5 fuentes accidentales comunes de fugas de datos

En ciberseguridad e información de seguridad, es común suponer que los delincuentes están detrás de todas las violaciones de datos y los principales eventos de seguridad. Los malos actores son fáciles de culpar por las filtraciones de información o la apropiación de cuentas, porque son ellos quienes se aprovechan de las vulnerabilidades en los sistemas para entrar y causar daños masivos. Pero, ¿cómo obtienen acceso en primer lugar? La mayoría de las veces, la gente común bien intencionada es la verdadera fuente de inseguridad de los datos.

Un estudio de datos de 2016 y 2017 indicó que el 92% de los incidentes de datos de seguridad y el 84% de las violaciones de datos confirmadas fueron involuntarias o inadvertidas . La pérdida accidental de datos sigue afectando a los equipos de TI, especialmente a medida que más organizaciones se están trasladando rápidamente a la nube. Si bien es importante priorizar la acción contra amenazas externas, asegúrese de incluir también una estrategia para minimizar el daño de las infracciones accidentales.

Esta lista de cinco fuentes comunes de fugas de datos accidentales lo ayudará a identificar los problemas que podrían estar al acecho en sus sistemas, aplicaciones y plataformas. Utilice estos ejemplos para preparar controles de seguridad más estrictos y evitar que los problemas internos se conviertan en problemas importantes en toda su organización.

# 1: Exponer secretos en repositorios de código como GitHub

En enero de 2020, un investigador de seguridad descubrió que la empresa canadiense de telecomunicaciones Rogers Communications había expuesto contraseñas, claves privadas y código fuente en dos cuentas públicas en GitHub. A medida que avanzaba la investigación sobre la violación de Rogers, el investigador encontró cinco carpetas públicas más en GitHub que contenían datos de clientes de Rogers, incluida información de identificación personal (PII) como números de teléfono.

Este tipo de cosas sucede todo el tiempo, como en el caso de que el fabricante de automóviles alemán Daimler filtró el código fuente de Mercedes-Benz para componentes de automóviles inteligentes a través de un servidor GitLab no seguro en mayo y Scotiabank exponga el código fuente y las claves de inicio de sesión privadas a los sistemas backend en GitHub en septiembre. 2019.

Las empresas que buscan una solución de detección de secretos para GitHub deberían considerar Nightfall Radar para GitHub . Es una forma rápida y fácil de evitar la pérdida de datos en la plataforma y evitar problemas como exponer datos confidenciales en repositorios de código, con escaneo automatizado y alertas e informes personalizables para ayudarlo a tomar el control de los datos de su empresa.

N. ° 2: pérdida de datos de depósitos mal configurados en AWS S3

Al igual que GitHub, AWS S3 puede ser una fuente de inseguridad de datos accidental. Todo lo que se necesita es un depósito configurado incorrectamente en el servidor de la nube para exponer grandes cantidades de datos. AWS S3 es diferente de GitHub en un gran sentido aquí: los repositorios de GitHub permiten a los usuarios establecer permisos para compartir de inmediato, con “público” configurado como la opción predeterminada. En el uso actual, los depósitos de AWS son privados de forma predeterminada. Esto significa que el error del usuario está detrás de la mayoría de las principales filtraciones de datos de AWS, cuando los datos están expuestos en estos depósitos públicos.

El director de seguridad en la nube de Outpost 24, Sergio Lourerio, habló con Computer Weekly en una entrevista de enero de 2020 sobre el creciente peligro de fuga de datos a través de buckets públicos de AWS S3 . Señaló la naturaleza de todos nosotros trabajando en los primeros días de la seguridad de la infraestructura en la nube, lo que permite la prevalencia de ataques oportunistas en depósitos de datos de AWS S3 de acceso público.

“Te sorprendería ver los datos que puedes encontrar allí con solo escanear datos de poca altura en las infraestructuras de la nube”, dijo Lourerio. “Y solo se necesitan un par de llamadas a la API para hacerlo. Con una gran cantidad de datos que se migran a la nube para casos de uso como la minería de datos y la falta de conocimiento de las mejores prácticas de seguridad en [Microsoft] Azure y AWS, es muy sencillo equivocarse “.

A principios de este año, la empresa de producción de impresión de documentos con sede en el Reino Unido Doxzoo sufrió una importante brecha de seguridad en la nube gracias a una mala configuración del servidor que expuso un bucket de AWS S3 con más de 270.000 registros y 34 gigabytes de datos . Los datos incluyeron trabajos de impresión para varios clientes de alto perfil, como las ramas militares de EE. UU. Y el Reino Unido y compañías Fortune 500, lo que deja en riesgo la PII, como los escaneos de pasaportes y los datos de PCI, para que cualquiera los vea o los robe.

Peor aún, la exposición no se informó a Doxzoo hasta cuatro días después de que se encontró la configuración incorrecta a través de un proyecto de escaneo de rutina. Cualquiera que tuviese la URL del bucket público de AWS S3 estaba al alcance de una gran cantidad de datos críticos para la empresa.

El error de usuario entre los desarrolladores y los profesionales de la seguridad de la información puede conducir a algunos de los eventos de seguridad más atroces. Sin embargo, la nube no es la única fuente de culpa. A veces, la negligencia puede ser el peor enemigo de un equipo de TI.

# 3: Comprometer millones de registros a través de certificados de seguridad caducados 

La violación de Equifax de 2017 es una de las peores filtraciones de datos de la historia, con más de 143 millones de registros expuestos que contienen PII como nombres, direcciones, fechas de nacimiento, números de seguro social y números de licencia de conducir. Estos registros fueron robados por piratas informáticos que expusieron una vulnerabilidad en Apache Struts, un servidor web de código abierto común. El servidor sin parches permitió a los atacantes obtener acceso a los sistemas de Equifax durante más de dos meses .

Al exponer el único punto de entrada de un certificado de seguridad vencido, los piratas informáticos crearon el entorno perfecto para seguir volviendo a los servidores Equifax ricos en datos, enviando más de 9.000 consultas en las bases de datos y descargando datos en 265 ocasiones distintas.

Esta violación refleja algunas similitudes de las filtraciones en GitHub y AWS S3, principalmente en cómo la respuesta de Equifax fue muy lenta e inadecuada para calmar el miedo y la preocupación de sus clientes de tener sus datos expuestos. Equifax se perdió los eventos de exfiltración de datos que ocurrieron justo debajo de sus narices durante 19 meses, y les tomó otros dos meses actualizar el certificado caducado. Solo después de que se realizó la actualización, la compañía notó tráfico web sospechoso.

El ex director de información de Equifax, David Webb, admitió en un informe de investigación del Congreso de EE. UU., “Si la empresa hubiera tomado medidas para abordar sus problemas de seguridad observables antes de este ciberataque, la violación de datos podría haberse evitado”.

Una postura de seguridad sólida comienza asegurando sus sistemas dondequiera que encuentre un punto vulnerable. El siguiente paso es realizar un examen crítico de las entidades con las que hace negocios; la exposición de terceros y cuartos puede ser igual de devastadora en una violación de datos.

# 4: Dejar la puerta abierta con proveedores terceros y cuartos no asegurados 

Una organización que está haciendo todo bien al controlar la exfiltración de datos en la nube con DLP, proteger los buckets de AWS S3 y mantener los certificados actuales en su sitio web aún puede estar en riesgo de exposición de datos a través de proveedores externos o de terceros no seguros.

El control de daños es bastante difícil cuando es solo una fuente con la que lidiar. Pero cuando tiene que investigar y remediar una filtración de datos que resulta de proveedores y otros socios comerciales, hay mucho más trabajo por hacer.

Las empresas pueden filtrar accidentalmente hasta un 92% de sus datos a través de URL, cookies o almacenamiento configurado incorrectamente . Esta exposición por sí sola es un problema de seguridad importante. Cuando agrega proveedores y servicios de terceros y terceros en estos sitios web, eso significa que la información filtrada podría estar expuesta a cualquiera de esos servicios integrados en una página comprometida.

Los proveedores externos y de terceros brindan servicios esenciales para la empresa matriz, como portales de pago rápido con procesadores de pago. Los proveedores externos a menudo confían en servicios de terceros al igual que la empresa matriz confía en la ayuda externa para maximizar las operaciones: en promedio, el 40% de los servicios en un sitio web son impulsados ​​por terceros.

Esto es lo que sucedió en uno de los peores eventos de violación de datos de Target. En diciembre de 2013, una filtración de datos filtró más de 70 millones de registros de clientes de Target. Los estafadores se abrieron camino robando las credenciales de un contratista de Target HVAC . Suena como un camino largo y sinuoso para obtener de un proveedor externo que nunca toca la red de la empresa principal, pero todo lo que se necesita para llevar a cabo un atraco como este es una pequeña exposición.

Con todas estas vías cubiertas (repositorios de código, contenedores de sitios web, otros proveedores), puede pensar que su trabajo de seguridad está hecho. Debe asumir la seguridad del correo electrónico para sus empleados, ya que esta es una solución mucho más fácil para un problema que puede causar daños graves.

# 5: Renunciar a los estándares de seguridad con políticas de correo electrónico laxas

Las estafas por correo electrónico son el truco más antiguo en el libro del ciberdelito. Como algunos de nosotros todavía estamos cayendo en las trampas de phishing de los príncipes nigerianos, muchas más personas bien intencionadas fracasan en la seguridad del correo electrónico todos los días, solo por prácticas inadecuadas de seguridad del correo electrónico.

La falta de higiene de las contraseñas de las cuentas de correo electrónico (el uso de una “contraseña” para sus credenciales de inicio de sesión), la falta de autenticación de múltiples factores al iniciar sesión en las cuentas o la falta de formación de los empleados y de políticas claras son factores que contribuyen al rápido aumento del compromiso del correo electrónico empresarial (BEC ).

Según el FBI, las pérdidas de los ataques de BEC suman más de $ 26 mil millones. Más estafadores están usando COVID-19 para ingresar a las bandejas de entrada y los sistemas. Incluso con regulaciones más estrictas en vigor, como la Ley de Privacidad del Consumidor de California (CCPA), que conlleva fuertes sanciones por incumplimiento, BEC sigue siendo una gran amenaza para cualquier organización. Los usuarios de correo electrónico deben tomar medidas de seguridad adicionales para garantizar que sus cuentas estén seguras.

Es difícil luchar contra los ladrones, los ciberdelincuentes y los estafadores, especialmente cuando su propia gente puede hacer la mayor parte del daño dentro de la organización. Trabaje con sus equipos para determinar dónde existen vulnerabilidades de seguridad dentro de sus redes, plataformas y sistemas, y capacite a todos sobre las mejores prácticas para proteger sus propios inicios de sesión y puntos de acceso. También podría ser útil hacer una copia de seguridad de todo su arduo trabajo con una solución DLP como Nightfall que captura los datos que puede haber perdido incluso antes de que puedan salir de su red.

Fuente: nightfall.ai

 

Artículos Relacionados

DEJA UN COMENTARIO:

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.