Ακολουθεί ένα ερώτημα αξίας εκατομμυρίων δολαρίων (το οποίο θα μπορούσε κυριολεκτικά να είναι ένα ερώτημα εκατομμυρίων δολαρίων, αν ληφθούν υπόψη τα πιθανά πρόστιμα στο παιχνίδι): Πόσο γρήγορα μπορεί ο οργανισμός σας να ανταποκριθεί μετά από μία παραβίαση προσωπικών δεδομένων; H CyberArk δίνεις τις απαραίτητες κατευθύνσεις.

Γιώργος Καπανίρης

Διευθυντής Στρατηγικής Ανάπτυξης, NSS

www.nss.gr

Ο Γενικός Κανονισμός Προστασίας Δεδομένων (GDPR), ο οποίος αρχίζει να ισχύει στις 25 Μαΐου 2018, απαιτεί από τους οργανισμούς να αναφέρουν τη μη εξουσιοδοτημένη πρόσβαση σε προσωπικά δεδομένα εντός 72 ωρών από την ανίχνευση της παραβίασης.

Αν πιστεύετε ότι μοιάζει με ένα ιδιαίτερα στενό χρονικό περιθώριο – έχετε απόλυτο δίκιο. Σύμφωνα με μία πρόσφατη μελέτη, μόνο το 10% των οργανώσεων που παραβιάστηκαν κατάφερε να ειδοποιήσει τις ρυθμιστικές αρχές εντός 72 ωρών από την ανακάλυψη της παραβίασης. Επιπλέον, το 38% δήλωσε ότι για την κοινοποίηση απαιτήθηκαν από δύο έως και πέντε μήνες για να ολοκληρωθεί.

Πέραν της αρχικής αυτής κοινοποίησης, το άρθρο 33 του GDPR απαιτεί επίσης από τους οργανισμούς να περιγράφουν και να τεκμηριώνουν τις ακόλουθες πληροφορίες:

  • Η φύση της παραβίασης των προσωπικών δεδομένων, oι κατηγορίες ο κατά προσέγγιση αριθμός των προσώπων των οποίων τα δεδομένα επηρεάστηκαν
  • Πιθανές συνέπειες
  • Μέτρα που ελήφθησαν ή προτείνονται να ληφθούν από τον υπεύθυνο επεξεργασίας για την αντιμετώπιση της παραβίασης των προσωπικών δεδομένων

 

Η πραγματική αλήθεια είναι ότι είναι πιθανόν, επιτιθέμενοι, αυτή την ώρα που διαβάζετε το κείμενο, να κρύβονται στο περιβάλλον της εταιρείας σας, χωρίς να έχουν γίνει αντιληπτοί, και περιηγούνται στο δίκτυο αναζητώντας τη σωστή οδό για να αποκτήσουν πρόσβαση σε ευαίσθητα δεδομένα.

Για να αναφέρετε γρήγορα και με ακρίβεια μια παραβίαση – ή, ακόμα καλύτερα, να εντοπίσετε μια απειλή πριν από τη πραγματοποίηση της παραβίασης – χρειάζεστε ισχυρούς λειτουργικούς ελέγχους. Μια ισχυρή στρατηγική ασφαλείας προνομιακών λογαριασμών είναι κρίσιμης σημασίας για τέτοιου είδους έλεγχο.

Εντοπίστε και σταματήστε τις απειλές νωρίς στον κύκλο ζωής της επίθεσης (attack cycle)

Τα εργαλεία και οι λύσεις ασφάλειας αναπτύσσονται διαρκώς ώστε να είναι σε θέση να προστατεύουν τους οργανισμούς από υφιστάμενα τρωτά σημεία, ευπάθειες και απειλές. Όμως, οι επιτιθέμενοι είναι συχνά ένα βήμα μπροστά, σχεδιάζοντας νέους, εξελιγμένους τρόπους για να διεισδύσουν σε εταιρείες και επιχειρήσεις. Ακριβώς για αυτό το λόγο είναι κρίσιμης σημασίας να υιοθετήσετε τη νοοτροπία ενός επιτιθέμενου όταν ενισχύετε τις πρακτικές ασφαλείας σας καθώς προετοιμάζεστε για τον GDPR. Για να γίνει αυτό, είναι σημαντικό να εντοπιστούν και να αποκλειστούν οι απειλές στην έναρξη του κύκλου επίθεσης.

Λάβετε υπόψη σας τα παρακάτω τέσσερα βήματα:

  1. Αρχικά αναζητήστε εκτεθειμένους προνομιακούς λογαριασμούς. Έχετε στη διάθεσή σας μια λύση για εκτεθειμένα διαπιστευτήρια και για ειδοποιήσεις μη εξουσιοδοτημένης πρόσβασης; Η ανεπιθύμητη εξουσιοδότηση παρέχει σε μια υπηρεσία τη δυνατότητα να μιμείται κάποιον χρήστη σε μία άλλη υπηρεσία. Και κάτι τέτοιο έχει μεγάλο αντίκτυπο στην ασφάλεια.Όταν έχει ενεργοποιηθεί η περίπτωση μίας “unconstrained delegation”, καθώς ο προνομιούχος χρήστης συνδέεται με το μηχάνημά σας, το ticket-granting-ticker (TGT) θα αποθηκευτεί στη μνήμη, για να είναι σε θέση να αναπαραχθεί για να μετακινηθεί πλευρικά και να θέσει σε κίνδυνο έναν domain controller.
  2. Προσδιορίστε τους ελέγχους που μπορούν να παρακάμψουν την ασφάλεια προνομιακών λογαριασμών. Οι προνομιακοί λογαριασμοί είναι μια σημαντική ευπάθεια ή αδυναμία όταν δεν είναι ασφαλείς, και υπάρχουν σε κάθε οργανισμό και επιχείρηση. Μπορείτε να προσδιορίσετε πόσοι είναι οι προνομιακοί λογαριασμοί και οι υπηρεσιακοί λογαριασμοί που έχετε υπό την διαχείριση και επιτήρησή σας; Είναι ασφαλισμένοι; Έχετε εγκατεστημένη μία λύση που μπορεί να ανιχνεύσει κάποια πιθανή κλοπή διαπιστευτηρίων ή να κάνει rotate τα διαπιστευτήρια και τους κωδικούς πρόσβασης για να μη δώσει τη δυνατότητα στους επιτιθέμενους να κλιμακώσουν τα προνόμια και να πλοηγηθούν στο περιβάλλον;
  3. Προσδιορίστε τις επιθέσεις που είναι γνωστό ότι παρακάμπτουν την επαλήθευση ταυτότητας. Έχετε έναν τρόπο ανίχνευσης επιθέσεων που εκμεταλλεύονται τον έλεγχο ταυτότητας Kerberos; Αυτές οι επιθέσεις μπορεί να είναι πολύ επιζήμιες – μερικές από τις οποίες παρέχουν απεριόριστη πρόσβαση και απεριόριστο χρόνο για αναγνώριση. Λαμβάνετε υπόψη σας και τις επιθέσεις που ξεκινούν βαθιά στο εσωτερικό του δίκτυο;
  4. Εντοπίστε την κατάχρηση της προνομιακής πρόσβασης. Μπορείτε να ορίσετε με σαφήνεια τον τύπο δραστηριότητας που είναι φυσιολογική; Με άλλα λόγια, τις συνήθεις συναλλαγές σε σύγκριση με κάποια περίεργη ή ασυνήθιστη δραστηριότητα που μπορεί να είναι επικίνδυνη για τον οργανισμό; Ακολουθείτε αυτή την risk-based προσέγγιση για την ασφάλεια προνομιακών λογαριασμών; Έχετε στη διάθεση σας μια λύση που θα εμποδίσει τους επιτιθέμενους από το να αποκτήσουν πρόσβαση σε κρίσιμα συστήματα και εφαρμογές που διατηρούν ευαίσθητα προσωπικά δεδομένα της Ευρωπαϊκής Ένωσης;

Η παρεμπόδιση της μη εξουσιοδοτημένης πρόσβασης σε προσωπικά δεδομένα θα σας βοηθήσει να αποτρέψετε τις παραβιάσεις δεδομένων εκ των προτέρων. Στο μέγιστο δυνατό, η αυτόματη ανίχνευση και η παρεμπόδιση της πρόσβασης θα πρέπει να είναι μια προληπτική λειτουργία ενσωματωμένη στη λύση Privileged Account Security. Αυτός ο τύπος έγκαιρης ανίχνευσης είναι διαφορετικός από τις περιμετρικές άμυνες, οι οποίες εστιάζουν στο monitoring και σε ελέγχους ασφαλείας που αφορούν κυρίως στην προστασία των συστημάτων σας από εξωτερικές επιθέσεις.

Η ισχυρή στρατηγική ασφαλείας προνομιακών λογαριασμών επικεντρώνεται στην προληπτική ανίχνευση απειλών για τα προσωπικά δεδομένα από μέσα προς τα έξω. Η δημιουργία προφίλ σε πραγματικό χρόνο και η ανάλυση της συμπεριφοράς μεμονωμένων προνομιούχων δικτυακών συνεδριών μπορεί να βοηθήσει έναν οργανισμό να εντοπίσει έγκαιρα τις παραβιάσεις, με σχετικές ειδοποιήσεις που έχουν προτεραιότητα όταν ανιχνεύεται μη φυσιολογική δραστηριότητα.

Στη δεύτερη συμβουλευτική έκθεση της CyberArk για τον GDPR, παρέχεται μια λίστα με σημεία ελέγχου που έχουν στόχο την προληπτική ανίχνευση και την προνομιακή πρόσβαση, ώστε να είστε προετοιμασμένοι για τις απαιτήσεις notification και reporting του GDPR.