Zero
(Immagine: Baris Onali, Getty Images)
Non sono un super-sexy moniker come KRACK o Heartbleed, ma lo spettro dell’insider minaccia incombe, per le organizzazioni, e lo ha fatto per tutto il tempo, come l’elettricità, silicio e informatica sono stati appaiati per memorizzare le informazioni.
Mentre è facile immaginare un insoddisfatto, infelice dipendente diventare dannoso attore all’interno di un’organizzazione, e il dumping i gioielli di famiglia per dispetto, è molto più probabile che un ben intenzionato impiegato ha fatto qualcosa che davvero non dovrebbe avere.
In tempi recenti, sembra come se una valanga di perdita di dati è verificato a causa della scoperta di dati a sinistra seduto sul mondo visibile server. Per esempio, Accenture ha lasciato le chiavi del regno esposto su quattro server, Verizon ha avuto 14 milioni di record dell’abbonato seduta non protetti su Amazon S3, e anche in Australia emittente nazionale, ABC, è stato trovato che vogliono la scorsa settimana, quando ha rivelato di aver avuto informazioni per il cliente e 1.800 quotidiana database MySQL backup esposti.
“Io parto sempre da un punto di vista, il tuo più grande minaccia è la minaccia degli insider,” consulente per la sicurezza e l’ex Telstra CISO Mike Burgess ha detto a ZDNet. “Non è perché il vostro personale sono cattivi, o persone nella catena di fornitura sono male, è semplicemente umana, generalmente, possono fare i danni maggiori, e abbiamo visto molti esempi di questo.”
Una recente indagine condotta da Thales ha scoperto che il 54 per cento degli intervistati ha detto di errori da parte dei dipendenti è stata la più grande minaccia per i dati sensibili o confidenziali, con la società APAC CISO Ben Doyle dicendo ZDNet che mentre ci sono spesso segni di dannoso insider comportamento, è più difficile da rilevare incidenti.
“Se si dispone di una forte cultura della sicurezza, e non solo informazioni, cultura della sicurezza, ma una generale cultura della sicurezza, generalmente ci sono indicazioni di un cambiamento di atteggiamenti e cose del genere, se si sta andando per essere un dannoso insider, che si sta per avere la possibilità [a raccoglierlo],” Doyle ha detto.
“Credo che la minaccia per l’involontaria è un sacco di casi che non può essere indicatori fino a quando ti ritrovi nei guai.”
Si tratta di un punto di vista condiviso in tutta l’industria, con Sophos CTO Joe Levy dice che un’accidentale insider è più probabile che il compromesso di una società di un outsider.
“Sono più vicini ai dati, solo in termini di quantità di difficoltà e la vicinanza, è molto più probabile che quest’ultimo sta per accadere,” ha dichiarato Levy.
Per McAfee CTO Steve Grobman, che ha parlato di ZDNet prima che la società ha avuto il suo proprio disavventure della scorsa settimana-la definizione di vulnerabilità deve andare al di là di software.
“Quando pensiamo vulnerabilità, non possiamo pensare di vulnerabilità appena le vulnerabilità del software come Apache Struts-abbiamo anche bisogno di pensare di vulnerabilità, come abusato, controlli di accesso, in modo che qualcun gocce contenuto in un S3 di archiviazione [secchio],” Grobman detto a ZDNet.
“Parte del problema con la perdita di dati o perdita di dati è una volta che i dati sono là fuori, non c’è davvero alcun rimedio. Quando il dentifricio è fuori del tubo, non è possibile inserire nuovamente.”
Tuttavia, mentre il numero di aziende catturato dal involontaria perdita di dati continua ad aumentare, per il Prelievo, è un prodotto di aziende di dover giocare il software di spazio a causa di un mondo sempre più connesso.
“È qualcosa che è molto, molto nuovo,” ha detto. “Le persone che sono stati in attività per oltre 30 anni che non sono stati in software per il business che probabilmente non sono molto familiare con questi tipi di concetti e principi.
“Ci sarà questa finestra di esposizione, come le persone sono l’apprendimento e sviluppare la memoria muscolare, fondamentalmente, di come fare le cose correttamente nel software-terra che è solo andando a creare un sacco di problemi, come persone che mettono la loro AWS tasti su GitHub.
“Speriamo che stanno accadendo, basta che la gente sta imparando su di loro, e non c’è i livelli di leadership nelle organizzazioni e anche schede di aziende di ora che stanno cominciando a imparare questi tipi di cose.”
Secondo Burgess, l’insider threat è nulla di nuovo; è solo in grado di verificarsi più velocemente che in passato.
“E’ il rovescio della medaglia, il lato positivo di questa tecnologia connessa abilitato al mondo,” ha detto. “Qui nulla di nuovo, la gente solo bisogno di misurarsi con il fatto che la tecnologia e la connettività significa che le cose brutte possono accadere rapidamente.
“Io sono un po’ sorpreso, considerando tutto quello che è successo nel mondo, che sempre più persone non prestare attenzione a questo. Ma il lato positivo è che più persone prestare attenzione a questo, e ora hanno appena avuto modo di capire il modo giusto di identificare e gestire il rischio in modo efficace.”
Per Grobman, la sfida nell’affrontare le minacce interne è che è più di una tecnologia di problema e richiede politica.
“Se si pensa che un insider minaccia, è un insider che è l’abuso di permessi, privilegi che hanno esplicitamente accesso, in modo da è molto più difficile in realtà distinguere se questo è in realtà dannoso serie di attività, in contrapposizione a qualcosa che è legittimo che qualcuno facendo il loro lavoro”, ha detto.
“In primo luogo, le aziende hanno a vivere secondo il principio del minimo privilegio. La più grande serie di abusi che ho visto sono in genere dove c’è lax politiche di concedere l’accesso a capacità o funzioni che qualcuno non ha veramente bisogno di fare il loro lavoro ed è solo più facile dare la gente carte blanche per tutti i tipi di cose.”
Come per molti altri aspetti della sicurezza, McAfee CTO detto nessuna azienda potrà mai sbarazzarsi della minaccia degli insider, ma è possibile ridurre attraverso analisi comportamentale, o essere in grado di rilevare una grande quantità di dati di esfiltrazione.
“Pensare di fare le cose più difficili è una delle cose fondamentali che possiamo fare, anche se non risolve completamente il problema,” ha detto.
Grobman ha detto che era importante non andare oltre la parte superiore e imporre restrizioni per gli utenti e gli amministratori uguali se sono inutili.
“La cosa più importante per le persone a pensare è la comprensione di ciò che i diversi rischi in un’organizzazione, di destra e di dimensionamento dei controlli in modo che non siete ambiziosi le cose che non si preoccupano molto, ma allo stesso tempo si è in grado di mettere il vostro maggior parte delle risorse critiche e le politiche sulle cose che contano”, ha detto. “L’altro elemento che credo sia importante non solo per le cose che contano, ma le cose che sono più difficili da risolvere o riparare.
“Se la protezione di un pezzo di infrastruttura di rete, se è violato da un attacco di negazione del servizio di prospettiva, di recupero, non c’è praticamente nessun tipo di lunga durata danno fatto, che è diverso da una violazione dei dati, dove se i dati o informazioni personali o di proprietà intellettuale o di qualcosa che sta per essere interessante per un lungo periodo di tempo, anche se si risolve la vulnerabilità, correggere le autorizzazioni, se i dati sono già stati rubati, il danno è molto più difficile, se non l’impossibilità di porre rimedio.”
Dato che ci sta andando sempre essere qualcuno in un’organizzazione che sa come la trappola per topi è fatto, e le tolleranze che si innescano, Levy ha detto che è importante per le organizzazioni di essere in grado di indagare su un incidente dopo il fatto, e di avere un inventario di tutte le istanze di calcolo e di attività.
Burgess eco di un simile sentimento, e di risolvere la questione degli appaltatori e dei fornitori di terze parti, perdite di dati, ha detto che le imprese devono possedere i loro rischio e non passare in su o in giù la catena di fornitura.
“Non dovrebbe essere la difesa [a dire]: ‘Beh, ho fiducia ACME pignone ingegneria a farlo, è un problema loro e la loro colpa”. Se non hai dato loro o detto a loro le vostre aspettative intorno a loro che le informazioni, allora hai fallito, è il rischio”, l’ex Telstra CISO detto. “Non è possibile esternalizzare il rischio, non si può dare la colpa il vostro fornitore di outsourcing, è tuo”.
Piace tanto a che fare con le minacce interne, ha detto Burgess possesso di rischio era di una leadership problema, come è stato l’esempio di pressione di essere messo in un reparto IT di ottenere un progetto oltre la linea”, e fare tutto ciò che era necessario.
“Avrai ancora qualcuno a fare la cosa sbagliata, ma che esempio è solo uno dei cattivi di leadership”, ha detto. “Buone le organizzazioni di controlli ed equilibri in atto-non eccessivamente burocratico, ma si presterà attenzione ai vostri dati più importanti, e saprete di cosa sta succedendo.
“Quando i casi simili che non si verificano, si rileva a prevenirli, o in realtà una volta che si verificano, si rendono rapidamente perché è un fatto che non è possibile eliminare questo problema, ma è possibile gestire il rischio. E per gestire il rischio, hai avuto modo di prestare attenzione ai dati e che cosa gli sta succedendo.”
Sul recente numero di perdite di dati, Doyle ha detto che sarebbe sbagliato puntare il dito verso l’adozione del cloud computing.
“Penso che questo comportamento era protetto da un perimetro, quindi un cattivo comportamento, è meno probabile che diventi di dominio pubblico. Non hai persone esterne [cerca] a meno che non si dispone di una cattiva perimetrale con sistemi interni,” ha detto.
“Mentre con Amazon S3 secchi, o qualsiasi altra soluzione di storage cloud, se non è protetto, quindi ovviamente non è pubblico”.
Secondo la Thales APAC CISO, con la mobilità dei dati nel mondo moderno, è importante per le imprese, per sapere dove i loro dati e per capire il valore di esso.
“Siamo in un mondo in cui devi proteggere dati importanti a riposo, in uso e in movimento,” Burgess d’accordo. “Quella è una mentalità diversa.”
Tutto il consiglio di amministrazione, il CXOs intervistati ha dichiarato di manipolazione e creazione di piani per affrontare le minacce interne è un compito che coinvolgerà tutte le parti di un business-se questo è identificare il punto in cui i dati sensibili vita, quali sono i dati sensibili, in primo luogo, e non può essere lasciato al reparto da solo.
Se la vostra organizzazione non ha guardato nei suoi dati secchi in tempi recenti per vedere quali dati potrebbero essere erroneamente mondo visibile, allora sarebbe meglio per ottenere su di esso prima che qualcun altro lo fa.
ZDNET, LUNEDÌ MATTINA, LETTORE
Il lunedì Mattina Lettore è la nostra apertura, salvo per la settimana in tech. Dal momento che abbiamo un sito globale, questo editoriale, pubblica il lunedì alle 8:00 AEST a Sydney, in Australia, che è di 6:00 (Ora costa Orientale di domenica. È scritto da un membro di ZDNet globale comitato di redazione, composto da portare editori in Asia, Australia, Europa e stati UNITI.
In precedenza, la Mattina di lunedì Lettore:
La grande scienza di dati speranza: Macchina di apprendimento in grado di curare il terribile dati igiene Dopo l’iPhone X: Predire il futuro dello smartphone, le Aziende hanno bisogno di pensare a un pubblico cyber stelle Perché i Cio hanno più preventivi per il 2018, e che cosa stanno comprando iPhone X: Scusa Apple, ma non riesco proprio viso con Viso ID Lontano da deja vu, Google ancora una volta a ripetere la storia È ora o mai più per la ricarica wireless di IBM Watson Dati Piattaforma mira a diventare scienza di dati del sistema operativo al di Là di iPhone: Come Apple si posiziona per la prossima grande cosa dei Big data e della trasformazione digitale: Come si abilita l’altro Amazon non sudore concorrenti, ma tutte le altre società che ha bisogno di risposte Amazon domanda Chromebook non si sposta in attività, se non possono essere acquistati Public cloud, cloud privato o ibrido cloud: che Cosa è la differenza?
Argomenti Correlati:
Di sicurezza, TV
La Gestione Dei Dati
CXO
Centri Dati
0