Утечка данных, сохранение конфиденциальности
(Еще не оценили)
Загрузка ...Издано: февраля 5, 2009
2008 – это год секретности в Европе. Секретность данных станет основным направлением на следующие 24-36 месяцев. Конечная безопасность становится все более популярной, и были разработаны различные технологии, чтобы реализовать решения, которые решают эту проблему. На рынке уже начали появляться лидеры, но гонка затянется надолго.
За первую четверть 2008 свыше восьми крупных утечек данных произошли в Европе, в результате чего только в одном UK свыше 50 миллионов человек осталось незащищенными. Если брать весь мир в целом, то эти цифры гораздо больше. Существует статистика, которая отражает конкретные цифры, однако, они преуменьшены, т.к. организации и правительственные структуры не особо любят распространяться об утечках данных, или кражах данных.
В конце февраля 2008 на EBay был куплен ноутбук, содержащий CD (не в CD приводе, а спрятанный в компьютере). Этот ноутбук был сдан на починку в местный компьютерный магазин из-за треска, и выяснилось, что этот CD принадлежал одной компании в UK. На CD было написано, что в случае находки просьба вернуть его по конкретному адресу, а данные на CD были зашифрованы. В этом случае данные хранились в безопасном состоянии, а ноутбук был также зашифрован, поэтому шифровальные ключи были в безопасности (или были ли они?). Эта история отличается от миллионов других историй, в которых данные хранились в открытом виде и были потеряны при перевозке.
Недавно в Университете Принстона (Princeton University) были проведены некоторые тесты, которые вылились в интересное открытие. Было обнаружено, что шифровальные ключи для некоторых продуктов для шифрования хранились в RAM, а эту RAM можно забрать с компьютера, а затем восстановить ключи. Некоторые проигнорировали эту уязвимость, но другие отнеслись к ней со всей серьезностью, особенно рассматривая тот факт, что некоторые продавцы продают решения, которые защищают от такого раскрытия данных.
Почему происходит утечка данных, и почему так мало делается с этими инцидентами в частном секторе? Понимают ли организации, представители и чиновники последствия? Кто-нибудь в действительности заботиться о вашей информации? Учитывая, что кража личности – это самая большая проблема в цифровом веке, многое необходимо сделать для того, чтобы гарантировать, что ваши логины и информация хранятся и передаются безопасно.
Недавно я обнаружил организации, которые не шифруют свои данные, и большинство опрощенных людей не видят преимуществ в засекречивании своих данных потому, что:
- Организации не понимают механизмы шифрования, а также как они могут использоваться в контексте их бизнес деятельности.
- Руководящие члены компаний, чиновники, управляющие и директора ничего не знают о законах, предписывающих шифрование определенных данных, находящихся в их юрисдикции.
- Это было консенсусом, что шифрование увеличивает административные и операционные накладные расходы, которые были отброшены, как ненужные и потенциально дорогостоящие.
- Некоторые организации считают, что общая стоимость партнерства слишком высока по сравнению с ценностью данных.
- Некоторые организации не знают о шифровании, или для чего оно используется, поэтому решили, что раз они хорошо справлялись без нее, то она не нужна, а является всего лишь еще одним средством технического контроля, которое сложно реализовывать и поддерживать.
- Некоторые организации заявили, что им нечего скрывать, и что они не хранят данные на перевозимых устройствах.
- В некоторых случаях организация пробовала использовать шифрование, но эти попытки оказывались неудачными, в результате чего проект полностью останавливался или оставался в заброшенном состоянии.
Как хранятся и передаются данные?
Данные хранятся в контейнерах, как жидкость. Термин утечка данных очень подходящий, т.к. он характеризует, как возникает данный феномен. Некоторые данные перемещаются из одного места в другое по средствам коммуникаций (сети или VPN соединения), как вода в трубах, где снова может произойти утечка. В этом сценарии данные утекают с компьютера, на котором данные обрабатываются и передаются. Чтобы избавиться от таких утечек, необходимо использовать шифрование. Такие решения, как IPSec позволяет обезопасить передаваемую информацию.
Жидкость также можно переносить ведрами. Точно также данные можно переносить на ноутбуках, мобильных телефонах, USB устройствах, картах памяти, лентах и т.п. В этих ведрах могут быть дыры, или отсутствовать решения по контролю доступа, чтобы запретить людям брать воду из ведра. Такие технические средства контроля могут проявляться в виде шифрования или жесткого контроля доступа. В наши дни настоятельно рекомендуется использовать шифрование, т.к. большинство средств контроля доступа очень легко обойти.
Другие потенциальные источники утечки данных – это решения для удаленного доступа, клиенты для обмена удаленными сообщениями, электронные письма, распечатки, а также атаки злоумышленников. Даже через оконный проем в небоскребе кто-нибудь может наблюдать с помощью телескопа с другого здания, что может обернуться кражей данных. Не исключайте такие типы атак. Хотя этот способ кажется старинным и низкотехнологичным, совсем недавно я показал высокопрофильному банку, как легко это сделать с публичного здания через дорогу.
Для чего необходимо остановить утечку данных?
- Шифрование: С помощью шифрования обеспечивается конфиденциальность; это значит, что если данные попадут не в те руки, данные нельзя будет прочитать.
- Требование двухфакторной аутентификации: Пароли становятся слишком слабыми, поэтому двухфакторная аутентификация становится все более необходимой, т.к. наша жизнь становится все более цифровой. Подумайте о вашей цифровой идентификации.
- Шифрование коммуникаций: Если вы не хотите, чтобы вас кто-нибудь услышал, изменить способ общения. Шифрование коммуникаций – это не новая техника – он использовалась во времена римлян. Будьте уверены, что если вы не заинтересованы в безопасности ваших коммуникаций, то найдутся недобросовестные люди, которые позаботятся об этом за вас.
- Защищайте ваши ключи: Это очень важно и должно быть первоочередной задачей. Доступ ключам = доступ к данным. Ваши ключи необходимо хранить безопасным способом, точно также как и ключи от вашего дома. Не плохо было бы иметь второй набор ключей, хранящийся в безопасном месте, на тот случай, если первый набор утерян или уничтожен, вы безопасно сможете воспользоваться вторым набором. Только в этом году я консультировал четырех крупных клиентов, которые потеряли свои ключи. Одному я смог помочь, просканировав весь все их запоминающие устройства на наличие ключей. Это также является уязвимостью в безопасности, но благодаря ей, данные были спасены. Другие клиенты, потерявшие доступ к своим данным, по-прежнему ищут ключи.
- Храните резервные копии ваших данных в безопасном месте: Хранение данных и резервных копий данных необходимо осуществлять безопасным способом. Очень важно, чтобы сохранялся доступ к данным, а также была возможность их восстановить, параллельно с этим очень важно хранить такие данные в конфиденциальном виде, чтобы неавторизованные пользователи не могли прочитать или манипулировать этими данными. Ужасно знать, что менее 5% финансовых институтов Европы шифруют резервные копии своих данных. Во время недавней консультации крупный финансовый институт сообщил мне, что шифрование увеличивает время, отводимое на резервное копирование, и усложняет процесс восстановления в случае аварии.
Резюме
В заключение, производителям необходимо помнить, что решения, которые обеспечивают шифрование важных данных, необходимо легко поддерживать и устанавливать. Это означает, что ключевой материал должен храниться таким способом, который позволит организации восстановиться в случае аварии.
Источник www.windowsecurity.com
Разместить у себя на ресурсе или в ЖЖ:
На любом форуме в своем сообщении:
Популярность: 4% [!]
Tagged with: vpn
Спонсор
ITDoc самый Последний
- День системного администратора
- Создание Skype - SIP гейта
- И так бывает!
- Сценарий атаки на Cisco через SNMP
- Настройка шифрованного туннеля во FreeBSD с использованием IPSEC
- Шифрование диска в (K)Ubuntu для домашнего и бизнес применения
- Защита сетевых сервисов с помощью stunnel
- SSH-туннелинг или замена VPN
- Пример эксплуатации целочисленных переполнений
- Host Fingerprinting с помощью hping
- Как работают эксплоиты на основе heap overflow
- Борьба с DDOS и DOS на уровне nginx
- ICMP-Shell - организация досутпа к хосту используя только ICMP
- Хранение открытых ключей SSH в DNS
- Шифрование дискового раздела во FreeBSD при помощи GEOM-ELI
- Восстановление спрятанных или потерянных данных
- Работа с несколькими сеансами SSH через общий интерфейс
- Методы получения информации об удаленной операционной системе
- Виртуализация в FreeBSD с помощью Jail
- Устанока SpamAssassin (Postfix, MySQL, SSL, WebUsePpref)
- Зашифрованная корневая файловая система в Linux
- SSL соединение при использовании LDAP-сервиса
- “time stamping” сервис на базе патча к openssl и модуля mod_tsa
- Аутентификация в apache через modXLdapAuth
- 10+ способов обрушить mysql-сервер
- Замедление bruteforce атак на SSH с помощью PF
- Краткое введение в SSH
- Фазы (этапы) IPSec
- Обзор антивирусных пакетов для Debian 4.0 r0 (UNIX)
- Установка модуля modsecurity-apache в Linux Slackware
- Зонная Защита Solaris 10
- Безопасность ядра ОС UNIX
- Борьба со спамом на почтовых серверах
- Организация Honeypot в VMware - основы
- Помещение SSH пользователей в изолированное окружение
- Борьба со спамом в картинках при помощи OCR
- OpenBSD + Postfix + Antispam
- Перенаправление портов в SSH
- Аутентификация на SSH сервере с использованием ключей
- Аутентификация на SSH сервере с использованием ssh-agent
- Создание межсетевого экрана с помощью PF OpenBSD
- PF. Часть 2. Расширенная конфигурация
- NetBSD: безопасность процессов и сервисов
- Особенности NetBSD CGD
- OpenBSD: IPSec с нуля за 4 минуты
- IPFW - пример правил фильтрации для ADSL
- Конфигурирование ipfilter в FreeBSD
- IPF Howto
- FreeBSD IPSEC: Racoon + сертификаты X.509
- Шифрование пользовательских данных с помощью EncFS