Controles de seguridad de la información para la prevención de exfiltración de datos
Empresas se sorprenden al descubrir el valor de sus datos para los atacantes. 5 consejos de seguridad para evitar ex filtración de datos
Cuando se trata de elegir que organizaciones robar, los ciber delincuentes no son quisquillosos. No están particularmente preocupados acerca de lo que una organización hace, pero sólo si la organización es un blanco fácil y tiene datos valiosos.
El valor considerable que la información corporativa y personal ha patentado en el mercado negro hace que cada empresa sea un objetivo potencial.
Sin embargo, algunas organizaciones cometen muchos errores comunes, no apreciar que tienen datos que los atacantes codician. La información personal identificable (PII), los registros de clientes, datos de tarjetas de pago y direcciones de correo electrónico de los clientes son valiosos para todos los objetivos de un cibercriminal. Incluso los datos que parecen como si nadie fuera de una organización determinada valoraría a menudo se pueden vender para obtener una ganancia significativa en mercados bien establecidos negros.
En un incidente reciente, el año pasado el Servicio Secreto de los EE.UU. llamó Lin Mun Poo con aproximadamente 413.000 números de cuenta de tarjetas de crédito robadas en su poder. Los datos de la tarjeta tenían un valor combinado estimado de $ 206 millones. No todos los datos valen mucho, pero el considerable valor que la información corporativa y personal ha patentado en el mercado negro hace que cada empresa sea un objetivo potencial. Por ejemplo, el robo de direcciones de correo electrónico puede ser utilizado en campañas de phishing o ataques de phishing dirigidos.
Los datos financieros, tales como números de cuentas legítimas de enrutamiento y los números de identificación de los comerciantes, se puede utilizar para configurar los sistemas de pago para las transacciones fraudulentas parecen provenir de un negocio legítimo. También pueden ser utilizados para el blanqueo de dinero a través de un comerciante confiado al hacer las compras y luego aplicar las devoluciones de cargos (alegando que nunca recibieron la compra y la compañía de tarjetas de crédito reembolsará el importe de la compra).
El crimen organizado ve la industria al por menor como un blanco fácil debido a las vulnerabilidades del sistema de tarjetas de pago. Muchos comercios minoristas son conscientes o no de mitigar estas vulnerabilidades. Los negocios franquiciados en particular, son atacados por los sistemas informáticos suelen ser normalizadas en todos los franquiciados. Una vez que la vulnerabilidad ha sido identificada en un solo lugar, a menudo puede ser explotado en todos los otros negocios dentro de la franquicia.
En resumen, las oportunidades para los atacantes exfiltrar datos son muchos, y casi todas las empresas tienen datos de valor, si se dan cuenta o no. Para las empresas de cualquier tamaño, hay cinco controles importantes de seguridad informática para proteger contra ataques automatizados por ciber delincuentes que buscan una ganancia fácil.
Las contraseñas seguras - El uso de contraseñas simples sigue siendo una de las principales debilidades atacantes explotan. En particular, los atacantes buscan contraseñas por defecto del sistema que no se han cambiado, ya que pueden ser utilizados con efectos devastadores en toda la franquicia entera. Los sistemas que utilizan nombre de usuario compartida administrativa y combinaciones de contraseñas también permiten a los atacantes tener acceso administrativo a través de múltiples dispositivos. Nombres de usuario y contraseñas comunes también hacen que sea más difícil de auditar quién hizo qué en un sistema. Nombres de usuario y contraseñas son un control esencial para identificar y vincular cada acción iniciada por el usuario a un individuo.
Cifrado de datos - los datos cifrados están intrínsecamente protegidos porque es ilegible. Es por esto que se requiere en las directrices de cumplimiento tantos y normas de la industria. Además, el cifrado permite la separación de las funciones y de datos de control de acceso como claves de cifrado a los datos. La aplicación de cifrado cuando se están transfiriendo datos, ya sea a través de una red mediante SSL o IPSec o copiarse en un disco CD o el pulgar, evitará muchos problemas potenciales asociados con la pérdida de datos. Punto a punto productos de cifrado también puede disminuir el riesgo de que el punto de venta (POS) vulnerabilidades en el sistema de pago cuando los datos se envían entre los comerciantes y los bancos de procesamiento de pagos, o a través de los propios sistemas internos del comerciante.
Seguridad de los empleados - Los empleados y sus puestos de trabajo son los principales objetivos para los atacantes cuando phishing para credenciales de la cuenta de red. Es importante mantener al personal informado de las últimas técnicas de phishing que se están utilizando y hacer hincapié en la importancia de estar atentos a abrir el correo electrónico y siguiendo los enlaces. Los empleados deben ser instruidos para reportar cualquier correo electrónico sospechoso a las TI, ya que pueden ser una advertencia temprana de un ataque y una oportunidad para advertir a los demás empleados. Salvaguardias simples tales como la comprobación de que alguien en realidad ha enviado un correo electrónico con un archivo adjunto son inestimables.
El robo de información propietaria - La información confidencial, como los planos de un nuevo avión, es claramente un valor para un atacante, pero también requiere un atacante sofisticado para robarla. Esta es la razón por robo de cuentas Información exclusiva para sólo una pequeña proporción de los datos robados.
Filtros de firewall egreso - Cortafuegos debe estar en su lugar para asegurar que los datos salientes se envían a la ubicación correcta, sobre el puerto adecuado, utilizando un protocolo autorizado. Muchas organizaciones sólo configuran sus cortafuegos para controlar el tráfico que entra en la red. Sin embargo, para evitar que el malware que envía datos a su controlador, el tráfico de salida también debe ser monitoreado. Esta es un sensible, preventivo medida que erige una barrera adicional que un atacante debe superar con el fin de extraer con éxito los datos de una organización.
Asegure los servicios de terceros - las investigaciones de incidentes han demostrado que, cuando un tercero es responsable del sistema de apoyo, el desarrollo o mantenimiento, es a menudo ese tercero que creó el agujero que el atacante explota. Es esencial para las organizaciones saber cuál de las partes es responsable de la configuración segura de cualquier equipo o servicios cuando un tercero les suministra. Descubre las mejores prácticas de seguridad para un determinado servicio, y asegurarse de que el proveedor pueda demostrar cómo aplican las mejores prácticas.
Conclusión
Los responsables de la protección de datos digitales dentro de una organización tienen que pensar como un criminal con el fin de hacer efectivo el valor de mercado negro de datos de su organización. Garantizar a todos los involucrados en el mantenimiento o el uso de la red de una organización conoce el valor de los datos, y por lo tanto lo importante que es para asegurar que los datos, ayudará a asegurarse de que la organización no es un objetivo fácil para los atacantes.
Sobre el autor:
Michael Cobb, CISSP-ISSAP, es un reconocido autor de seguridad con más de 15 años de experiencia en la industria de TI y otros 16 años de experiencia en finanzas. Él es el fundador y director general de Cobweb Applications Ltd., una consultora que ayuda a las empresas a asegurar sus redes y sitios web, y también les ayuda a lograr la certificación ISO 27001. Es co-autor del libro Seguridad IIS y ha escrito numerosos artículos técnicos de TI líder publicaciones. Michael es también un administrador de Microsoft Certified Database y Microsoft Certified Professional.