Inkonsistente Datensicherheitskontrollen: Wenn dieselben Daten sowohl verschlüsselt als auch offengelegt werden

May 9, 2023
Share

Wie hoch ist die Wahrscheinlichkeit, dass ein Unternehmen von einem Datenleck betroffen ist? Laut einer Quelle ist die Wahrscheinlichkeit, dass ein Unternehmen, das zu den Fortune 1000 gehört, bereits Opfer eines Datenlecks geworden ist, im Durchschnitt sehr hoch. Das vergangene Jahrzehnt liegt bei über 60 %.Und diese Zahlen berücksichtigen nur die Vorfälle, die öffentlich bekannt wurden.

Für große Organisationen mit wertvollen Daten stellt sich nicht mehr die Frage, ob ihre Daten kompromittiert werden, sondern wann. Um den Schadensradius zu minimieren, Datenpannen Angesichts der daraus resultierenden behördlichen Bußgelder, des Imageschadens und der Umsatzeinbußen setzen Datenverteidiger eine Vielzahl von Sicherheitsmaßnahmen für ihre Daten ein. Dazu gehört die Beschränkung des Zugriffs und der einsehbaren Daten.

Während die Implementierung von Datensicherheitskontrollen den Schaden einer Datenschutzverletzung begrenzen kann, werden die Kontrollen selbst oft nicht konsequent auf die Daten angewendet.

Die Sicherheitsforscher von Cyera untersuchten Cloud-Umgebungen, die von verschiedenen Organisationen betrieben wurden, und deckten dabei Inkonsistenzen bei der Anwendung von Datensicherheitskontrollen auf.

Inkonsistente rollenbasierte Zugriffskontrollen

Die rollenbasierte Zugriffskontrolle (RBAC) autorisiert und beschränkt den Zugriff auf Daten basierend auf der Rolle des Benutzers.

In diesem Szenario hat die Rolle Zugriff auf Tabelle A und Tabelle B. Beide Tabellen enthalten Sozialversicherungsnummern, eine streng geschützte Datenklasse. In Tabelle A sind die Sozialversicherungsnummern auf Spaltenebene maskiert. In Tabelle B werden sie im Klartext angezeigt.

Visuelle Darstellung einer einzelnen Rolle mit Zugriff auf zwei Tabellen, die beide die Sozialversicherungsnummer enthalten.
Visuelle Darstellung einer einzelnen Rolle mit Zugriff auf zwei Tabellen, die beide die Sozialversicherungsnummer enthalten.

Wie kann so etwas passieren? Das Sicherheitsteam wollte verhindern, dass Geschäftsanwender Sozialversicherungsnummern im Klartext einsehen können, unabhängig davon, wo diese gespeichert sind. Sie haben eine Maskierungsrichtlinie angewendet, die bestimmte Datensätze abdeckt, aber dabei einen Fehler übersehen. unbekannte Datensätze, die nicht ordnungsgemäß erfasst und verwaltet werden von der Organisation.

Inkonsistente dynamische Datenmaskierung

Data-Warehouse-Lösungen wie Snowflake, Azure Synapse, AWS Redshift und Google BigQuery unterstützen dynamische Datenmaskierung. Diese Funktion ermöglicht es, Daten im Klartext zu speichern, sie aber zur Abfragezeit zu maskieren. Dank dynamischer Datenmaskierung können Benutzer Abfragen ausführen und sehen ausgewählte Daten in maskierter Form.

In diesem Szenario wurde dynamische Datenmaskierung auf ausgewählte Datenklassen angewendet, jedoch nicht konsistent innerhalb derselben Abfrageergebnisse. Wir sehen, dass der Name der Person und die Kontonummer maskiert sind. Derselbe Name und dieselbe Kontonummer sind jedoch im Klartext innerhalb eines JSON-Objekts sichtbar.

Wie kommt es dazu? Dateningenieure speichern JSON-Objekte in einer Datenbank, da diese Objekte wertvolle Funktionen erfüllen, beispielsweise das Protokollieren bestimmter Aktionen, das Speichern von Berechtigungen und Konfigurationen, die Vermeidung von Leistungseinbußen bei stark verschachtelten Daten oder die Information von Datenanalysten über die verfügbaren Analysedaten. Doch in all diesen Fällen besteht das gleiche Risiko: die Offenlegung sensibler Daten, die viele Erkennungs- und Klassifizierungstools nicht erfassen können.

Die Abfrageergebnisse in einem Data Warehouse zeigen eine einzelne Informationszeile an.
Die Abfrageergebnisse in einem Data Warehouse zeigen eine einzelne Informationszeile an.

Nutzen Sie Cyera, um Datensicherheitskontrollen zu prüfen.

Die untersuchten Umgebungen gehörten Organisationen, die Sicherheitskontrollen mit veralteten, auf dem Markt erhältlichen Tools implementierten. Daher gab es keine zuverlässigen Möglichkeiten, die Effektivität dieser Implementierungen zu ermitteln. Dies änderte sich erst, als sie eine Cloud-native Datensicherheitsplattform einführten, die ihnen Folgendes ermöglichte:

  • Welche sensiblen Datenklassen wurden offengelegt?
  • Wo sich die sensiblen Daten befanden, einschließlich der Daten, von denen sie nichts wussten.
  • Welche Zugriffsebenen gab es?
  • Und was Verschleierung Es wurden keine Methoden (Verschlüsselung, Hash-Verfahren, Tokenisierung usw.) verwendet oder es fehlten Angaben.

Die Datensicherheitsplattform von Cyera bietet umfassenden Kontext zu Ihren Daten und wendet korrekte, kontinuierliche Kontrollen an, um Cybersicherheit und Compliance zu gewährleisten.

Cyera verfolgt einen datenzentrierten Sicherheitsansatz, indem es die Gefährdung Ihrer ruhenden und genutzten Daten analysiert und mehrere Verteidigungsebenen implementiert. Da Cyera den Datenkontext ganzheitlich auf Ihre gesamte Datenlandschaft ausweitet, sind wir die einzige Lösung, die Sicherheitsteams in die Lage versetzt, den Speicherort ihrer Daten zu kennen, Risiken zu erkennen und umgehend Maßnahmen zur Behebung von Schwachstellen und zur Sicherstellung der Compliance zu ergreifen, ohne den Geschäftsbetrieb zu beeinträchtigen.

Um mehr darüber zu erfahren, wie Sie die Wirksamkeit Ihrer Datensicherheitskontrollen überprüfen können, Demo vereinbaren Heute.

Share