Prevenindo Hacks como Equifax: Por que existem domínios CISSP?

Prevenindo Hacks como Equifax: Por que existem domínios CISSP?
Author

William Bailey

Last updated November 14, 2017


  • 124 Views

Em 2017, a Equifax relatou dois incidentes alarmantes - um em suas operações nos EUA, devido a uma vulnerabilidade do Apache Struts, e outro em suas operações na Argentina. Olhando para os incidentes da Equifax, os conceitos de defesa em profundidade, controles em camadas e gerenciamento de riscos para alcançar o equilíbrio apropriado de confidencialidade, integridade e disponibilidade são essenciais. Você já deve ter aprendido que o CISO e o CIO estão deixando a Equifax . Neste artigo, veremos como os conceitos do domínio CISSP ( Certified Information Systems Security Professional ) poderiam minimizar a probabilidade e o impacto dos incidentes Equifax.

Eventos atuais como os incidentes de Equifax trazem à luz a importância dos oito domínios do (Common Cell of Knowledge - CBK).

Comece com o gerenciamento de riscos

O conceito de 'defesa em profundidade' começa primeiro com o gerenciamento de riscos e assegura que a organização tenha políticas e padrões apropriados em vigor. O incidente da Equifax nos EUA foi vinculado à vulnerabilidade do Apache Struts que foi publicada em março de 2017; as políticas poderiam ter indicado com que frequência as varreduras de vulnerabilidade devem ser executadas e o acompanhamento subsequente. Depois que uma vulnerabilidade é detectada, uma política pode declarar que os sistemas devem ser corrigidos dentro de um período de tempo definido ou que a gerência sênior seria necessária para avaliar o risco e tomar a decisão de aceitar a exceção à política.

A avaliação de risco invocaria a política e os procedimentos do Ciclo de Vida de Desenvolvimento de Software, delineando as atualizações necessárias.

Em seu argentino Nas operações, um banco de dados deixado acessível com o nome de usuário e a senha padrão do fornecedor deve ter sido uma das primeiras coisas que as políticas ditariam para serem testadas antes de serem lançadas como um site de produção ou após uma alteração no sistema.

Embora prefiramos controles preventivos , corrigindo os ativos - nos casos em que não podemos abordar imediatamente o risco de uma maneira -, procuramos controles detetives ou corretivos . Sem um conhecimento profundo da infra-estrutura de rede, não sabemos se a plataforma escolhida adicionou a detecção baseada em assinatura em seus IDs (Intrusion Detection Systems), mas um IDS pode ter detectado o uso anormal de seus sistemas da Web.

Um sistema de prevenção de intrusões (IPS, Intrusion Prevention System) poderia ter bloqueado solicitações mal-intencionadas. Os sistemas SIEM (Security Information and Event Management, gerenciamento de eventos e informações de segurança) também podem ter sido utilizados para agregar e gerar alertas com base em atividade excessiva dentro de um período de tempo definido. A história completa ainda não foi trazida à luz, mas é aí que precisamos nos lembrar de que o conceito de defesa em profundidade não dependeria de um único controle, mas usaria vários controles para minimizar o risco para o “controle aceitável”. nível."

Confidencialidade, Integridade, Disponibilidade

Confidencialidade, integridade e disponibilidade interagem entre si. Podemos manter segredos se cortarmos o acesso, mas impedir o acesso impede os negócios dos dados de que precisam. Na sociedade de hoje, muitas vezes gostamos da facilidade do "crédito instantâneo" em pé no balcão ou em nossos computadores domésticos para obter um desconto tentador, financiamento promocional ou grandes recompensas com uma conta de crédito especial; a decisão instantânea exige que o bureau tenha um relatório correto e o disponibilize imediatamente ao credor.

Pelo menos alguns dos registros que foram acessados ​​de forma inadequada, no entanto, foram registros de disputas em que um indivíduo entrou com uma disputa. Esses registros não foram usados ​​por credores em potencial, e devido às informações confidenciais contidas nessas disputas (números completos de previdência social e até mesmo informações sobre carteira de motorista), o banco de dados era um excelente exemplo de um sistema em que a confidencialidade talvez fosse o fator determinante. sobre a disponibilidade.

Enquanto o incidente dos EUA estava relacionado a uma exploração da vulnerabilidade do Apache Struts, as operações argentinas da Equifax tinham um banco de dados voltado para a Web que tinha como padrão o nome de usuário 'admin' e 'admin' como senha.

O uso de um nome de usuário padrão que está na documentação do fornecedor, efetivamente ignorou a confidencialidade das informações, e a integridade das informações no banco de dados argentino é suspeita. A sensibilidade dos dados é um dos principais impulsionadores dos requisitos de confidencialidade.

Um site de jornal restringirá as informações para proteger sua receita de assinatura, impedindo que outras pessoas copiem seus artigos. Relatórios de crédito são usados ​​ao longo de nossas vidas, não apenas hoje, mas nos próximos anos; os dados desses relatórios de crédito são um excelente exemplo das informações que exigem o mais alto nível de controles para proteger a confidencialidade dessas informações.

Quando olhamos para o Common Body of Knowledge (CBK) do CISSP, começamos com Segurança e Gerenciamento de Riscos, porque ele dá o tom para o restante dos domínios e como projetar, testar, operar e mudar os Sistemas de Informação. Não dependemos apenas de um único controle, mas aplicamos a combinação ideal para proteger as informações em um nível apropriado.

Os incidentes da Equifax nos lembram que adotamos políticas por um motivo, para proteger a Confidencialidade, Integridade e Disponibilidade das informações que somos confiáveis ​​para proteger. Alunos frequentemente pergunte por que estudamos todos os domínios, e os incidentes da Equifax demonstram por que temos vários domínios: porque os domínios ajudam a garantir que não nos esqueçamos de concluir todas as etapas necessárias.

Find our CISSP®- Certified Information Systems Security Professional Online Classroom training classes in top cities:

Name Date Place
CISSP®- Certified Information Systems Security Professional 25 Aug -16 Sep 2018, Weekend batch Your City View Details

About the Author

William (Bill) Bailey is a cyber security instructor for Simplilearn as well as the VP of Information Security at Police & Fire FCU (PFFCU), based in Philadelphia. Bill has been involved with the design and implementation of systems for over twenty years, focusing on Information Security, Privacy, and Risk for the last fifteen years. He has worked in both private industry as well as a consultant, over the years being exposed to healthcare, retail, insurance, logistics, utility, as well as financial services.


{{detail.h1_tag}}

{{detail.display_name}}
{{author.author_name}} {{author.author_name}}

{{author.author_name}}

{{detail.full_name}}

Published on {{detail.created_at| date}} {{detail.duration}}

  • {{detail.date}}
  • Views {{detail.downloads}}
  • {{detail.time}} {{detail.time_zone_code}}

Registrants:{{detail.downloads}}

Downloaded:{{detail.downloads}}

About the {{detail.about_title && detail.about_title != null ? detail.about_title : 'On-Demand Webinar'}}

About the {{detail.about_title && detail.about_title != null ? detail.about_title : 'Webinar'}}

Hosted By

Profile

{{author.author_name}}

{{author.author_name}}

{{author.about_author}}

About the {{detail.about_title && detail.about_title != null ? detail.about_title : 'Ebook' }}

About the {{detail.about_title && detail.about_title != null ? detail.about_title : 'Ebook' }}

View {{detail.about_title && detail.about_title != null ? detail.about_title : 'On-Demand Webinar'}}

Webcast

Register Now!

Download the {{detail.about_title && detail.about_title != null ? detail.about_title : 'Ebook'}}!

First Name*
Last Name*
Email*
Company*
Phone Number*

View {{detail.about_title && detail.about_title != null ? detail.about_title : 'On-Demand Webinar'}}

Webcast

Register Now!

{{detail.about_title && detail.about_title != null ? detail.about_title : 'Webinar'}} Expired

Download the {{detail.about_title && detail.about_title != null ? detail.about_title : 'Ebook'}}

Email
{{ queryPhoneCode }}
Phone Number

Show full article video

Name Date Place
{{classRoomData.Date}} {{classRoomData.Place}} View Details

About the Author

{{detail.author_biography}}

About the Author

{{author.about_author}}