Cosa abbiamo imparato dalla violazione di Facebook

I titoli continuano a abbondare sulla violazione dei dati su Facebook.

Totalmente diverso dagli hacker del sito in cui le informazioni sulle carte di credito sono state appena rubate ai principali rivenditori, la società in questione, Cambridge Analytica, aveva il diritto di utilizzare effettivamente questi dati.

Sfortunatamente hanno usato queste informazioni senza permesso e in modo palesemente ingannevole sia per gli utenti di Facebook che per la stessa Facebook.

Il CEO di Facebook Mark Zuckerberg ha promesso di apportare modifiche per evitare che questo tipo di informazioni si verifichino in futuro, ma sembra che molte di queste modifiche verranno apportate internamente.

I singoli utenti e le aziende devono ancora adottare le proprie misure per garantire che le loro informazioni rimangano il più protette e sicure possibile.

Per le persone il processo per migliorare la protezione online è abbastanza semplice. Ciò può variare dall’abbandonare del tutto i siti come Facebook, evitando i cosiddetti siti di giochi gratuiti e quiz in cui è richiesto di fornire l’accesso alle tue informazioni e a quelle dei tuoi amici.

Un approccio separato è quello di utilizzare account diversi. Uno potrebbe essere utilizzato per l’accesso a importanti siti finanziari. Una seconda e altre potrebbero essere utilizzate per le pagine dei social media. L’uso di una varietà di account può creare più lavoro, ma aggiunge ulteriori livelli per tenere un infiltrato lontano dai dati chiave.

D’altro canto, le aziende hanno bisogno di un approccio più completo. Mentre quasi tutti utilizzano firewall, elenchi di controllo degli accessi, crittografia degli account e altro ancora per prevenire un hack, molte aziende non riescono a mantenere il framework che porta ai dati.

Un esempio è una società che impiega account utente con regole che impongono periodicamente modifiche alle password, ma sono lassiste nel modificare le credenziali dei dispositivi dell’infrastruttura per firewall, router o cambiare password. In effetti, molti di questi non cambiano mai.

Coloro che impiegano servizi di dati web dovrebbero anche modificare le loro password. Sono richiesti un nome utente e una password o una chiave API per accedervi che vengono creati al momento della creazione dell’applicazione, ma di nuovo raramente vengono modificati. Un ex membro del personale che conosce la chiave di sicurezza API per il gateway di elaborazione delle carte di credito, potrebbe accedere a tali dati anche se non erano più impiegati in tale azienda.

Le cose possono andare ancora peggio. Molte grandi aziende utilizzano altre aziende per assistere nello sviluppo di applicazioni. In questo scenario, il software viene copiato nei server delle aziende aggiuntive e può contenere le stesse chiavi API o combinazioni nome utente / password utilizzate nell’applicazione di produzione. Poiché la maggior parte viene raramente modificata, un lavoratore scontento presso una società di terze parti ora ha accesso a tutte le informazioni necessarie per acquisire i dati.

Processi aggiuntivi dovrebbero inoltre essere adottati per prevenire il verificarsi di una violazione dei dati. Questi includono…

• Identificazione di tutti i dispositivi coinvolti nell’accesso pubblico ai dati aziendali, inclusi firewall, router, switch, server, ecc. Sviluppare elenchi dettagliati di controllo degli accessi (ACL) per tutti questi dispositivi. Cambia nuovamente le password utilizzate per accedere a questi dispositivi frequentemente e modificale quando un membro di una ACL in questo percorso lascia l’azienda.

• Identificazione di tutte le password delle applicazioni integrate che accedono ai dati. Si tratta di password “integrate” nelle applicazioni che accedono ai dati. Cambia queste password frequentemente. Modificali quando qualcuno che lavora su uno di questi pacchetti software lascia l’azienda.

• Quando si utilizzano società terze per assistere nello sviluppo di applicazioni, stabilire credenziali di terze parti separate e modificarle frequentemente.

• Se si utilizza una chiave API per accedere ai servizi Web, richiedere una nuova chiave quando le persone coinvolte in tali servizi Web lasciano l’azienda.

• Anticipare che si verifichi una violazione e sviluppare piani per rilevarla e fermarla. Come proteggono le aziende da questo? È un po ‘complicato ma non fuori portata. La maggior parte dei sistemi di database ha un sistema di auditing incorporato e, purtroppo, non viene utilizzato correttamente o affatto.

Un esempio sarebbe se un database avesse una tabella di dati che conteneva i dati dei clienti o dei dipendenti. Come sviluppatore di applicazioni, ci si aspetterebbe che un’applicazione acceda a questi dati, tuttavia, se viene eseguita una query ad hoc che richiede una grande quantità di questi dati, il controllo del database correttamente configurato dovrebbe, come minimo, fornire un avviso che ciò sta accadendo .

• Utilizzare la gestione delle modifiche per controllare le modifiche. Il software di gestione delle modifiche deve essere installato per semplificare la gestione e la tracciabilità. Blocca tutti gli account non di produzione fino a quando non è attiva una richiesta di modifica.

• Non fare affidamento sul controllo interno. Quando un’azienda verifica se stessa, in genere minimizza i potenziali difetti. È meglio utilizzare una terza parte per controllare la sicurezza e controllare le politiche.

Molte aziende forniscono servizi di auditing, ma nel tempo questo autore ha scoperto che un approccio forense funziona meglio. Analizzare tutti gli aspetti del framework, costruire politiche e monitorarli è una necessità. Sì, è un problema cambiare tutto il dispositivo e le password incorporate, ma è più facile che affrontare il tribunale dell’opinione pubblica quando si verifica una violazione dei dati.

Fonte

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *