Nul
(Billede: Baris Børstes, Getty Images)
Det har ikke en super-sexet moniker, som KRACK eller Heartbleed, men genfærd af insider-truslen væve for store organisationer, og har gjort det i så lang tid som el -, silicium, og computing er blevet parret op til at gemme oplysninger.
Mens det er let at forestille sig et utilfredse, utilfredse medarbejder bliver en ondsindet skuespiller i en organisation, og dumping familien juveler ud af trods, at det er langt mere sandsynligt, at en velmenende medarbejder gjorde noget, de bør virkelig ikke har.
I den seneste tid, synes det som om en bølge af data lækage er opstået på grund af opdagelsen af data venstre sidder på verden-ses-servere. For eksempel, Accenture sat sine nøgler til kongeriget eksponeret på fire servere, Verizon havde 14 millioner abonnent registreringer sidder ubeskyttet på Amazon S3, og selv Australiens nationale tv-station, ABC, blev fundet for let i sidste uge, da det viste sig at have haft kundeoplysninger og 1.800 daglige MySQL database backups er udsat.
“Jeg starter altid fra det synspunkt, at den største trussel er den insider-truslen,” sikkerheds-rådgiver og tidligere Telstra CISO Mike Burgess fortalte ZDNet. “Det er ikke fordi, at dine medarbejdere er dårlige, eller folk i forsyningskæden er dårligt-det er simpelthen den menneskelige generelt kan gøre den største skade, og vi har set mange eksempler på.”
En nylig undersøgelse af Thales fandt, at 54 procent af de adspurgte sagde medarbejder fejl var den mest betydningsfulde trussel mod følsomme eller fortrolige data, med virksomhedens APAC CISO Ben Doyle fortæller ZDNet, at mens der er ofte tegn på insider-adfærd, er det sværere at opdage ulykker.
“Hvis du har en stærk sikkerhedskultur, og ikke bare information security kultur, men en samlet sikkerheds-kultur, der generelt er tegn på, at den ændring af holdninger og ting, som, hvis det kommer til at blive en insider, at du kommer til at have en chance for at samle det op],” Doyle sagde.
“Jeg tror, at truslen for utilsigtet ene er en masse af tilfælde, kan der ikke være nogen indikatorer, indtil du finder dig selv i problemer.”
Det er et synspunkt, der deles på tværs af branchen, med Sophos CTO Joe Levy siger, at en utilsigtet insider er mere tilbøjelige til at gå på kompromis et selskab end en outsider.
“De er tættere på de data, bare i form af mængden af vanskeligheder, og den nærhed, det er meget mere sandsynligt, at sidstnævnte kommer til at ske,” Levy sagde.
For McAfee CTO Steve Grobman — som talte til ZDNet, før selskabet havde sine egne mareridt i sidste uge — definitionen af sårbarheder er nødt til at gå ud over software.
“Når vi tænker på sårbarheder, vi kan ikke tænke på sårbarheder, der bare software sårbarheder som Apache Struts — vi er også nødt til at tænke på sårbarheder, som bliver misbrugt, adgangskontrol, så nogen falder indhold i en S3 storage [spand],” Grobman fortalte ZDNet.
“En del af problemet med data lækage eller tab af data er, når de data, der er derude, er der virkelig ingen rensning af jord for at få det tilbage. Når tandpastaen ud af en tube, kan du ikke sætte det tilbage.”
Men mens antallet af selskaber, der er fanget ud af utilsigtet datalækage fortsætter med at stige, for Afgift, det er et biprodukt af, at virksomheder har til at spille den software plads på grund af en stadig mere forbundet verden.
“Det er noget, der er meget meget nyt,” sagde han. “Folk, der har været i virksomheden i de seneste 30 år, som ikke har været i software-virksomhed er sandsynligvis ikke være meget fortrolig med disse typer af begreber og principper.
“Der kommer til at være dette vindue for eksponering, som mennesker, er at lære og udvikle muskel hukommelse dybest set af, hvordan man gør tingene korrekt i software-land, der bare kommer til at skabe en masse problemer — som folk sætte deres AWS nøgler op på GitHub.
“De er forhåbentlig sker nok, at folk er ved at lære om dem, og der er niveauer af lederskab i organisationer, og selv bestyrelser i virksomheder, der er begyndt at lære sig disse ting.”
Ifølge Burgess, insider-truslen er ikke noget nyt, det er bare i stand til at opstå, hurtigere end tidligere.
“Det er den negative side af hovedet af denne teknologi-forbundet-aktiveret verden,” sagde han. “Intet nyt her, folk bare nødt til at kæmpe med det faktum, teknologi og tilslutning betyder dårlige ting kan ske hurtigt.
“Jeg er lidt overrasket, da alt, hvad der er sket i verden, at flere mennesker ikke er opmærksomme på dette. Men på den positive side, er flere mennesker er opmærksomme på dette, og nu har de bare nødt til at finde ud af den rigtige måde at identificere og håndtere risici effektivt.”
For Grobman, udfordringen i at tackle insider-trusler er, at det er mere end en teknologi problem og kræver politik, så godt.
“Hvis du tænker over, hvad en insider-truslen er, at det er en insider, der er misbruger tilladelser, privilegier, at de udtrykkeligt har fået adgang til, så det er meget sværere rent faktisk at skelne, om dette faktisk er en ondsindet sæt af aktiviteter, som modsætning til noget, der er legitim for at nogen gør deres job,” sagde han.
“Først og fremmest, at virksomhederne er nødt til at leve efter princippet om mindst privilegium. Det største sæt af misbrug, som jeg har set, er typisk, hvor der er lax politikker i forbindelse med tildeling af adgang til funktioner eller funktioner, at nogen ikke virkelig nødt til at gøre deres job, og det er bare nemmere at give folk carte blanche til alle mulige ting.”
Som med mange andre aspekter af sikkerhed, McAfee CTO sagde, at ingen virksomhed nogensinde vil slippe af med insider-truslen, men det er muligt at reducere det gennem adfærds-analyse, eller være i stand til at opdage massive data exfiltration.
“At tænke på at gøre tingene sværere er en af de vigtigste ting, vi kan gøre, selv hvis det ikke løser problemet helt,” sagde han.
Grobman sagde, at det var vigtigt ikke at gå over toppen og indføre restriktioner for brugere og administratorer ens, hvis de er unødvendige.
“Det vigtigste for mennesker at tro er at forstå, hvad de forskellige risici, der er i en organisation er, og right-sizing kontrollen, så du ikke overbelaste de ting, du ikke virkelig bekymrer sig om, men på samme tid, du er i stand til at sætte dine mest kritiske ressourcer og politikker på de ting, der betyder noget,” sagde han. “Et andet element, som jeg synes er vigtigt, er ikke kun de ting, der betyder noget, men ting, som er vanskeligere at afhjælpe eller reparation.
“Hvis du er at beskytte et stykke af infrastrukturen, hvis der er brudt ud fra et denial-of-service perspektiv, til at gendanne fra, at der er stort set ingen varig skade, som er forskellig fra en data strid, hvor, hvis data er enten personlige oplysninger eller intellektuel ejendomsret eller noget, der kommer til at være interessant for en lang periode af tid, selv hvis du løser den sårbarhed, rette tilladelser, hvis de data, der allerede er blevet stjålet, den skade, der er meget sværere, hvis ikke umuligt, at rette op.”
Da der altid vil være en person i en organisation, der ved, hvordan musefælde er foretaget, og for de tolerancer, der udløser det, Levy sagde, at det er vigtigt for organisationer at blive i stand til at undersøge en hændelse efter, og at få en oversigt over alle beregne forekomster og aktiver.
Burgess lød en lignende stemning, og i spørgsmålet om, entreprenører og tredjepartsleverandører utæt data, sagde, at virksomheder er nødt til at deres egen risiko, og ikke give det op eller ned i leverandørkæden.
“Det skal aldrig blive forsvar [sige]:” Nå, jeg stoler ACME tandhjul teknik til at gøre det, og det er deres problem og deres skyld”. Hvis du ikke har givet dem, eller sagt til dem dine forventninger til dem omkring, at oplysninger, så du har fejlet, det er din risiko,” den tidligere Telstra CISO sagde. “Du kan ikke outsource risiko, du kan ikke skyde skylden på din outsourcet udbyder, du ejer den.”
Ligesom så meget at gøre med insider-trusler, Burgess sagde at eje risiko, der var en ledende spørgsmål, som det var eksemplet med, at der lægges pres på en IT-afdeling til at “få et projekt over stregen” og gøre, hvad der var nødvendigt.
“Vil du stadig have nogen til at gøre de forkerte ting, men dette eksempel er blot ét af dårlig ledelse,” sagde han. “God organisationer, der har kontrol og balance i stedet for — ikke alt for bureaukratiske, men du vil være opmærksom på dine mest værdifulde data, og du vil vide, hvad der sker med det.
“Når de tilfælde som der opstår, kan du finde dem til enten at undgå dem, eller faktisk, når de opstår, skal du gøre det ret hurtigt, fordi det er en kendsgerning, du kan ikke fjerne dette problem, men kan du styre risikoen. Og til at styre den risiko, du har fået at være opmærksom på data og hvad der sker med det.”
På det seneste nummer af data lækager, Doyle sagde, at det ville være forkert at pege fingre på udbredelsen af cloud computing.
“Jeg tror, at denne adfærd var beskyttet tidligere af en omkreds, derfor dårlig adfærd, var mindre tilbøjelige til at blive offentliggjort. Du behøver ikke have eksterne folk [leder], medmindre du har en virkelig dårlig omkreds med dine interne systemer,” sagde han.
“Der henviser til, med Amazon S3-enheder, eller andre cloud storage-løsning, hvis det ikke er beskyttet, så det er naturligvis forbudt.”
Ifølge Thales APAC CISO, med mobilitet af data i den moderne verden, er det vigtigt for virksomheder at vide, hvor deres oplysninger og til at forstå værdien af det.
“Vi har flyttet til en verden, hvor du har fået til at beskytte værdifulde data på resten, i brug, og er i bevægelse,” Burgess enige. “Det er en meget anderledes tankegang.”
Over hele linjen, CXOs interviewede sagde, håndtering og lægge planer på plads for at beskæftige sig med insider-trusler er en opgave, som vil involvere alle dele af en virksomhed-uanset om det er en konstatering af, hvor følsomme data liv, til hvilke data er følsomme i første omgang-og som ikke kan overlades til IT-afdelingen alene.
Hvis din organisation har ikke set på sine data spande i den seneste tid for at se, hvilke data der kan være fejlagtigt verden-synlige, så ville det være bedst at få på det, før nogen andre gør.
ZDNET ER MANDAG MORGEN OPLUKKER
Mandag Morgen Oplukker er vores åbning salvo for uge i tech. Da vi kører et globalt site, denne redaktionelle offentliggør på mandag kl 8:00 AEST i Sydney, Australien, som er 6:00 pm Eastern Time om søndagen i OS. Det er skrevet af et medlem af ZDNet ‘ s globale editorial board, som består af vores ledende redaktører på tværs af Asien, Australien, Europa og USA.
Tidligere mandag Morgen Oplukker:
Den store data videnskab håb: Machine learning kan helbrede din frygtelige data hygiejne Efter iPhone-X: at Forudsige fremtiden på din smartphone Virksomheder nødt til at tænke på en offentlig cyber-stjernet rating, Hvorfor it-chefer har større budgetter til 2018, og hvad de køber iPhone X: Ked af Apple, men jeg kan bare ikke ansigt ved hjælp af Face ID Langt fra deja vu, Google endnu en gang at gentage historien, og Det er nu eller aldrig for trådløs opladning, IBM ‘ s Watson Data Platform har til formål at blive data videnskab operativsystem End iPhone: Hvordan Apple er ved at positionere sig til den næste store ting, Big data og digital transformation: Hvordan man gør de andre Amazon ikke sved konkurrenter, men hver anden virksomhed har brug for at besvare Amazon spørgsmål Chromebooks vil ikke flytte ind i-forretning, hvis de ikke kan købes Public cloud, private cloud, eller hybrid cloud: Hvad er forskellen?
Relaterede Emner:
Sikkerhed-TV
Data Management
CXO
Datacentre
0