Kibernetinio saugumo atitikties auditai: pažeidžiamumų sprendimas

Posted on

Kibernetinio saugumo atitikties auditai yra labai svarbūs nustatant šiandienos sudėtingų skaitmeninių sistemų pažeidžiamumus. Šiame straipsnyje nagrinėjami realaus pasaulio atvejai, kai auditai atskleidė reikšmingus įvairių pramonės šakų saugumo spragas, pradedant nuo sveikatos priežiūros ir baigiant finansais. Remdamiesi kibernetinio saugumo ekspertų įžvalgomis, mes ištirsime, kaip šie auditai gali atskleisti paslėptą riziką ir skatinti esminius organizacinių saugumo pozų patobulinimus.

  • Šifravimo atotrūkis, paveiktas medicinos praktikos auditoje
  • IoT pažeidžiamumai, atskleisti intelektualiame pastate
  • „WordPress“ svetainė pažymėta PCI atitikties problemomis
  • Audito metu atskleista tinklo segmentavimo trūkumas
  • Darbuotojai, pranešantys apie trimituojančius auditus nustatant incidentus
  • „Legacy“ modulis atskleidžia API raktus „Smythos“
  • „FinTech“ rasti programų mobiliesiems autentifikavimo trūkumai

Šifravimo atotrūkis, paveiktas medicinos praktikos auditoje

Mačiau, kaip atitikties auditai gali atskleisti kritinius pažeidžiamumus. Praėjusiais metais, atlikdami HIPAA atitikties auditą, atliekant vidutinio dydžio medicinos praktiką Austine, mes nustatėme, kad jų atsarginės sistemos buvo visiškai nešifruotos, nepaisant to, kad joje yra tūkstančiai pacientų įrašų.

Padėtis buvo skubi – jie susidūrė su galimomis baudomis iki 50 000 USD už pažeidimą. Per 48 valandas mes įdiegėme įmonės klasės šifravimą visoms atsarginėms kopijoms, dislokavome MFA visame savo tinkle ir nustatėme realiojo laiko stebėjimą. Ypač tai padarė tai, kad anksčiau juos „sertifikavo atitiktis“, kuris buvo tiesiog pažymėtas langeliais, neišbandydami faktinių saugumo valdiklių.

Ši patirtis sustiprino mano įsitikinimą, kad atitikties auditas turėtų būti orientuotas į įsiskverbimą, o ne „Checkbox“ pratimus. Įdiegę savo metodiką „Įvertinkite ne tik atitiktį“, mes nustatėme kritines spragas maždaug 73% naujų klientų aplinkų, kurios išlaikė tradicinius auditus, visų pirma tose vietose, kur susikerta techninė kontrolė ir žmogaus elgesys.

Bet kuriai organizacijai, kuriai atlikta atitikties auditai, rekomenduoju, kad trečioji šalis iš tikrųjų bandytų pažeisti jūsų sistemas per tuos pačius metodus, kuriuos užpuolikai naudotų. Popierius gali atrodyti tobulai, tačiau jei jūsų komanda patenka į modeliuojamo sukčiavimo testą arba jūsų „užšifruota“ duomenų bazė priima seną autentifikavimą, nesate tikrai apsaugotas.

Joe Dunne
„Stradiant“ įkūrėjas ir savininkas

IoT pažeidžiamumai, atskleisti intelektualiame pastate

Išmaniosios statybos valdymo įmonė iš manęs sulaukė atitikties audito, kuris atskleidė, kad jų IoT įrenginiai turėjo du pagrindines saugumo problemas: numatytuosius administratoriaus slaptažodžius ir nepaliestą programinę-aparatinę įrangą savo ŠVOK sistemose. Užpuolikai nuotoliniu būdu galėjo pasiekti temperatūros valdymo sistemas, kad sukeltų saugos riziką ar inicijuotų išpirkos programų atakas.

Aš ėmiausi sprendimo, reikalaudamas daugiafaktoriaus autentifikavimo, pakeisdama numatytuosius kredencialus ir sukuriant automatines programinės įrangos atnaujinimo procedūras. Mokymo programa mokė inžinierius apie konkrečius IoT įrenginių saugumo protokolus. Po šešių savaičių įgyvendinimo rizika išnyko.

Mano patarimas:

Niekada nepasitikėkite numatytuosius IoT įrenginių nustatymus – jie yra įsilaužėlių masalas. Priverskite pakeisti slaptažodį, prieš diegimą išjunkite nepanaudotus prievadus ir „Patch“ programinę -aparatinę įrangą. 10 minučių konfigūracijos čekis įveikia šešių skaičių pažeidimų valymą.

Rafay Baloch
Generalinis direktorius ir įkūrėjas, „Redseclabs“

„WordPress“ svetainė pažymėta PCI atitikties problemomis

Per savo 15 ir daugiau metų valdant „WordPress“ svetaines, mačiau daugybę netikėtumų. Vienas klientas atėjo pas mus po to, kai jų svetainė buvo pažymėta PCI atitikties nuskaitymo metu. Jų „WooCommerce“ sąranka saugojo kreditinių kortelių duomenis paprastame tekste jų duomenų bazėje – didžiulį pažeidžiamumą, kurio jie net neįsivaizdavo.

Mes nedelsdami įgyvendinome reagavimo į ekstremalias situacijas planą: paveiktų duomenų bazės lentelių izoliavimą, tinkamai užšifruoti reikalingus duomenis ir įdiegti PCI reikalavimus atitinkantį mokėjimo šliuzą, kuriame nebuvo saugomos neskelbtinos informacijos. Mes taip pat nustatėme, kad jų svetainėje buvo 17 pasenusių papildinių su žinomais saugos pažeidžiamumais, kurie sukūrė papildomus ekspozicijos taškus.

Kritiškiausia pamoka buvo ta, kad reguliari techninė priežiūra nėra vien tik tendencijų palaikyti svetaines, o tai susiję su saugumo valdymu. Daugelyje „WordPress“ svetainių savininkų nesuvokia, kad jų svetainėse yra atitikties minų, kol dar nevėlu. Štai kodėl mes sukūrėme automatizuotą kasdienį nuskaitymą į kiekvieną mūsų siūlomą paslaugų lygį.

Dauguma žmonių stebina tai, kaip greitai vystosi šie pažeidžiamumai. Tobulai saugi „WordPress“ svetainė šiandien gali būti neatitinkanti per 24 valandas, kai rastas naujas išnaudojimas. Štai kodėl mūsų tipiškas mažiau nei valandos apsisukimo laikas saugumo klausimams sutaupė klientus nuo reguliavimo galvos skausmo daugybę kartų.

Kevinas Gallagheris
Savininkas, wponcall

Audito metu atskleista tinklo segmentavimo trūkumas

Neseniai atliktas kibernetinio saugumo atitikties audito metu buvo rastas reikšmingas pažeidžiamumas, kai supratome, kad tam tikros vidinės sistemos nebuvo tinkamai segmentinės, leidžiančios neskelbtiniems duomenims būti prieinami iš mažiau saugių tinklo dalių. Ši priežiūra galėjo lengvai padaryti pažeidimą, jei bus išnaudota. Sprendžiant ne tik į „Stricter“ tinklo segmentavimo, bet ir išsamią visų sistemos leidimų apžvalgą, kad būtų užtikrinta, jog prieiga buvo suteikta remiantis mažiausiai privilegijos principu.

Taip pat buvo atliktas visas mūsų stebėjimo sistemos kapitalinis remontas, siekiant pateikti perspėjimus realiuoju laiku bet kokiems neteisėtiems bandymams pasiekti neskelbtinus duomenis. Patirtis sustiprino reguliariai iš naujo įvertinti saugumo priemones, net kai sistemos atrodo saugios. Šis iniciatyvus požiūris padėjo užkirsti kelią potencialiam rizikai ir suteikė mums gilesnį supratimą apie sudėtingumą, kaip išlaikyti atitiktį ir apsaugoti skaitmeninį turtą nuolat kintančioje grėsmės aplinkoje.

Regioninis susitikimas
„Invensis Technologies“ generalinis direktorius

Darbuotojai, pranešantys apie trimituojančius auditus nustatant incidentus

Sąžiningas atsakymas yra tas, kad mums jokie atitikties auditas tiesiogiai neatskleidė pažeidžiamumo.

Tačiau mūsų atitikties sistemoje išdėstyti principai įformino mūsų sukurtas sistemas, kurios davė rezultatus.

Kaip ir daugelyje kompanijų, mes nuolat skenuojame pažeidžiamumo valdymo sistemas, veikiančias kartu su stipriu galutinio taško saugumu, ir jos palaiko daugelį bėdų.

Tačiau reikšmingiausi kibernetiniai incidentai buvo nedelsiant aptikti per darbuotojus, kurie juos nedelsdami pranešė. Tai gimsta iš įgalinimo kultūros, kad būtų galima pranešti apie klaidą be jokių padarinių ir kibernetinių mokymų, kurie pateikiami taip, kad ne biujorko žmonės galėtų suprasti, kodėl kažkas svarbus.

Vėlgi, kibernetinis mokymas patenka į mūsų atitikties sistemą, taigi tai buvo pagrindinis principas, tačiau nauda atsirado dėl to, kad dėl jo atsirado sistemų.

Glenn Morgan
Vyriausiasis AI pareigūnas, „Net Consulting“

„Legacy“ modulis atskleidžia API raktus „Smythos“

Atlikdami įprastą atitikties auditą, mes atskleidėme savo duomenų saugojimo konfigūracijos pažeidžiamumą, kuris galėjo atskleisti jautrius API raktus. Auditas laikėsi standartinių saugumo protokolų, o klausimas buvo palaidotas senajame modulyje, kuris neseniai nebuvo peržiūrėtas.

Išsiskyrė tai, kad šifravimas neatitiko mūsų dabartinių standartų – to, ko buvo galima lengvai praleisti be audito proceso.

Mes dislokavome AI agentus, kad nedelsdami iš naujo sukonfigūruotume paveiktą modulį, taikydami šifravimą nuo galo iki galo ir sugriežtindami prieigos valdiklius. Be pataisymo, mes vykdėme visą pomirtinį pomirtinį, kad suprastume, kaip įvyko priežiūra. Mes taip pat atnaujinome savo vidaus saugumo protokolus, kad ateityje išvengtume panašių spragų.

Nuo to laiko mes matėme padidėjusį pasitikėjimą, atspindintį vartotojų atsiliepimus ir apžvalgas, ypač tokiose platformose kaip G2 (Smythos G2). Klientai dažnai iškvietė mūsų platformos patikimumą ir skaidrumą.

Galų gale reguliarus auditas, net kai viskas atrodo gerai, yra būtini. Ir kai pasirodys pažeidžiamumas, greitai judėkite ir dokumentuokite viską. Skaidrumas ir greitis gali potencialią problemą paversti patikimumo padidinimu.

Aleksandras Jie riteris
Įkūrėjas ir CTO, Smythos (DOT) COM

„FinTech“ rasti programų mobiliesiems autentifikavimo trūkumai

Vienas iš mūsų „Fintech“ klientų paprašė įprastinio kibernetinio saugumo atitikties audito prieš partnerystę su pagrindine finansų įstaiga. Audito metu mūsų komanda atrado reikšmingą pažeidžiamumą: pasenę autentifikavimo protokolai jų programoje mobiliesiems atskleidė galimas įgaliojimus sukeliančias atakas.

Mes nedelsdami pažymėjome problemą ir dirbome su jų vidaus saugumo ir plėtros komandomis, kad įgyvendintume daugiafaktorių autentifikavimą (MFA) ir atnaujintume į OAuth 2.0. Mes taip pat atnaujinome sesijų valdymo kontrolę, kad sumažintume riziką nuo neteisėtos prieigos.

Be ištaisymo, mes padėjome klientui nustatyti įprastą skverbimosi testavimo ir vidaus mokymo kadenciją, kad būtų užtikrinta, jog atitiktis išlieka iniciatyvus procesas. Tai ne tik išsprendė neatidėliotiną riziką, bet ir sustiprino jų saugumo laikyseną ir sukūrė pasitikėjimą būsimais partneriais.

Sergiy Till
Generalinis direktorius, „Fintech“ ekspertas, „SoftJourn“

„Block Telegraph“ darbuotojai

„BlockTelegraph“ yra pagrindinis „blockchain“ naujienų leidinys, apimantis NFTS, DAPPS ir decentralizuotą finansų pramonę.

Nuoroda į informacijos šaltinį

Susiję įrašai

Draugai: - Marketingo paslaugos - Teisinės konsultacijos - Skaidrių skenavimas - Fotofilmų kūrimas - Karščiausios naujienos - Ultragarsinis tyrimas - Saulius Narbutas - Įvaizdžio kūrimas - Veidoskaita - Nuotekų valymo įrenginiai -  Padelio treniruotės - Pranešimai spaudai -