Inkonsistente Datensicherheitskontrollen: Wenn dieselben Daten sowohl verschlüsselt als auch offengelegt werden

Wie hoch ist die Wahrscheinlichkeit, dass ein Unternehmen von einer Datenpanne betroffen ist? Laut einer Quelle liegt die Wahrscheinlichkeit, dass Ihr Unternehmen als Teil der Fortune 1000 in den letzten zehn Jahren eine Datenpanne hatte, bei über 60 %. Und diese Zahlen berücksichtigen nur die Vorfälle, die öffentlich bekannt wurden.

Für große Unternehmen mit wertvollen Daten stellt sich nicht mehr die Frage, OB Ihre Daten kompromittiert werden, sondern WANN. Um den Schaden eines Datenverstoßes sowie die daraus resultierenden behördlichen Strafen, Imageschäden und Umsatzeinbußen zu minimieren, setzen Datensicherheitsverantwortliche verschiedene Sicherheitsmaßnahmen für ihre Daten ein. Dazu gehört auch, den Zugriff und die Einsichtsmöglichkeiten zu beschränken.

Während die Implementierung von Datenschutzkontrollen den Schaden eines Datenverstoßes begrenzen kann, werden die Kontrollen selbst oft nicht konsequent auf Daten angewendet.

Cyera-Sicherheitsforscher untersuchten Cloud-Umgebungen verschiedener Unternehmen und entdeckten dabei Inkonsistenzen in der Anwendung von Datensicherheitskontrollen.

Inkonsistente rollenbasierte Zugriffskontrollen

Die rollenbasierte Zugriffskontrolle (RBAC) autorisiert und beschränkt den Zugriff auf Daten basierend auf der Rolle eines Benutzers.

In diesem Szenario hat die Rolle Zugriff auf Tabelle A und Tabelle B. Beide Tabellen enthalten Sozialversicherungsnummern, eine hoch eingeschränkte Datenklasse. In Tabelle A sind die Sozialversicherungsnummern auf Spaltenebene maskiert. In Tabelle B sind die Sozialversicherungsnummern im Klartext sichtbar.

Wie kommt es dazu? Das Sicherheitsteam wollte verhindern, dass Geschäftsanwender Sozialversicherungsnummern im Klartext sehen können, egal wo sich diese Nummern befinden. Sie haben eine Maskierungsrichtlinie angewendet, die bestimmte Datensätze abdeckt, aber unbekannte Datensätze, die von der Organisation nicht ordnungsgemäß inventarisiert und verwaltet werden, übersehen.

Inkonsistente dynamische Datenmaskierung

Data Warehouses wie Snowflake, Azure Synapse, AWS RedShift und Google BigQuery unterstützen dynamisches Data Masking. Diese Funktion ermöglicht es, Daten im Klartext zu speichern, sie aber zur Abfragezeit zu maskieren. Mit dynamischem Data Masking können Benutzer beliebige Abfragen ausführen, sehen jedoch ausgewählte Daten in maskierter Form.

In diesem Szenario wurde die dynamische Datenmaskierung auf ausgewählte Datenklassen angewendet, jedoch nicht einheitlich innerhalb derselben Abfrageergebnisse. Wir sehen, dass der Name der Person und die Kontonummer maskiert sind. Allerdings werden der Name und die Kontonummer derselben Person in einem JSON-Objekt im Klartext angezeigt.

Wie kommt es dazu? Dateningenieure speichern JSON-Objekte in einer Datenbank, weil diese Objekte wertvolle Einsatzmöglichkeiten bieten, wie zum Beispiel das Protokollieren bestimmter Aktionen, das Speichern von Berechtigungen und Konfigurationen, das Vermeiden von langsamer Performance bei stark verschachtelten Daten oder das Informieren von Datenanalysten darüber, welche Daten für Analysen verfügbar sind. Doch in all diesen Fällen besteht dasselbe Risiko: die Offenlegung sensibler Daten, die viele Discovery- und Klassifizierungstools nicht erkennen können.

Nutzen Sie Cyera, um die Datensicherheitskontrollen zu überprüfen

Die untersuchten Umgebungen gehörten zu Organisationen, die Sicherheitskontrollen mit herkömmlichen, auf dem Markt verfügbaren Tools durchführten. Daher gab es keine guten Möglichkeiten, die Wirksamkeit dieser Maßnahmen zu beurteilen. Das änderte sich erst, als sie eine cloud-native Data Security Platform (DSPM) einführten, die ihnen ermöglichte, Folgendes zu erkennen:

• Welche sensiblen Datenklassen wurden offengelegt
• Wo sich die sensiblen Daten befanden, einschließlich der Daten, von denen sie nichts wussten 
• Welche Zugriffsebenen waren vorhanden
• Und welche Verschleierungsmethoden (verschlüsselt, gehasht, tokenisiert usw.) wurden verwendet oder fehlten

Cyera's Datensicherheitsplattform bietet umfassenden Kontext zu Ihren Daten und wendet die richtigen, kontinuierlichen Kontrollen an, um Cyber-Resilienz und Compliance zu gewährleisten.

Cyera verfolgt einen datenzentrierten Ansatz für Sicherheit, indem die Gefährdung Ihrer ruhenden und genutzten Daten bewertet und mehrere Verteidigungsschichten angewendet werden. Da Cyera tiefgehenden Datenkontext ganzheitlich über Ihre gesamte Datenlandschaft hinweg anwendet, sind wir die einzige Lösung, die Sicherheitsteams in die Lage versetzt, zu wissen, wo sich ihre Daten befinden, was sie Risiken aussetzt, und sofortige Maßnahmen zu ergreifen, um Gefährdungen zu beheben und die Einhaltung von Vorschriften sicherzustellen – ohne den Geschäftsbetrieb zu stören.

Erfahren Sie mehr darüber, wie Sie die Wirksamkeit Ihrer Datenschutzkontrollen prüfen können, indem Sie noch heute eine Demo vereinbaren.