构建数据泄露的应对机制

应对机制数据泄露数据泄露可能是日常新闻,但他们将永远是企业利益相关者的重大担忧。然而,它是IT团队必须处理违规的技术方面。这是我建立应对机制的看法。

在我们分析的大多数违规行为中,人类失败总有一个元素:

  • 您只是远离数据泄露的愚蠢密码
  • 默认密码要求遇到麻烦
  • 构建密码不会被删除
  • 文件不受保护
  • 用户选择在浏览器中缓存密码而不是记住它们
  • 您的用户群的百分比将永远被网络钓鱼攻击所欺骗。

端点保护 很少是完美的。更好的或许始终假设Windows系统会在某些时候损害,并记住妥协后的检测通常是100天。如果不是您的端点,它可能是有权访问您的系统的第三方 - 承包商,顾问和临时项目的工作人员。

当然,存在更复杂的零点风格攻击,但实际上,这些都是超出控制器的系统中的裂缝。不幸的是,你的人民和终点是真正的问题。

更改密码策略

让我们公开认识到,大多数密码更改请求在您的用户的错误时间内出现;而不仅仅是你的最终用户,而且是你的devops和sysadmins。他们有动力做一个特定的任务,然后密码改变成为这样做的障碍。他们以前的认知负荷是在手头的任务上,现在你问他们 选择强密码。主要是他们不会,因为他们不知道或欣赏强密码是什么。通常,他们得到了关于安全性的交战,并选择他们可以继续他们的日常任务。

您越多,越多,他们就越有可能找到适合他们内存和密码策略的模式。在密码条款中,他们开始令致敬–例如'LiverPool2018Jan!'很长,包含大写和小写字母,一些数字和标点符号。一目了然,你会看到它是可预测的–它非常明显,2月将发生什么。

用户改进

通过减慢密码刷新率,帮助您的员工保持业务的安全性。为它们选择密码–一个与此人无关但是一个易于记忆,复杂,密码。一种更坚实的方法是切换到基于任务的系统–委派任务不是特权。没有更多的直接登录,没有什么可击球。

sysadmin和devops改进

同样,有多种方法可以支持业务中的安全协议。阻止人类共享密码,而是使用已建立的特权访问管理(PAM)方法。通过将人们与密码分开,特别是从不让任何密码靠近端点系统,减少分享详细信息的能力,使临时(或健忘)同事更轻松地使生活更容易。

我们发现往往是良好的工作,这是实现“身份的一个实例”的举动。在大多数计算机系统中,可以多次使用帐户,因此合法的用户和攻击者可以进行并发访问。在“一个实例”模型中,并发的任何尝试都会导致断开连接,这是一个很大的预警系统。良好的PAM系统将一个身份实例映射到共享帐户。

此外,您可以录制会话。这有多种福利,特别是在与酒店内的外包商和第三方合作,例如供应商和承包商。这是内部错误的最佳威慑,并作为合规性和监管程序的稳健审计过程。

系统改进

虽然监控进入系统,但重要的是要考虑系统本身以及他们在网络中的威胁。复杂的应用程序在端点上安装,特别是那些有过日期要求的那些,可以移动到“Map Server”(管理应用程序代理服务器),它将仅将Windows返回到端点而不是整个应用程序终点,提供访问系统和共享密码的必要性。

同样重要的是对API或更精确的脚本和代码进行小心。这些通常具有攻击者可以使用的凭据;虽然服务账户常常携带一些非常高的特权。组织往往担心改变它们,因为他们不知道是什么失败,因此故意让系统开放威胁,因为被认为是没有替代的。

在快节奏的业务世界中,对IT团队的需求不断介绍和实施新技术,但应该注意的是,当他们正常运行时,这种新系统尚未完成,但是当它们是安全的。由于“速度”交付,云通常是短期内的工作,但迫切需要功能。检查任何服务提供商的安全协议。

所有这些变化的目标最终最终消除系统的脆弱或脆弱部分。端到端的服务应该更休克吸收剂,使一个系统的失败并不意味着他人的失败。您可以在现代汽车在碰撞中吸收能量方面的方式来看待它。

害怕“他们得到了多远?”

在违规之后,似乎攻击者可以让攻击者在基础架构中无处不在。上述步骤也旨在限制攻击的传播。这意味着该团队可以在看起来的位置和解决方法中做出一些原因决策。

断开网络,冻结证据,快速并决定性。拍摄日志,检查系统配置并查看任何数据库。如果您怀疑任何端点,请将它们放在货架上并立即发出员工的替代品。

虽然IT团队将承担任何违规行为,但业务需要生存。 IT团队需要能够确定哪些系统,应用程序和设备是安全的,以继续使用;什么系统以凭据条款妥协;哪个深度受损系统对业务运营至关重要。这些采取补救优先权。

在大多数情况下,此时,IT团队将需要外部帮助。良好,快速的外部帮助是最好的方法,并且在长远来看比尝试进行内部修复更便宜。

通过这个过程,你会发现违规证据实际上没有说明在一个整洁的时间线上。您的团队将揭示部分证据,这将导致得出广泛的结论。随着时间的推移,您将更接近真正的原因,每次结论都很有价值,因为它将向您展示网络中的任何未来弱点。

将系统配置为弹性“安全单元”,并给自己更清楚地指示任何潜在的安全妥协。它会有更多的努力,但结果比购买更大的防火墙更好。

分享这个