هر سال شرکت ارائه دهنده خدمات امنیتی وارونیس (varonis) هزاران ارزیابی ریسک داده را برای سازمانهایی که میخواهند تصویری شفافتر از وضعیت امنیتی خود داشته باشند، انجام میدهد و رهنگاشت را برای کاهش ریسک در مورد دادههای حساس تهیه میکند. گزارش ریسک داده 2019، نمونه تصادفی از میان حدود 800 ارزیابی ریسک را تجزیه و تحلیل میکند و نگاهی دقیق در مورد وضعیت امنیت دادهها در اختیار شما قرار میدهد.
این گزارشهای سالانه مستلزم تجزیه و تحلیل پروندهها، پوشهها و ایمیلها در مکانهای مختلف ذخیرهسازی دادهها هستند، و مشخص میکنند که کدام اطلاعات آسیبپذیر بوده و توصیههایی در مورد چگونگی بهبود مدیریت داده و از بین بردن آسیبپذیریها قبل از تبدیل شدن به مشکل ارائه میدهد. در ادامه موارد زیر را بررسی خواهیم کرد:
- بررسی اجمالی گزارش ریسک داده سال 2019
- حوزه
- یافتهها
- گزارش در مورد شرکت شما چه میگوید.
- صنایعی که در معرض بیشترین ریسک قرار دارند.
- گزارش ریسک داده سال 2019
- اینفوگرافیک گزارش ریسک داده کامل
بررسی اجمالی گزارش ریسک داده سال 2019
یافتههای گزارش ریسک داده سه موضوع اصلی امنیت دادهها را شامل میشود: ریسک و در معرض قرار گرفتن (risk and exposure)، دادههای قدیمی (stale data) و رمزهای عبور و کاربران(passwords and users). برای رسیدن به این یافتهها، آزمایشگاه داده وارونیس به طور تصادفی 785 گزارش از هزاران مورد را انتخاب کرده است. تحلیلگران به تجزیه و تحلیل حساسیت محتوای پروندهها از دادههای Active Directory، ساختارهای مجوز داده و طبقهبندی خودکار پرداختند.
از این دادهها برای کشف یافتههای کلیدی عملی که در بخشهای زیر مشاهده میشود، استفاده شده است. قبل از در نظر گرفتن یافتهها، این اصطلاحات کلیدی و چگونگی طبقهبندی آنها را در طول گزارش بررسی کنید:
- پروندههای حساس: حاوی اطلاعات مربوط به کارت اعتباری، سوابق پزشکی و سلامتی یا اطلاعات شخصی تابع مقرراتی مانند GDPR ، HIPAA و PCI هستند.
- دسترسی سراسری، پروندهها و پوشههای در معرض: فایلها و پوشههایی را مشخص میکند که برای همه (همه کارمندان) در دسترس هستند. این دادهها دارای بیشترین ریسکند.
- دادههای قدیمی: اطلاعاتی که دیگر برای عملیات روزانه مورد نیاز نیست.
- حسابهای کاربری قدیمی: حسابهایی را فعال میکند که غیرفعال به نظر میرسند و اغلب متعلق به کاربرانی است که دیگر در سازمان یا شرکت نیستند.
دامنه گزارش خطر
تحلیلگران شرکت وارینوس 54 میلیارد پرونده (تقریباً 10 برابر پرونده نسبت به گزارش سال گذشته) را از بیش از 30 کشور مختلف بررسی کردند. برخی از بیش از 30 صنایع تحت پوشش شامل مراقبتهای بهداشتی، داروسازی، بیوتکنولوژی، خردهفروشی، خدمات مالی، فناوری، تولید، انرژی و آب و برق، آموزش، دفاع و دولت (محلی، ایالتی و ملی) است. چند اطلاعات آماری دقیقتر را در ادامه مشاهده میکنید:
- کل دادهها: 54.58 پتابایت
- پوشههای تجزیه و تحلیل شده: 4،332،290،346
- پوشهها با دسترسی سراسری: 953،616،561
- پروندههای تجزیه و تحلیل سشده: 53،885،498،652
- پروندههایی با دسترسی سراسری: 13،445،993،510
- تعداد کل حسابهای کاربری: 12،754،608
- میانگین تعداد پوشهها در هر ترابایت: 128،782
- تعداد متوسط پروندهها در هر ترابایت: 1،460،000
- تعداد پروندههای حساس در معرض، در هر ترابایت: 3،144
یافتههای گزارش ریسک داده
گروههای دسترسی سراسری – مانند همه، کاربران دامنه یا کاربران معتبر – به خودیها و مهاجمین خارجی دسترسی آسان به داخل پروندهها را میدهند. دادههای قابل دسترسی در سطح سراسری همچنین سازمانها را در معرض خطر خودیها و مهاجمان خارجی قرار میدهد. این خطر فقط با یک کلیک تصادفی روی یک ایمیل فیشینگ یا سایر روشهای کلاهبرداری میتواند یک واکنش زنجیرهای ایجاد کند که کلیه پروندههای قابل دسترسی را رمزگذاری کرده یا از بین ببرد.
- 17٪ کل پروندههای حساس در دسترس همه کارمندان بود.
- 15٪ از شرکتها یک ملیون پرونده دارند که برای تمامی کارمندان قابل دسترس است.
- به طور متوسط، هر کارمند به 17 میلیون پرونده دسترسی داشت.
برخی از پروندههایی که توسط تحلیلگران مورد بررسی قرار داده شد، مشمول مقررات نظیر آییننامه حفاظت از دادههای عمومیGDPR)) ، استاندارد امنیت دادههای کارت صنعت پرداخت (PCI DSS یا PCI )، قانون مسئولیت و قابلیت انتقال اطلاعات سلامتHIPAA) ) و قانون حفظ حریم شخصی مصرفکننده در کالیفرنیا (CCPA) و قانون نقض حفظ حریم خصوصی دادهها بودلر هستند. دادههای در معرض خطر میتواند برای شرکت به لحاظ پول، اعتبار و اعتماد، هزینه داشته باشند.
گزارش ریسک داده در مورد شرکت شما چه میگوید؟
گزارش ریسک داده سال 2019 میگوید کارهای زیادی باید انجام شود. این گزارش انعکاس متوسط است، به این معنی که تقریباً هر شرکتی برای دستیابی به امنیت دادهها و شیوههای ذخیرهسازی خود، میبایست تلاش بیشتری صورت دهد. یافتهها نشان میدهد که اغلب شرکتها در معرض نقض هستند و بسیاری از آنها قوانین و مقررات را نقض میکنند که میتوانند در یک ممیزی (حسابرسی) جریمه شوند. شرکت شما یا شرکتی که از آن حمایت میکنید، به احتمال زیاد دارای این چهار خطرات است که از امنیت آنها جلوگیری میکند:
- دادههای حساس بیش از حد در معرض
- دادههای حساس قدیمی
- حسابهای کاربری قدیمی
- گذرواژههای منقضی نشده
چه کسی بیش از همه در معرض خطر قرار دارد؟
این صنایع بر اساس درصد متوسط پروندههای در معرض خطر، از حداقل ریسک گرفته تا بیشترین میزان ریسک رتبهبندی میشوند (کل پروندههای در معرض خطر، در صورت لزوم به عنوان یک راهانداز عمل میکنند). برای کلیه آمارهای خطر دادههای صنعتی، به گزارش کامل مراجعه کنید.
- خدمات مالی: 21٪ پروندههای حساس در معرض ریسک قرار گرفتند.
- ساخت: 21٪ پروندههای حساس در معرض خطر قرار گرفتند.
- بهداشت، داروسازی و زیست فناوری: 15٪ پروندههای حساس در معرض ریسک قرار گرفتند.
- انرژی و آب و برق: 14٪ پروندههای حساس در معرض خطر قرار گرفتند.
- خردهفروشی: 14٪ پروندههای حساس در معرض خطر قرار گرفتند.
- دولت و ارتش: 12٪ پروندههای حساس در معرض ریسک قرار گرفتند.
گزارش ریسک دادهها
اگرچه این اطلاعات وحشتناک به نظر میرسد، گامهای مشخصی برای افزایش امنیت و کنترل بهتر اطلاعات شما وجود دارد. این احتمال برای اکثر شرکتها سریع نیست، اما یک سرمایهگذاری شایسته است، زیرا هکرها فقط در آنچه انجام میدهند، بهتر میشوند و مقررات دولتی درباره امنیت دادههای سازمانها، فقط سختتر میشوند.
کمینه کردن ریسک و در معرض قرار گرفتن
- گروههای دسترسی سراسری که دسترسی به دادههای حساس را فراهم میکنند، شناسایی و رفع کنید.
- اطمینان حاصل کنید که فقط کاربران مناسب، به دادههای حساس و تنظیم شده، دسترسی دارند.
- به طور مرتب حسابرسی کامل از سرورهای خود را انجام دهید، و به دنبال هر نوع نگهدارنده داده (پوشه، صندوق پستی، سایتهای اشتراکی و غیره) با گروههای دسترسی سراسری باشید که برای ACL های خود اعمال میشوند.
- گروههای دسترسی سراسری را با گروههای امنیتی کاملاً مدیریت شده، جایگزین کنید.
- با حساسترین دادهها شروع کنید و تغییرات آزمایش را انجام دهید تا مطمئن شوید که مشکلی ایجاد نمیشود.
- اعمال کنترلهای پیشگیرانه اضافی – مانند رمزگذاری – از طریق مدیریت حقوق دیجیتال DRM))
حذف دادههای قدیمی
- دادههای حساس جمعآوری شده را به حداقل برسانید، چه کسی میتواند آن را ببیند و چه مدت شما آن دادهها را نگه میدارید.
- دادههای قدیمی، به خصوص اطلاعات حساس را شناسایی کنید.
- یک دوره نگهداری از پیش تعیین شده برای دادهها ایجاد کنید.
- در صورت عدم نیاز، دادههای قدیمی را بایگانی یا حذف کنید.
محدود کردن گذرواژهها و کاربران
- شناسایی و حذف حسابهای قدیمی و گذرواژههای منقضی نشده.
- فناوری اطلاعات باید رمزهای عبور منقضی نشده را غیرفعال کرده و کلمه عبور را برای همه کاربران به گونهای تنظیم کند تا در فواصل زمانی مشخص منقضی شوند.
- اگر یک حساب کاربری به یک رمز عبور استاتیک نیاز دارد، باید بسیار طولانی، پیچیده و تصادفی باشد.
- از مدیرانی با قابلیت رمز عبور کل شرکت و تأیید هویت دو عاملی و همچنین نظارت و هشدار در مورد تلاشهای مشکوک برای ورود به سیستم استفاده کنید.
- برای فعال کردن مجدد فعالیت یا حذف حساب کاربری، مطمئن شوید که حسابهای قدیمی هنوز غیرفعال و پایش شده اند.
- مراحل را برای اطمینان از فعال بودن، بررسی و نظارت بر همه حسابهای کاربری اجرا کنید.
- دریابید که چه چیزی باعث ایجاد رفتار عادی در حساب کاربری و خدمات میشود تا بتوانید در تشخیص کاربران غیرفعال و ناهنجاریهای رفتاری مؤثر باشید.
- قابلیتهای تشخیص ناهنجاری و فرآیندهای واکنش را تقویت کنید.
اگر کنجکاو هستید که چگونه ارزیابی امسال را با سالهای گذشته مقایسه کنید، برای اطلاعات بیشتر، گزارش ریسک داده 2018 و گزارش ریسک داده 2017 را بررسی کنید. در حالیکه سازمانها بر خروج حملهکنندگان از شرکت تمرکز میکنند، اغلب اوقات دادهها به طور گسترده در دسترس و بدون نظارت باقی میمانند. آیا میدانید که چگونه امنیت دادههای شما افزایش پیدا میکند؟ اگر به دنبال گزارش دادههای خود هستید، Varonis ارزیابی ریسک رایگان ارائه میدهد تا امنیت دادههای شما در جهت صحیح مشخص شود.