การพัฒนาภัยคุกคาม ในช่วงหลายสัปดาห์ที่ผ่านมาฉันได้เรียนรู้เพิ่มเติมเกี่ยวกับห่วงโซ่อุปทานสำหรับของใช้ในบ้านมากกว่าที่ฉันเคยสนใจ ใครจะรู้ว่าห่วงโซ่อุปทานสำหรับกระดาษชำระนั้นเปราะบาง!
พวกเราที่ให้ความสำคัญกับการปกป้องเว็บแอปพลิเคชันกำลังหันมาให้ความสนใจกับซัพพลายเชนที่ประกอบขึ้นเป็นเว็บแอปพลิเคชันสมัยใหม่ หลังจากกลุ่มมิจฉาชีพขโมยรายละเอียดการชำระเงินในการโจมตีแบบ Skimming การชำระเงินอุตสาหกรรมบัตรชำระเงิน (PCI) ได้เพิ่มความตระหนักถึงความเสี่ยงเหล่านี้โดยการออกชุดคำเตือนและการสัมมนาผ่านเว็บเพื่อการศึกษาในหัวข้อนี้ เราได้เห็นผู้โจมตีหลายครั้งสามารถควบคุม JavaScript ของบุคคลที่หนึ่งหรือบุคคลที่สามที่ทำงานบนเว็บไซต์เพื่อดึงการโจมตีเหล่านี้ออกไป
จากการศึกษาล่าสุดเกี่ยวกับการเข้าชมเว็บนักวิจัยจาก Akamai พบว่า 67% ของเนื้อหาบนเว็บไซต์โดยเฉลี่ยนั้นถูกส่งโดยบุคคลที่สาม ไม่น่าแปลกใจที่ผู้โจมตีหันมาสนใจห่วงโซ่อุปทานสำหรับเว็บแอปพลิเคชันเนื่องจากตอนนี้มีจำนวนมาก การพัฒนาภัยคุกคาม
แนวโน้มในการพัฒนาชี้ให้เห็นว่าส่วนแบ่งของเนื้อหาที่มาจากบุคคลที่สามจะเพิ่มขึ้นเมื่อเวลาผ่านไปเนื่องจากเจ้าของเว็บไซต์มองหาวิธีที่เร็วและถูกกว่าในการนำเสนอฟังก์ชันใหม่ ๆ
ผู้บุกรุกยังสามารถบรรลุอัตราผลตอบแทนที่มากขึ้นถ้าพวกเขาสามารถประนีประนอมให้บริการของบุคคลที่สาม JavaScript ในขณะที่มันอาจจะให้เข้าถึงพวกเขาที่จะ JavaScript ที่เชื่อถือได้ทำงานบนหลายร้อยหรือหลายพันแม้แต่ของเว็บไซต์
การโจมตีเหล่านี้ไม่เพียง แต่มีความถี่เพิ่มขึ้นเท่านั้น แต่ผู้โจมตียังได้รับแรงบันดาลใจจากเทคนิคที่เคยพบในการหลีกเลี่ยงมัลแวร์ปลายทาง มัลแวร์สายพันธุ์ Pipka ที่ทีมฉ้อโกงของ Visa ค้นพบแสดงให้เห็นถึงความสามารถในการลบตัวเองออกจาก. html เมื่อดำเนินการเสร็จสิ้น เทคนิคประเภทนี้พบได้บ่อยในมัลแวร์ที่พบในเครือข่ายขององค์กร แต่เป็นเรื่องใหม่สำหรับมัลแวร์ที่ฝังอยู่ใน JavaScript ของเว็บไซต์
นอกจากนี้ยังพบว่าผู้โจมตีใช้อัลกอริทึมการสร้างโดเมน (DGA) สำหรับคอมโพเนนต์คำสั่งและการควบคุม (C2) ของการโจมตีแบบฟอร์มแจ็คซึ่งเป็นอีกตัวอย่างหนึ่งของการยืมเทคนิคที่สังเกตเห็นมานานในมัลแวร์บนเดสก์ท็อป DGA มีผลกระทบจากการสร้างบัญชีดำแบบคงที่ของโครงสร้างพื้นฐาน C2 ที่มีประโยชน์น้อยกว่า คาดว่าจะมีการหลบหนีอย่างต่อเนื่องและจะท้าทายผู้ปกป้องเว็บต่อไป
ทีมรักษาความปลอดภัยของแอปพลิเคชันบนเว็บไม่มีความหรูหราในการหยุดนักพัฒนาและธุรกิจจากการใช้ประโยชน์จากวิดเจ็ตนวัตกรรมเครื่องมือการเปิดใช้งานการตลาดและคุณสมบัติอื่น ๆ ที่บุคคลที่สามเหล่านี้มีให้ เครื่องมือเหล่านี้มีประสิทธิภาพในการปรับปรุงประสบการณ์ของผู้ใช้และช่วยให้ธุรกิจรวบรวมการวิเคราะห์ที่มีคุณค่าดังนั้นจึงเป็นความเสี่ยงที่จะต้องได้รับการจัดการ
จำนวนผู้ให้บริการที่แท้จริงซึ่งอาจถูกฉีด JavaScript เข้าไปในประสบการณ์ของผู้ใช้และความถี่ในการเปลี่ยนแปลงโค้ดทำให้แนวทางการจัดการผู้ขายบุคคลที่สามแบบดั้งเดิมเป็นวิธีที่ยากในการจัดการความเสี่ยงนี้
ในการศึกษา 90 วันเกี่ยวกับการโทร JavaScript มากกว่า 100,000 ครั้งที่ตรวจพบโดย CDN ของ Akamai พบว่ามีเพียง 25% เท่านั้นที่ยังคงพบในสัปดาห์สุดท้ายของไตรมาสโดยทั่วไประบุว่า 75% ของ JavaScript ทั้งหมดจะหมุนเวียนในเวลาน้อยกว่า 90 วัน
การป้องกันเว็บแอปพลิเคชันที่มีอยู่พยายามตรวจจับการโจมตีประเภทนี้ เครื่องมือที่ใช้งานบนเว็บเซิร์ฟเวอร์ Web Application Firewall (WAF) หรือ reverse proxy ไม่สามารถตรวจสอบการโทรจากเบราว์เซอร์ไปยังโดเมนของบุคคลที่สามได้ ความสามารถเช่นนโยบายความปลอดภัยของเนื้อหา (CSP) ซึ่งเป็นสิ่งที่ผู้ปกป้องเว็บส่วนใหญ่รู้จักในฐานะเครื่องมือสำหรับต่อสู้กับ Cross-Site Scripting (XSS) สามารถช่วยจัดการความเสี่ยงนี้ได้ในทางทฤษฎี CSP ช่วยให้ผู้ปกป้องเว็บสามารถส่งคำสั่งจากเว็บแอปพลิเคชันหรือ reverse proxy ไปยังเบราว์เซอร์เพื่อระบุโดเมนที่เบราว์เซอร์ควรไว้วางใจสำหรับหน้าเว็บนั้น
เนื่องจากเว็บแอปพลิเคชันขึ้นอยู่กับเนื้อหาของบุคคลที่สามแบบไดนามิกมากขึ้นการรักษารายการที่อนุญาตพิเศษของโดเมนที่เชื่อถือได้จึงมีความท้าทายมากขึ้น ในฐานะที่เป็นซีเอสพีได้เป็นส่วนหนึ่งของชุดเครื่องมือพิทักษ์เว็บมานานกว่าสิบปีที่ผ่านมาอาจจะซับซ้อนนี้จะเป็นเหตุผลหนึ่งที่ก้าวร้าวนโยบายซีเอสพีจะดำเนินการไม่ค่อย
ความท้าทายอื่น ๆ ในการใช้ CSP เพื่อต่อสู้กับการโจมตีเหล่านี้คือรายชื่อที่อนุญาตพิเศษระดับโดเมนอาจค่อนข้างกว้างหากรวมโดเมนที่จัดเก็บข้อมูลของ CDN หรือ CSP นั่นอาจส่งผลให้การเปิดรูรับแสงกว้างที่ฝ่ายตรงข้ามสามารถใช้ประโยชน์ได้
เนื่องจากผู้โจมตีที่กำหนดเป้าหมายไปที่พื้นผิวการโจมตีที่กว้างขวางซึ่งนำเสนอโดยห่วงโซ่อุปทานของเว็บแอปพลิเคชันสมัยใหม่ยังคงดำเนินต่อไปอย่างหลีกเลี่ยงไม่ได้ของการหลบหนีจึงต้องใช้เทคนิคใหม่ในการตรวจจับการโจมตี โชคดีสำหรับผู้ปกป้องเว็บเทคนิคการหลบหลีกเหล่านี้หลายอย่างถูกพบมาก่อนในมัลแวร์บนเดสก์ท็อป
ในขณะที่ฝ่ายตรงข้ามในพื้นที่นี้แนะนำเทคนิคเช่น DGA เพื่อหลบเลี่ยงบัญชีดำแบบคงที่ในระหว่างการขุดเจาะหรือสั่งการและควบคุมผู้พิทักษ์สามารถใช้ประโยชน์จากการวิจัยที่สำคัญในการตรวจจับ DGA จากมัลแวร์ขององค์กร ในทำนองเดียวกันเมื่อเราสังเกตวิธีการหลีกเลี่ยงเช่นการต่อต้านนิติวิทยาศาสตร์ (ดังที่เห็นใน Pipka) ผู้พิทักษ์ยังสามารถดึงแรงบันดาลใจจากเทคนิคที่มีประสิทธิภาพในมัลแวร์ปลายทาง
แผนกไอทีมีหน้าที่ทำลายข้อมูลที่หมดอายุการใช้งานหรือไม่ คำตอบสั้น ๆ คือไม่ การทำลายข้อมูลเมื่อสิ้นสุดอายุการใช้งานไม่ควรเป็นความรับผิดชอบเพิ่มเติมที่กองอยู่ในทีมไอทีที่มักจะไม่ได้รับการฝึกอบรมที่เหมาะสม
เริ่มต้นด้วยพื้นหลังสั้น ๆ ภายในปี 2020 คาดว่าจะมีข้อมูลอิเล็กทรอนิกส์ประมาณ 40 เซตตาไบต์ (40 ล้านล้านกิกะไบต์) และผู้ใช้ทุกคนจะสร้าง 1.7 เมกะไบต์ต่อวินาที ในแง่มุมแม้ว่าเราจะมีความก้าวหน้าทางเทคโนโลยีในการถ่ายโอนข้อมูลอย่างต่อเนื่อง แต่ก็ต้องใช้ผู้ใช้คนเดียวที่มีความเร็วในการดาวน์โหลดเฉลี่ย 44 เมกะบิตต่อวินาทีสามล้านปีในการดาวน์โหลดและรวบรวมข้อมูลทั้งหมดนั้น!
เนื่องจากจำนวนข้อมูลที่สร้างขึ้นและการเผยแพร่ข้อมูลถูกควบคุมมากขึ้นเพื่อปกป้องความเป็นส่วนตัวของแต่ละบุคคลการคาดหวังว่าทีมไอทีที่ได้รับมอบหมายให้ดูแลโครงสร้างพื้นฐานทางเทคโนโลยีเพื่อจัดการกับการทำลายข้อมูลนั้นไม่เพียง แต่ไม่มีเหตุผลและเป็นไปไม่ได้ แต่แทบจะเป็นไปไม่ได้ นอกจากนี้การทำลายข้อมูลส่วนตัวอย่างเหมาะสมนั้นมีความสำคัญอย่างยิ่ง (และมักจะซับซ้อนมาก) ซึ่งโปรโตคอลภายใน บริษัท จำเป็นต้องได้รับการกำหนดอย่างเข้มงวดและปฏิบัติตามอย่างแม่นยำเพื่อหลีกเลี่ยงความเสี่ยงที่อาจเกิดขึ้นจากการไม่ปฏิบัติตาม
โดยเฉพาะอย่างยิ่งสำหรับองค์กรและธุรกิจที่จัดการกับข้อมูลส่วนบุคคลที่สามารถระบุตัวตนได้ (PII) ข้อมูลที่จัดประเภทข้อมูลที่ไม่ได้รับการควบคุม (CUI) หรือข้อมูลที่ละเอียดอ่อนอื่น ๆ จำเป็นอย่างยิ่งที่จะต้องมีผู้เชี่ยวชาญด้านความปลอดภัยด้านเทคโนโลยีโดยเฉพาะและได้รับการฝึกฝนมาเพื่อดูแลการสิ้นอายุขัย การทำลายข้อมูล ตามหลักการแล้วทีมผู้เชี่ยวชาญด้านความปลอดภัยควรกำหนดดำเนินการและจัดการกระบวนการทำลายข้อมูลที่สิ้นสุดอายุการใช้งานที่ครอบคลุมเพื่อให้แน่ใจว่าข้อมูลทั้งหมดจะถูกทำลายในเวลาที่เหมาะสมและเป็นไปตามข้อกำหนดด้านความปลอดภัยที่เหมาะสม
การทำลายทางกายภาพเป็นเพียงส่วนหนึ่งของกระบวนการทำลายข้อมูลที่สิ้นอายุการใช้งานและการมองข้ามส่วนที่เหลืออาจมีผลกระทบที่รุนแรงมาก เมื่อคุณจัดการกับข้อมูลส่วนบุคคลที่สำคัญหรือทั้งหมดที่คุณอาจอยู่ภายใต้อำนาจของกฎหมายเช่นแคนาดาคุ้มครองข้อมูลส่วนบุคคลและเอกสารอิเล็กทรอนิกส์ตามพระราชบัญญัติ pipeda ()ที่ สหภาพยุโรประเบียบคุ้มครองข้อมูลทั่วไป (GDPR)หรืออย่างใดอย่างหนึ่งกฎระเบียบของNational Security Agency (NSA)เกี่ยวกับวัสดุที่จัดประเภทและมีความละเอียดอ่อนหรือ Payment Card Industry Data Security Standard (PCI DSS)ในสหรัฐอเมริกาเพื่อระบุชื่อเพียงบางส่วน
ขึ้นอยู่กับกฎระเบียบที่บังคับใช้กับองค์กรของคุณมีชุดมาตรฐานที่แตกต่างกันเกี่ยวกับวิธีการทำลายข้อมูลอย่างละเอียดและระยะเวลาที่ข้อมูลอาจถูกเก็บไว้ก่อนที่จะถูกทำลาย นอกจากนี้ยังมีบทลงโทษทางการเงินที่แตกต่างกันสำหรับการไม่ปฏิบัติตามมาตรฐานเหล่านั้นซึ่งหลายอย่างอาจสูงชันมาก
บรรทัดล่างคือ: หากคุณทำงานกับข้อมูลส่วนบุคคลข้อมูลที่ละเอียดอ่อนหรือเป็นความลับความรับผิดชอบจะขึ้นอยู่กับคุณที่จะต้องตระหนักถึงการทำลายข้อมูลที่หมดอายุและกฎข้อบังคับในการคุ้มครองความเป็นส่วนตัวที่เกี่ยวข้องทั้งหมด ในยุคดิจิทัลปัจจุบันปัญหานี้เป็นเรื่องเร่งด่วนที่นโยบายความเป็นส่วนตัวของข้อมูลมีอยู่ในกว่า 80 ประเทศ. มีความจำเป็นที่ข้อมูลที่ละเอียดอ่อนทั้งหมดที่อยู่ใน บริษัท ไม่ว่าจะเกี่ยวข้องกับ บริษัท หรือกับหุ้นส่วนภายนอก / บุคคลที่สามจะต้องได้รับการกำหนดระยะเวลาที่เหมาะสมสำหรับการทำลายล้างเมื่อสิ้นสุดอายุการใช้งานและข้อมูลจะถูกลบเลือนไปจนหมดสิ้น ว่ามันถูกทำลายอย่างถาวร วิธีเดียวที่จะรับประกันได้ว่าสิ่งนี้จะเกิดขึ้นคือการกำหนดความรับผิดชอบการกำกับดูแลและการกำกับดูแลอย่างต่อเนื่องให้กับทีมรักษาความปลอดภัยมืออาชีพในองค์กรที่นำโดยหัวหน้าเจ้าหน้าที่รักษาความปลอดภัยที่มีความเชี่ยวชาญในกฎหมายความเป็นส่วนตัวของข้อมูลและรักษาการสิ้นสุดที่เป็นระบบ แผนการและกระบวนการทำลายข้อมูลชีวิต
การทำลายข้อมูลของบุคคลที่สาม
การใช้ บริษัท ทำลายบุคคลที่สามเป็นเรื่องที่เสี่ยง แม้ในกรณีที่คุณออกใบรับรองการทำลายคุณจะไม่สามารถมั่นใจได้ว่าข้อมูลบางอย่างจะถูกทำลายโดยไม่สามารถย้อนกลับได้เว้นแต่คุณจะได้เห็นกระบวนการทำลายล้างและตรวจสอบทุกแง่มุมของการถ่ายโอนข้อมูลอย่างไม่ถูกต้อง ในความเป็นจริงอินเทอร์เน็ตเต็มไปด้วยการศึกษาที่ระบุว่ามีการทิ้ง – และถูกทำลายบ่อยเพียงใด – พบว่าฮาร์ดไดรฟ์มีข้อมูล PII ข้อมูลที่ละเอียดอ่อนหรือเป็นความลับ
วิธีการรักษาความสอดคล้องการ
กำหนดให้พนักงานรักษาความปลอดภัยมืออาชีพในองค์กรดูแลและตรวจสอบแผนการทำลายข้อมูลที่สิ้นสุดอายุการใช้งานเป็นการป้องกันที่แข็งแกร่งที่สุดจากการละเมิดข้อมูล นอกจากนี้ตรวจสอบให้แน่ใจว่าทีมรักษาความปลอดภัยนี้มีอุปกรณ์ที่เหมาะสมในการทำลายข้อมูลในสื่อต่างๆอย่างทั่วถึงตามระเบียบข้อบังคับทั้งหมด หากคุณไม่แน่ใจว่าพอเพียงอุปกรณ์ของคุณคุณสามารถตรวจสอบ เอ็นเอสเอรายการผลิตภัณฑ์ที่ได้รับการประเมิน
“ เมื่อเร็ว ๆ นี้เราได้รับการติดต่อผ่านโปรแกรมบั๊กรางวัลพร้อมข้อมูลเกี่ยวกับข้อมูลประจำตัวของ Slack ที่อาจถูกบุกรุก รายงานประเภทนี้ค่อนข้างเป็นกิจวัตรและโดยปกติจะเป็นผลมาจากการใช้มัลแวร์หรือรหัสผ่านซ้ำระหว่างบริการซึ่งเราเชื่อว่าเป็นเช่นนั้น” Slack เขียน
Slack อธิบายว่าตระหนักและขออภัยในความไม่สะดวกที่อาจเกิดขึ้น “วันนี้เรากำลังรีเซ็ตรหัสผ่านสำหรับบัญชีทั้งหมดที่มีการใช้งานในช่วงเวลาที่เกิดเหตุการณ์ปี 2015 ยกเว้นบัญชีที่ใช้ SSO หรือมีการเปลี่ยนรหัสผ่านหลังจากเดือนมีนาคม 2015 ไม่มีเหตุผลที่จะเชื่อว่าบัญชีใด ๆ เหล่านี้ถูกบุกรุก แต่เราเชื่อว่าข้อควรระวังนี้คุ้มค่ากับความไม่สะดวกที่อาจเกิดขึ้นจากการรีเซ็ต”
ประกาศไฮไลท์ความต้องการอย่างต่อเนื่องเพื่อให้ความรู้ผู้บริโภคเกี่ยวกับสุขอนามัยความปลอดภัยที่เหมาะสมตามที่เทอเรนแจ็คสัน, เจ้าหน้าที่รักษาความปลอดภัยข้อมูลหัวหน้าThycotic
“ เราไม่สามารถควบคุมสถานการณ์ที่ข้อมูลของเราจะถูกละเมิดได้ แต่สิ่งที่เราทำได้คือ จำกัด ผลเสียเมื่อเกิดขึ้น ข้อมูลรับรองเหล่านี้ที่เปิดเผยในปี 2015 ยังคงปรากฏอยู่ เมื่อข้อมูลหมดก็จะมี การใช้ตัวจัดการรหัสผ่านเพื่อป้องกันการใช้รหัสผ่านซ้ำและการเปิดใช้งานการตรวจสอบสิทธิ์แบบหลายปัจจัยในบัญชีทั้งหมดที่รองรับเป็นขั้นตอนแรกที่ดีในการปกป้องข้อมูลประจำตัวดิจิทัลของคุณ”
THAI-PDPA ให้คำปรึกษาและบริการปกป้องข้อมูลส่วนบุคคลตาม พ.ร.บ.ฯ แบบครบวงจร
ผู้ที่สนใจใช้บริการ Data Protection Services ของ THAI-PDPA สามารถติดต่อฝ่ายขายที่ดูแลคุณหรือฝ่ายการตลาดได้ที่เบอร์ 0-2860-6659 หรืออีเมล dcs@ko.in.th
Leave A Comment?