamu wa usalama wanapendekeza Zero Uaminifu. Mtindo wa usalama wa Zero Trust unategemea kanuni tatu muhimu:

  • Thibitisha kwa uwazi - tumia vidokezo vyote vya data vinavyopatikana ili kuthibitisha utambulisho na ufikiaji wa mtumiaji.
  • Tumia ufikiaji wa upendeleo mdogo - kwa wakati na usalama wa kutosha tu.
  • Chukulia ukiukaji - simba kila kitu kwa njia fiche, tumia uchanganuzi makini na uwe na jibu la dharura.

Kama mtumiaji wa huduma za wingu na wingu, pia inakuja chini kuaminiwa. Lazima ujiulize, "Je, ninamwamini mchuuzi wangu kuhifadhi data yangu ya thamani kwenye wingu?" Amini, katika kesi hii, inamaanisha kuwa unategemea kampuni hiyo, au kampuni kama hiyo, kudhibiti usalama kama tulivyoeleza hapo juu. Vinginevyo, ukijibu kwa hasi, uko tayari kutekeleza aina sawa za shughuli za usimamizi wa usalama katika mazingira ya nyumbani kwako. Je, unajiamini?

Kama kampuni inayotoa huduma katika wingu, wateja wameweka imani yao kwako ili kulinda data zao katika miundombinu yako ya wingu. Ni mchakato unaoendelea. Pata taarifa kuhusu vitisho vinavyojitokeza, rekebisha hatua zako za usalama ipasavyo, na ushirikiane na wataalamu wenye uzoefu au washauri wa usalama ili kuhakikisha ulinzi wa hali ya juu kwa biashara yako katika mazingira ya wingu yanayobadilika kila mara.

 

  1. https://www.bleepingcomputer.com/news/security/lastpass-hackers-stole-customer-vault-data-in-cloud-storage-breach/

 

BI/Analytics
Katalogi za Uchanganuzi - Nyota Inayoinuka katika Mfumo wa Mazingira wa Uchanganuzi

Katalogi za Uchanganuzi - Nyota Inayoinuka katika Mfumo wa Mazingira wa Uchanganuzi

Utangulizi Kama Afisa Mkuu wa Teknolojia (CTO), mimi huwa nikitafuta teknolojia zinazoibuka ambazo hubadilisha jinsi tunavyoshughulikia uchanganuzi. Teknolojia moja kama hiyo ambayo ilivutia umakini wangu kwa miaka michache iliyopita na ina ahadi kubwa ni Uchambuzi...

Soma zaidi

| Oktoba 19, 2023 | 0

Mzigo Zaidi