هر سال شرکت ارائه دهنده خدمات امنیتی وارونیس (varonis) هزاران ارزیابی ریسک داده را برای سازمان‌هایی که می‌خواهند تصویری شفاف‌تر از وضعیت امنیتی خود داشته باشند، انجام می‌دهد و رهنگاشت را برای کاهش ریسک در مورد داده‌های حساس تهیه می‌کند. گزارش ریسک داده 2019، نمونه تصادفی از میان حدود 800 ارزیابی ریسک را تجزیه و تحلیل می‌کند و نگاهی دقیق در مورد وضعیت امنیت داده‌ها در اختیار شما قرار می‌دهد.

این گزارش‌های سالانه مستلزم تجزیه و تحلیل پرونده‌ها، پوشه‌ها و ایمیل‌ها در مکان‌های مختلف ذخیره‌سازی داده‌ها هستند، و مشخص می‌کنند که کدام اطلاعات آسیب‌پذیر بوده و توصیه‌هایی در مورد چگونگی بهبود مدیریت داده و از بین بردن آسیب‌پذیری‌ها قبل از تبدیل شدن به مشکل ارائه می‌دهد. در ادامه موارد زیر را بررسی خواهیم کرد:

  • بررسی اجمالی گزارش ریسک داده سال 2019
  • حوزه
  • یافته‌ها
  • گزارش در مورد شرکت شما چه می‌گوید.
  • صنایعی که در معرض بیشترین ریسک قرار دارند.
  • گزارش ریسک داده سال 2019
  • اینفوگرافیک گزارش ریسک داده کامل

بررسی اجمالی گزارش ریسک داده سال 2019

یافته‌های گزارش ریسک داده سه موضوع اصلی امنیت داده‌ها را شامل می‌شود: ریسک و در معرض قرار گرفتن (risk and exposure)، داده‌های قدیمی (stale data) و رمزهای عبور و کاربران(passwords and users). برای رسیدن به این یافته‌ها، آزمایشگاه داده وارونیس به طور تصادفی 785 گزارش از هزاران مورد را انتخاب کرده است. تحلیلگران  به تجزیه و تحلیل حساسیت محتوای پرونده‌ها از داده‌های Active Directory، ساختارهای مجوز داده و طبقه‌بندی خودکار پرداختند.

از این داده‌ها برای کشف یافته‌های کلیدی عملی که در بخش‌های زیر مشاهده می‌شود، استفاده شده است. قبل از در نظر گرفتن یافته‌ها، این اصطلاحات کلیدی و چگونگی طبقه‌بندی آن‌ها را در طول گزارش بررسی کنید:

  • پرونده‌های حساس: حاوی اطلاعات مربوط به کارت اعتباری، سوابق پزشکی و سلامتی یا اطلاعات شخصی تابع مقرراتی مانند GDPR ، HIPAA و PCI هستند.
  • دسترسی سراسری، پرونده‌ها و پوشه‌های در معرض: فایل‌ها و پوشه‌هایی را مشخص می‌کند که برای همه (همه کارمندان) در دسترس هستند. این داده‌ها دارای بیشترین ریسکند.
  • داده‌های قدیمی: اطلاعاتی که دیگر برای عملیات روزانه مورد نیاز نیست.
  • حساب‌های کاربری قدیمی: حساب‌هایی را فعال می‌کند که غیرفعال به نظر می‌رسند و اغلب متعلق به کاربرانی است که دیگر در سازمان یا شرکت نیستند.

دامنه گزارش خطر

تحلیلگران شرکت وارینوس 54 میلیارد پرونده (تقریباً 10 برابر پرونده نسبت به گزارش سال گذشته) را از بیش از 30 کشور مختلف بررسی کردند. برخی از بیش از 30 صنایع تحت پوشش شامل مراقبت‌های بهداشتی، داروسازی، بیوتکنولوژی، خرده‌فروشی، خدمات مالی، فناوری، تولید، انرژی و آب و برق، آموزش، دفاع و دولت (محلی، ایالتی و ملی) است. چند اطلاعات آماری دقیق‌تر را در ادامه مشاهده می‌کنید:

  • کل داده‌ها: 54.58 پتابایت
  • پوشه‌های تجزیه و تحلیل شده: 4،332،290،346
  • پوشه‌ها با دسترسی سراسری: 953،616،561
  • پرونده‌های تجزیه و تحلیل سشده: 53،885،498،652
  • پرونده‌هایی با دسترسی سراسری: 13،445،993،510
  • تعداد کل حساب‌های کاربری: 12،754،608
  • میانگین تعداد پوشه‌ها در هر ترابایت: 128،782
  • تعداد متوسط پرونده‌ها در هر ترابایت: 1،460،000
  • تعداد پرونده‌های حساس در معرض، در هر ترابایت: 3،144

یافته‌های گزارش ریسک داده

 

گروه‌های دسترسی سراسری – مانند همه، کاربران دامنه یا کاربران معتبر – به خودی‌ها و مهاجمین خارجی دسترسی آسان به داخل پرونده‌ها را می‌دهند. داده‌های قابل دسترسی در سطح سراسری همچنین سازمان‌ها را در معرض خطر خودی‌ها و مهاجمان خارجی قرار می‌دهد. این خطر فقط با یک کلیک تصادفی روی یک ایمیل فیشینگ یا سایر روش‌های کلاهبرداری می‌تواند یک واکنش زنجیره‌ای ایجاد کند که کلیه پرونده‌های قابل دسترسی را رمزگذاری کرده یا از بین ببرد.

  • 17٪ کل پرونده‌های حساس در دسترس همه کارمندان بود.
  • 15٪ از شرکت‌ها یک ملیون پرونده دارند که برای تمامی کارمندان قابل دسترس است.
  • به طور متوسط، هر کارمند به 17 میلیون پرونده دسترسی داشت.

برخی از پرونده‌هایی که توسط تحلیلگران مورد بررسی قرار داده شد، مشمول مقررات نظیر آیین‌نامه حفاظت از داده‌های عمومیGDPR)) ، استاندارد امنیت داده‌های کارت صنعت پرداخت (PCI DSS یا PCI )، قانون مسئولیت و قابلیت انتقال اطلاعات سلامتHIPAA) ) و قانون حفظ حریم شخصی مصرف‌کننده در کالیفرنیا (CCPA) و قانون نقض حفظ حریم خصوصی داده‌ها بودلر هستند. داده‌های در معرض خطر می‌تواند برای شرکت به لحاظ پول، اعتبار و اعتماد، هزینه داشته باشند.

 

گزارش ریسک داده در مورد شرکت شما چه می‌گوید؟

گزارش ریسک داده سال 2019 می‌گوید کارهای زیادی باید انجام شود. این گزارش انعکاس متوسط است، به این معنی که تقریباً هر شرکتی برای دستیابی به امنیت داده‌ها و شیوه‌های ذخیره‌سازی خود، می‌بایست تلاش بیشتری صورت دهد. یافته‌ها نشان می‌دهد که اغلب شرکت‌ها در معرض نقض هستند و بسیاری از آنها قوانین و مقررات را نقض می‌کنند که می‌توانند در یک ممیزی (حسابرسی) جریمه شوند. شرکت شما یا شرکتی که از آن حمایت می‌کنید، به احتمال زیاد دارای این چهار خطرات است که از امنیت آنها جلوگیری می‌کند:

  1. داده‌های حساس بیش از حد در معرض
  2. داده‌های حساس قدیمی
  3. حساب‌های کاربری قدیمی
  4. گذرواژه‌های منقضی نشده

چه کسی بیش از همه در معرض خطر قرار دارد؟

     این صنایع بر اساس درصد متوسط پرونده‌های در معرض خطر، از حداقل ریسک گرفته تا بیشترین میزان ریسک رتبه‌بندی می‌شوند (کل پرونده‌های در معرض خطر، در صورت لزوم به عنوان یک راه‌انداز عمل می‌کنند). برای کلیه آمارهای خطر داده‌های صنعتی، به گزارش کامل مراجعه کنید.

  1. خدمات مالی: 21٪ پرونده‌های حساس در معرض ریسک قرار گرفتند.
  2. ساخت: 21٪ پرونده‌های حساس در معرض خطر قرار گرفتند.
  3. بهداشت، داروسازی و زیست فناوری: 15٪ پرونده‌های حساس در معرض ریسک قرار گرفتند.
  4. انرژی و آب و برق: 14٪ پرونده‌های حساس در معرض خطر قرار گرفتند.
  5. خرده‌فروشی: 14٪ پرونده‌های حساس در معرض خطر قرار گرفتند.
  6. دولت و ارتش: 12٪ پرونده‌های حساس در معرض ریسک قرار گرفتند.

 

گزارش ریسک داده‌ها

اگرچه این اطلاعات وحشتناک به نظر می‌رسد، گام‌های مشخصی برای افزایش امنیت و کنترل بهتر اطلاعات شما وجود دارد. این احتمال برای اکثر شرکت‌ها سریع نیست، اما یک سرمایه‌گذاری شایسته است، زیرا هکرها فقط در آنچه انجام می‌دهند، بهتر می‌شوند و مقررات دولتی درباره امنیت داده‌های سازمان‌ها، فقط سخت‌تر می‌شوند.

کمینه کردن ریسک و در معرض قرار گرفتن

  • گروه‌های دسترسی سراسری که دسترسی به داده‌های حساس را فراهم می‌کنند، شناسایی و رفع کنید.
  • اطمینان حاصل کنید که فقط کاربران مناسب، به داده‌های حساس و تنظیم شده، دسترسی دارند.
  • به طور مرتب حسابرسی کامل از سرورهای خود را انجام دهید، و به دنبال هر نوع نگهدارنده داده (پوشه، صندوق پستی، سایت‌های اشتراکی و غیره) با گروه‌های دسترسی سراسری باشید که برای ACL های خود اعمال می‌شوند.
  • گروه‌های دسترسی سراسری را با گروه‌های امنیتی کاملاً مدیریت شده، جایگزین کنید.
  • با حساس‌ترین داده‌ها شروع کنید و تغییرات آزمایش را انجام دهید تا مطمئن شوید که مشکلی ایجاد نمی‌شود.
  • اعمال کنترل‌های پیشگیرانه اضافی – مانند رمزگذاری – از طریق مدیریت حقوق دیجیتال DRM))

حذف داده‌های قدیمی

  • داده‌های حساس جمع‌آوری شده را به حداقل برسانید، چه کسی می‌تواند آن را ببیند و چه مدت شما آن داده‌ها را نگه می‌دارید.
  • داده‌های قدیمی، به خصوص اطلاعات حساس را شناسایی کنید.
  • یک دوره نگهداری از پیش تعیین شده برای داده‌ها ایجاد کنید.
  • در صورت عدم نیاز، داده‌های قدیمی را بایگانی یا حذف کنید.

محدود کردن گذرواژه‌ها و کاربران

  • شناسایی و حذف حساب‌های قدیمی و گذرواژه‌های منقضی نشده.
  • فناوری اطلاعات باید رمزهای عبور منقضی نشده را غیرفعال کرده و کلمه عبور را برای همه کاربران به گونه‌ای تنظیم کند تا در فواصل زمانی مشخص منقضی شوند.
  • اگر یک حساب کاربری به یک رمز عبور استاتیک نیاز دارد، باید بسیار طولانی، پیچیده و تصادفی باشد.
  • از مدیرانی با قابلیت رمز عبور کل شرکت و تأیید هویت دو عاملی و همچنین نظارت و هشدار در مورد تلاش‌های مشکوک برای ورود به سیستم استفاده کنید.
  • برای فعال کردن مجدد فعالیت یا حذف حساب کاربری، مطمئن شوید که حساب‌های قدیمی هنوز غیرفعال و پایش شده اند.
  • مراحل را برای اطمینان از فعال بودن، بررسی و نظارت بر همه حساب‌های کاربری اجرا کنید.
  • دریابید که چه چیزی باعث ایجاد رفتار عادی در حساب کاربری و خدمات می‌شود تا بتوانید در تشخیص کاربران غیرفعال و ناهنجاری‌های رفتاری مؤثر باشید.
  • قابلیت‌های تشخیص ناهنجاری و فرآیندهای واکنش را تقویت کنید.

اگر کنجکاو هستید که چگونه ارزیابی امسال را با سال‌های گذشته مقایسه کنید، برای اطلاعات بیشتر، گزارش ریسک داده 2018 و گزارش ریسک داده 2017 را بررسی کنید. در حالی‌که سازمان‌ها بر خروج حمله‌کنندگان از شرکت تمرکز می‌کنند، اغلب اوقات داده‌ها به طور گسترده در دسترس و بدون نظارت باقی می‌مانند. آیا می‌دانید که چگونه امنیت داده‌های شما افزایش پیدا می‌کند؟ اگر به دنبال گزارش داده‌های خود هستید، Varonis ارزیابی ریسک رایگان ارائه می‌دهد تا امنیت داده‌های شما در جهت صحیح مشخص شود.