Controles de seguridad de datos inconsistentes: cuando los mismos datos están cifrados y expuestos al mismo tiempo.

May 9, 2023
Share

¿Cuáles son las probabilidades de que una empresa sufra una violación de datos? Según una fuente, si usted forma parte de Fortune 1000, entonces la probabilidad de que su empresa haya sufrido una violación de datos en el año es alta. En la última década supera el 60%.Y esas cifras solo tienen en cuenta los incidentes que se hicieron públicos.

Para las grandes organizaciones con datos valiosos, la pregunta no es SI sus datos serán vulnerados, sino CUÁNDO. Para minimizar el radio de explosión de una violación de datos Ante las consiguientes multas regulatorias, el daño a la imagen de marca y el impacto en los ingresos, los responsables de la protección de datos aplican diversos controles de seguridad a sus datos. Esto incluye limitar quién tiene acceso y qué información pueden ver.

Si bien la implementación de controles de seguridad de datos puede limitar los daños de una violación de datos, los propios controles a menudo no se aplican de manera consistente a los datos.

Los investigadores de seguridad de Cyera examinaron entornos en la nube operados por diferentes organizaciones y descubrieron inconsistencias en la forma en que se aplicaban los controles de seguridad de los datos.

Controles de acceso basados ​​en roles inconsistentes

El control de acceso basado en roles (RBAC) autoriza y limita el acceso a los datos en función del rol del usuario.

En este escenario, el rol tiene acceso a las tablas A y B. Ambas tablas contienen números de seguridad social, una clase de datos altamente restringida. En la tabla A, los números de seguridad social están enmascarados a nivel de columna. En la tabla B, los números de seguridad social se muestran como texto sin formato.

Representación visual de un único rol con acceso a dos tablas, ambas conteniendo números de seguridad social (SSN).
Representación visual de un único rol con acceso a dos tablas, ambas conteniendo números de seguridad social (SSN).

¿Cómo sucede esto? El equipo de seguridad pretendía restringir que los usuarios empresariales vieran los números de la seguridad social en formato de texto plano, independientemente de dónde se encuentren dichos números. Aplicaron una política de enmascaramiento que cubre ciertos conjuntos de datos, pero no la implementaron. conjuntos de datos desconocidos, no debidamente inventariados ni gestionados. por la organización.

Enmascaramiento de datos dinámicos inconsistente

Los almacenes de datos como Snowflake, Azure Synapse, AWS RedShift y Google BigQuery admiten el enmascaramiento dinámico de datos. Esta función permite almacenar los datos en texto plano, pero enmascararlos al momento de la consulta. Con el enmascaramiento dinámico de datos, los usuarios pueden ejecutar consultas libremente y ver los datos seleccionados en un formato enmascarado.

En este caso, se aplicó enmascaramiento dinámico de datos a clases de datos seleccionadas, pero no de forma consistente dentro de los mismos resultados de consulta. Observamos que el nombre y el número de cuenta de la persona están enmascarados. Sin embargo, el mismo nombre y número de cuenta aparecen en texto plano dentro de un objeto JSON.

¿Cómo ocurre esto? Los ingenieros de datos almacenan objetos JSON en una base de datos porque estos objetos ofrecen funciones valiosas, como registrar ciertas acciones, almacenar permisos y configuraciones, evitar un rendimiento lento en datos altamente anidados o informar a los analistas de datos sobre qué datos están disponibles para su análisis. Sin embargo, en todos estos casos existe el mismo riesgo: exponer datos confidenciales que muchas herramientas de descubrimiento y clasificación no pueden ver.

Resultados de la consulta en un almacén de datos que muestran una sola fila de información.
Resultados de la consulta en un almacén de datos que muestran una sola fila de información.

Utilice Cyera para auditar los controles de seguridad de los datos.

Los entornos analizados pertenecían a organizaciones que aplicaban controles de seguridad con herramientas heredadas disponibles en el mercado. En consecuencia, no existían buenas maneras de saber cuán efectivas eran esas implementaciones. Esto cambia cuando adoptan una plataforma de seguridad de datos nativa de la nube, lo que les permite ver:

  • ¿Qué clases de datos sensibles quedaron expuestas?
  • Dónde se ubicaban los datos confidenciales, incluidos los datos que desconocían.
  • ¿Cuáles eran los niveles de acceso establecidos?
  • ¿Y qué? ofuscación Se utilizaron o faltaban métodos (cifrados, hash, tokenizados, etc.)

La plataforma de seguridad de datos de Cyera proporciona un contexto profundo sobre sus datos, aplicando controles correctos y continuos para garantizar la ciberresiliencia y el cumplimiento normativo.

Cyera adopta un enfoque de seguridad centrado en los datos, evaluando la exposición de sus datos tanto en reposo como en uso y aplicando múltiples capas de defensa. Gracias a que Cyera aplica un contexto de datos profundo e integral a todo su entorno de datos, somos la única solución que permite a los equipos de seguridad saber dónde se encuentran sus datos, qué los expone a riesgos y tomar medidas inmediatas para corregir las vulnerabilidades y garantizar el cumplimiento normativo sin interrumpir las operaciones comerciales.

Para obtener más información sobre cómo puede auditar la efectividad de sus controles de seguridad de datos, Programa una demostración hoy.

Share