データ侵害はどこからでも発生する可能性があります:ハッカーがデータを盗む方法

data breaches can come from anywhere



すべての組織は、貴重なデータを所有しています。従業員や顧客の個人情報であろうと、次の製品に関する研究開発情報であろうと、このデータは適切に保護する必要があります。問題のデータの種類に応じて、この保護の必要性はデータプライバシー規制(GDPR、PCI DSS、HIPAAなど)から発生する可能性があり、組織が競争力のある運営能力を維持することを保証するために秘密にしておく必要がある場合がありますその業界内で。

すべての研究と支出にもかかわらず データセキュリティ、毎週発生するデータ侵害の数は、秘密の保護が解決された問題ではないことを示しています。ほとんどの組織では、ネットワークを保護するために基本的なサイバー防御を実施しています。ただし、多くの場合、ハッカーは依然として保護されたデータをすり抜けて盗むことができます。



ほとんどの人は、データ侵害について考えるとき、ハッカーがこれらの防御を突破して組織のデータを盗むことを考えます。ただし、常にそうであるとは限りません。場合によっては、ハッカーはこれらの防御策を完全に回避して、機密データを公開する他の脆弱性を利用することができます。

投稿内容:-

漏れやすいサプライチェーン

組織が機密データを保護できない最も一般的な方法の1つは、サプライチェーンを適切に保護できないことです。すべての組織は、製品やサービスの提供を支援するために、ベンダー、ソフトウェアプロバイダーなどにある程度依存しています。サプライチェーンにおけるこれらの企業の違反は、組織の違反につながる可能性があります。

サプライチェーンの依存関係を適切に保護できないことによって引き起こされた違反の最も有名な例は、2017年のEquifax違反です。 「完全に防止可能」 Equifaxのシステムの侵害により、1億4,300万人を超える個人の財務データがハッカーに漏洩しました。 Equifax違反の原因は、Equifaxが独自のネットワークで使用したサードパーティソフトウェアを適切に保護できなかったことです。 Apache Strutsは、Equifaxを含む多くの組織で使用されているオープンソースのWebサーバーです。このソフトウェアにはよく知られた脆弱性があり、Equifaxインシデントの数か月前にパッチが入手可能でした。 Equifaxは、その依存関係から受け継がれた脆弱性をクローズするためのデューデリジェンスを実行しなかったため、最近の歴史の中で最も悪名高いデータ侵害が可能になりました。

「信頼できる」インサイダー

ネットワーク境界のセキュリティが向上したため、攻撃者がネットワークにアクセスするための最も簡単な方法は、内部から開始することです。ネットワークを完全に悪用することにより、ハッカーはほとんどの組織で使用されている防御の多くを回避できます。

組織を全面的に攻撃するためのさまざまな手段が存在します。これらは、フラッシュドライブにマルウェアをインストールしたり、従業員をだまして内部システムに接続したりするなどのより技術的な攻撃ベクトル(Stuxnetがイランの遠心分離機に「エアギャップ」を飛び込ませた方法)から、非常に技術の低い攻撃までさまざまです。たとえば、用務員としての仕事を得たり、メールキャリアになりすまして、セキュリティで保護されていないマシンからデータを盗もうとしたりします。境界ベースの防御は、組織のプライベートデータを保護するために多くのことを行うことができますが、攻撃者がすでに建物の中にいる場合は、はるかに効果的ではありません。

安全でない雲

ハッカーが組織の防御をハッキングせずに簡単にデータを盗む3つ目の方法は、ネットワークにまったく保存されていない機密データを追跡することです。クラウドコンピューティングは組織にさまざまな利点をもたらしますが、適切に行われなければ、セキュリティはその1つではありません。

組織がクラウドセキュリティを妨害する最も一般的な方法の1つは、セキュリティ保護されていないクラウドストレージの使用です。 Amazon S3バケットは、これらのうち最もよく知られているものの1つです(おそらく「リークの多いバケット」の視覚的なイメージのため)。クラウドストレージシステムは、組織の次のデータ侵害の原因となる可能性があります。

クラウドの主な問題は、セキュリティ設定がきめ細かくないことです。 2つのオプションは通常、プライベート(データを表示または編集するために各ユーザーを明示的に招待する必要があります)またはパブリック(適切なURLが見つかった場合、全世界がデータを読み取ることができます)です。クラウドセキュリティ 研究が発見しました S3バケットの7%はそれらを見つけたすべてのユーザーに公開され(認証は必要ありません)、それらの35%には暗号化されていないデータが含まれていました。明らかに、多くの人々は、パブリックがクラウドでのパブリックを意味することを理解していません。

一方、ハッカーはこれを完全に理解し、さまざまなツールを利用して開いているS3バケットをスキャンします。見つかったバケットはすべてプライベートデータの宝庫であり、組織のファイアウォールの穴を見つけるために必要な時間と労力は一切必要ありません。

データの保護

巧妙に設計されたマルウェアとハ​​ッカーが一度に1行のコードを組織のファイアウォールを突破することは、間違いなくデータセキュリティへの脅威ですが、それだけが唯一の脅威ではありません。組織の機密データは、貧弱なサプライチェーンのセキュリティ、内部の脅威、漏洩するクラウドストレージなど、さまざまな方法で公開される可能性があります。これらの攻撃ベクトルの多くは、従来の境界セキュリティを迂回し、多くのサイバー防御を無効にします。

組織は、ネットワーク境界のセキュリティ防御に依存して機密データをハッカーから保護することはできません。機密データを適切に保護するためには、データが格納されているすべての場所とデータへのアクセス方法を包括的に理解して可視化する必要があります。専門のデータセキュリティソリューションを展開することで、組織はこのレベルの可視性を獲得し、使用される攻撃ベクトルに関係なく、機密データを盗む潜在的な試みを特定できます。

また読む: