چگونه از داده های مشتری در برابر نقض محافظت کنیم
در هفتهها و ماههای گذشته، تعدادی از شرکتهای ارزهای دیجیتال، بزرگ و کوچک، قربانی نشت دادههای ارائهدهندگان خدمات بازاریابی شدهاند. نقض اطلاعات اخیر توسط HubSpot یک مثال قابل توجه است. در نتیجه، اطلاعات شخصی میلیونها مشتری از شرکتهای آسیبدیده افشا شد. در برخی موارد، این شامل جزئیات اضافی در مورد حساب های آنها نیز می
در هفتهها و ماههای گذشته، تعدادی از شرکتهای ارزهای دیجیتال، بزرگ و کوچک، قربانی نشت دادههای ارائهدهندگان خدمات بازاریابی شدهاند. نقض اطلاعات اخیر توسط HubSpot یک مثال قابل توجه است.
در نتیجه، اطلاعات شخصی میلیونها مشتری از شرکتهای آسیبدیده افشا شد. در برخی موارد، این شامل جزئیات اضافی در مورد حساب های آنها نیز می شود.
مشتریان تحت تأثیر در حال حاضر به عنوان کاربران خدمات خاص، عمدتاً در فضای ارزهای دیجیتال و دارایی های دیجیتال، شناسایی شده اند که آنها را در برابر حملات فیشینگ، مهندسی اجتماعی و انواع دیگر حملات آسیب پذیر می کند.
Ledn تحت تأثیر هیچ یک از نشت داده های اخیر، از جمله حادثه اخیر HubSpot قرار نگرفت.
آنتون لیواجا رهبر تیم امنیت اطلاعات لدن است.
این نتیجه نتیجه فراتر رفتن از اقدامات امنیتی استاندارد و تطبیق شیوههای شرکت با ریسکهای صنعت منحصربهفرد ما است. ما برای دادههای مشتریانمان ارزش قائل هستیم، همانطور که داراییهای مشتریانمان را انجام میدهیم و هر کاری که میتوانیم برای محافظت از آن انجام میدهیم.
مانند سایر شرکت ها در بسیاری از صنایع، Ledn از HubSpot برای مدیریت وبلاگ، ایمیل ها و صفحات فرود ما استفاده می کند. HubSpot ابزار قدرتمندی است که در صورت استفاده صحیح میتواند به کسبوکارها کمک کند تا به روشی کارآمد با مشتریان ارتباط برقرار کنند. استفاده از پلتفرم های اتوماسیون راهی عالی برای ارتقاء سطح بازاریابی شماست، اما مهم است که همیشه امنیت را در سرلوحه کار خود نگه دارید. خوشبختانه راههایی وجود دارد که شرکتها میتوانند ریسک خود را هنگام تعامل با پلتفرمهایی مانند HubSpot به حداقل برسانند.
در این مقاله، حادثه اخیر HubSpot را بررسی میکنیم و گامهای برداشته شده که منجر به محافظت از دادههای مشتری Ledn شده است را برجسته میکنیم. با استفاده از این روشها، سایر شرکتها یا نهادها میتوانند لایههای اضافی برای محافظت از دادههای مشتری خود در برابر این نوع بردارها اضافه کنند.
امید ما این است که با نشان دادن آشکار اقدامات و آموخته های خود، به دیگران کمک کنیم تا از یک حادثه مشابه در آینده جلوگیری کنند و وضعیت امنیتی آنها را تقویت کنیم.
بیایید از ابتدا شروع کنیم.
چی شد؟
HubSpot به دلیل در معرض خطر قرار گرفتن یکی از کارمندان آن، دچار نقض اطلاعات شد. این به دشمن اجازه داد تا از حساب در معرض خطر HubSpot برای دسترسی به تعدادی از حسابهای مشتری، بهویژه شرکتهای ارزهای دیجیتال، استفاده کند.
جزئیات در مورد چگونگی به خطر افتادن حساب کارمند، و اینکه چرا کنترلهای اضافی برای کاهش این سناریو وجود ندارد، نامشخص است. این یک حمله دیگر در یک سری از نقض اطلاعات مبتنی بر رمزنگاری است، از جمله حملهای که لجر در سال 2020 تجربه کرد، که همچنین به دلیل نقض HubSpot بود.
گزارش رویداد عمومی از HubSpot را می توان در اینجا یافت.
از گزارش:
چرا یک کارمند HubSpot به اطلاعات مشتریان HubSpot دسترسی داشت؟
برخی از کارمندان به حساب های HubSpot دسترسی دارند. این به کارمندانی مانند مدیران حساب و متخصصان پشتیبانی اجازه می دهد تا به مشتریان کمک کنند. در این مورد، یک بازیگر بد توانست یک حساب کارمند را به خطر بیاندازد و از این دسترسی برای صادر کردن اطلاعات تماس از تعداد کمی از حسابهای HubSpot استفاده کند.
Ledn چگونه توانست از خود محافظت کند؟
دلیل اصلی اینکه Ledn تحت تأثیر نفوذ HubSpot قرار نگرفت، وسواس ما در محافظت از داده های مشتری و در نتیجه محدود کردن دسترسی فروشنده ما به داده ها بود.
وقتی تصمیم میگیریم از فروشندگان خارجی استفاده کنیم، مهم این است که آیا توانایی غیرفعال کردن دسترسی کارکنان فروشنده به دادههایمان را داریم یا خیر. در مورد HubSpot، ما همیشه دسترسی کارمند را غیرفعال میکنیم، و در صورت لزوم، آن را برای مدت زمان لازم برای پشتیبانی کارکنان HubSpot فعال میکنیم و بلافاصله پس از آن غیرفعال میکنیم – که به سادگی از اصل کمترین امتیاز استفاده میکند.
در Ledn، ما فرض میکنیم که هنگام استفاده از فروشندگان شخص ثالث، ریسکهایی را میپذیریم که اندازهگیری کامل آن غیرممکن است، و به همین دلیل، باید اقدامات احتیاطی بیشتری انجام شود.
تمایل به اعتماد به شرکتهای بزرگتر وجود دارد، زیرا احتمالاً سرمایهگذاری زیادی برای امنیت دارند. اما در حالی که ممکن است اعتماد کنیم، همچنین باید تأیید کنیم. در جایی که نمیتوانیم تأیید کنیم، باید تمام روشهای موجود را برای کاهش سطح حمله اعمال کنیم.
محدود کردن دسترسی کارمندان پلتفرم به دادههای ما روشی است که ما در هر جایی که این ویژگی در دسترس باشد از آن استفاده میکنیم و چیزی است که در طول دوره ارزیابی فروشندگان شخص ثالث به دنبال آن هستیم. بسیاری از شرکتها این ویژگی را ارائه میکنند، و زمانی که این کار را نمیکنند، اغلب از فروشنده درخواست میکنیم که این ویژگی را اضافه کند، زیرا اغلب تلاش نسبتاً کمی برای پیادهسازی و بهبود وضعیت امنیتی هر دو طرف انجام میشود.
محدود کردن دسترسی فروشنده شخص ثالث به داده های کاربر نهایی بهترین روش در یک محیط بدون اعتماد است.
در نهایت، تهدیدات داخلی یک ملاحظات مهم برای همه شرکت ها است و باید بر حذف نقاط شکست تکی تمرکز شود، به طوری که حتی اگر کسی به خطر بیفتد، قادر به ایجاد خسارت نباشد. مفروضات مفید برای ایجاد مدل تهدید شرکت شما این است که در هر شرکتی، در همه زمانها، حداقل یک فرد در هر تیمی تحت فشار یا به خطر افتاده است، همه ماشینها همیشه در معرض خطر هستند و دشمنان شما دارای بودجه کافی و صبور هستند.
در غیر این صورت، شرکت ها چگونه می توانند از داده های مشتری هنگام استفاده از ارائه دهندگان خدمات شخص ثالث محافظت کنند؟
همیشه اطمینان حاصل کنید که فقط داده هایی را به اشتراک می گذارید که کاملاً باید با فروشندگان شخص ثالث به اشتراک گذاشته شوند. به اشتراک گذاری اطلاعات شخصی با شخص ثالث باید به دقت مورد بررسی قرار گیرد و معمولاً فقط در صورت لزوم انجام می شود.
یک مثال می تواند به اشتراک گذاری داده ها به دلیل الزامات قانونی باشد. اگر تصمیم دارید دادهها را با یک فروشنده شخص ثالث به اشتراک بگذارید، آن را فقط به زیرمجموعهای از دادهها محدود کنید که برای عملکرد پلتفرم کاملاً ضروری است.
هنگامی که به فروشندگان شخص ثالث نیاز است، دقت لازم باید با استفاده از رویکرد “اصول اول” اجرا شود. این به معنای ارزیابی دقیق ریسک ها، در نظر گرفتن نوع داده هایی است که فروشنده با آنها تعامل خواهد داشت و تعیین می کند که چگونه از آن محافظت می کنند.
اگر امنیت فروشنده نتواند از داده های مورد نیاز محافظت کند، باید فروشنده دیگری را پیدا کنید یا از گزینه دیگری مانند ساخت داخل استفاده کنید، همانطور که ما اغلب در Ledn انجام می دهیم.
داشتن یک فرهنگ قوی که به طور مستمر به کارکنان یادآوری میکند که فناوری اطلاعات سایه، استفاده از فناوریهایی که توسط بخشهای فناوری اطلاعات و امنیت اطلاعات مورد بررسی قرار نگرفتهاند، یک عمل خطرناک است که میتواند به شدت بر وضعیت کلی امنیت تأثیر بگذارد، مهم است. سازمان. همه تیم ها باید به خوبی درک کنند که فناوری اطلاعات و امنیت اطلاعات باید در انتخاب ابزارهای جدید و خدمات سازمانی نقش داشته باشد.
علاوه بر این، پلتفرمها اغلب ویژگیهایی را ارائه میکنند که لایههای امنیتی بیشتری را اضافه میکنند، بنابراین سؤال در مورد آنچه در دسترس است مفید است. به منظور کاهش ریسک در طرف فروشنده شخص ثالث، و همچنین در داخل، در اینجا توصیه هایی در مورد آنچه که باید جستجو کنید و در مورد آن سوال کنید، و کنترل هایی که باید اجرا شوند ارائه شده است:
- غیرفعال کردن/محدود کردن مستقیم دسترسی کارمندان فروشنده به داده ها.
- از فروشنده شخص ثالث بپرسید که در مورد محدود کردن دسترسی به داده های مشتری چه نوع کنترل های داخلی دارند. مواردی که باید به دنبال آنها باشید عبارتند از:
- استفاده از نشانههای سختافزاری (مانند Yubikey، کلید امنیتی Titan یا سایر دستگاههای کارت هوشمند یا ماژول امنیتی سختافزار شخصی، یا دستگاه HSM).
- اجباری برای استفاده از Fast Identity Online یا پروتکل های احراز هویت FIDO.
- کنترل دوگانه یا احراز هویت n-of-m برای جلوگیری از دسترسی افراد حساس و ممتاز.
- فرآیند بازیابی دسترسی آنها چگونه به نظر می رسد. اگر به اندازه کافی دقیق نباشد، می توان از آن برای دور زدن مکانیسم های احراز هویت آنها استفاده کرد.
- این که آیا آنها یک عمل “مهندسی تولید” دارند، که در آن مهندسانی که به زیرساخت های حیاتی دسترسی دارند از ماشین های سخت شده با دسترسی محدود به شبکه برای انجام هر کاری که نیاز به تعامل با سیستم های تولیدی دارد استفاده می کنند.
- احراز هویت مبتنی بر گواهی: استفاده از گواهیهای رمزنگاری دسترسی به دارایی را فقط برای کسانی که گواهی را دارند محدود میکند. میتوانید آن را بهعنوان یک فایل ویژه در نظر بگیرید که دسترسی را فقط به دستگاههایی که دارای گواهینامههای قانونی هستند محدود میکند. توصیه میشود از احراز هویت مبتنی بر گواهی برای سرویسهای حیاتی، مانند ارائهدهنده یک ورود به سیستم (SSO) یا برای دسترسی به سرویسهای مهم با استفاده از امنیت لایه انتقال متقابل (mTLS) استفاده کنید. در اینجا می توانید درباره احراز هویت مبتنی بر گواهی اطلاعات بیشتری کسب کنید.
- فهرست ایمن IP: سرویس ها اغلب توانایی محدود کردن دسترسی به آدرس های IP خاص را ارائه می دهند. برای استفاده از این مزیت به یک IP ثابت نیاز دارید: یکی از راههای رسیدن به این هدف برای گروهی از کاربران استفاده از یک شبکه خصوصی مجازی، یک VPN است.
- استفاده از کلیدهای خود برای رمزگذاری اغلب میتوان از کلیدهای خود برای رمزگذاری دادههایی که نزد یک فروشنده شخص ثالث ذخیره میشوند، استفاده کرد. این یک تضمین اضافی است که به کاهش خطر در صورت به خطر افتادن آنها کمک می کند، زیرا کلیدهایی که برای رمزگشایی داده ها استفاده می شوند با شما – خارج از سیستم آنها – ذخیره می شوند و شما می توانید در صورت به خطر افتادن آنها، دسترسی به آنها را لغو کنید. یک اورژانس
- نوع احراز هویت چند عاملی (MFA) که برای کاربران سرویس خود پشتیبانی می کنند. احراز هویت نامتقارن مبتنی بر رمزنگاری بهترین کاری است که در حال حاضر در دسترس داریم. این شبیه به استفاده از کیف پول سخت افزاری برای ارزهای دیجیتال است. WebAuthn/Universal 2nd Factor ارجحیت دارد. Yubikey و Titan Security Key برخی از دستگاه های محبوبی هستند که از خانواده پروتکل های احراز هویت FIDO پشتیبانی می کنند. اگر هنوز از این فناوری استفاده نکردهاید و به امنیت اهمیت میدهید، بهشدت توصیه میکنیم آن را تهیه کنید. Ledn در آینده نزدیک از این نوع MFA پشتیبانی خواهد کرد.
- پشتیبانی از یک ورود به سیستم: فناوری SSO به افراد اجازه میدهد تا کنترلهایی را در بسیاری از سرویسها از یک نقطه متمرکز اعمال کنند. مهم است که مراقب باشید و SSO را به درستی پیکربندی کنید زیرا در غیر این صورت می تواند یک نقطه بزرگ شکست باشد. همانطور که قبلاً ذکر شد، استفاده از احراز هویت مبتنی بر گواهی به عنوان یک لایه اضافی از دسترسی دروازهای به SSO، ترجیحاً در راهاندازی mTLS توصیه میشود.
- مدیریت رمز عبور: استفاده از مدیر رمز عبور بهترین روش امنیتی اساسی است. ایده این است که از یک عبارت عبور اصلی قوی (حداقل 16 کاراکتر طول) استفاده کنید، و همه رمزهای عبور ذخیره شده در مدیریت رمز عبور باید بسیار طولانی و پیچیده باشند (42 کاراکتر یا بیشتر، و با استفاده از مدیر رمز عبور داخلی معمولاً موجود تولید شوند). . قانون سرانگشتی این است: “اگر همه رمزهای عبور خود را به خاطر بسپارید، این کار را اشتباه انجام می دهید.”
یک ارائهدهنده خدمات اطلاعات شخصی من را در جریان رویداد اخیر HubSpot فاش کرد. چه می توانم بکنم؟
چندین مرحله وجود دارد که می توان برای کاهش خطر حملات انجام داد:
- اطمینان حاصل کنید که در هر حسابی که توانایی پردازش تراکنش های مالی را دارد، احراز هویت دو مرحله ای دارید. استفاده از رمز امنیتی مانند Yubikey یا 2FA مبتنی بر احراز هویت (همچنین به عنوان TOTP شناخته می شود) روی پیامک به عنوان روش 2FA تمرین خوبی است. از آنجایی که تا اینجا پیشرفت کرده اید، در اینجا یک پیش اعلامیه کوچک برای شما وجود دارد: Ledn پشتیبانی WebAuthn را در این سه ماهه منتشر خواهد کرد.
- دوم، عبارات ضد فیشینگ را برای ایمیل های پلت فرم در هر سرویسی که اجازه می دهد فعال کنید. در اینجا می توانید درباره عبارات ضد فیشینگ اطلاعات بیشتری کسب کنید. از چیزی استفاده کنید که حدس زدن آن سخت باشد. دشمنان اغلب نمایهای روی هدف خود میسازند تا چیزهایی را که دوست دارند یا از طریق رسانههای اجتماعی در مورد آن صحبت میکنند کشف کنند تا به آنها اجازه دهند حملات مؤثرتر و پیچیدهتری علیه هدف خود ایجاد کنند.
- لیست های امن را در هر سرویس با قابلیت پردازش تراکنش مالی فعال کنید. این امر برداشت از حساب های شما را به آدرس های مشخص شده قبلی محدود می کند. اجرای صحیح این ویژگی شامل یک دوره «خنک کردن» پس از افزودن آدرسی است که آدرس را نمی توان به آن ارسال کرد، معمولاً برای 24 تا 48 ساعت، که به شما زمان بیشتری برای واکنش می دهد.
- با ارائهدهنده خدمات خود تماس بگیرید تا مطمئن شوید که فروشندگان شخص ثالث دسترسی به دادههای مشتری را محدود کردهاند، مگر اینکه برای مدت زمانی که کاملاً ضروری است.
- یک توصیه اضافه این است که برای هر پلتفرم ارز دیجیتالی که استفاده می کنید از یک ایمیل منحصر به فرد استفاده کنید، زیرا در صورت به خطر افتادن یکی از پلتفرم های مختلف، هدف قرار دادن شما در پلتفرم های مختلف بسیار دشوارتر می شود. با نام کاربری/ایمیل خود مانند رمز عبور سرویس های حساس رفتار کنید.
- قسمت 112 خاطرات Darknet را گوش کنید. این به شما بینشی عالی از نحوه تفکر دشمنان در صنعت ارزهای دیجیتال می دهد. اگر TL;DR را می خواهید از 45 دقیقه شروع کنید.
- علاوه بر این، میتوانید از این منبع عالی استفاده کنید، که فهرست گستردهای از توصیهها در مورد چگونگی بهبود جنبههای مختلف امنیت و وضعیت حریم خصوصی شما دارد: https://github.com/Lissy93/personal-security-checklist
این یک پست مهمان توسط آنتون لیواجا است. نظرات بیان شده کاملاً متعلق به خود آنها است و لزوماً نظرات BTC Inc. یا را منعکس نمی کند مجله بیت کوین.
 آموزش مجازی مدیریت عالی حرفه ای کسب و کار Post DBA+ مدرک معتبر قابل ترجمه رسمی با مهر دادگستری و وزارت امور خارجه |  آموزش مجازی مدیریت عالی و حرفه ای کسب و کار DBA+ مدرک معتبر قابل ترجمه رسمی با مهر دادگستری و وزارت امور خارجه |  آموزش مجازی مدیریت کسب و کار MBA+ مدرک معتبر قابل ترجمه رسمی با مهر دادگستری و وزارت امور خارجه |
 مدیریت حرفه ای کافی شاپ |  حقوقدان خبره |  سرآشپز حرفه ای |
 آموزش مجازی تعمیرات موبایل |  آموزش مجازی ICDL مهارت های رایانه کار درجه یک و دو |  آموزش مجازی کارشناس معاملات املاک_ مشاور املاک |
برچسب ها :2fa ، Hubspot ، ledn ، از ، اطلاعات شخصی ، برابر ، جمع آوری داده ها ، چگونه ، داده ، در ، ذخیره سازی داده ها ، فنی ، کنیم ، محافظت ، مشتری ، نظر ، نقض ، های ، وی پی ان
- نظرات ارسال شده توسط شما، پس از تایید توسط مدیران سایت منتشر خواهد شد.
- نظراتی که حاوی تهمت یا افترا باشد منتشر نخواهد شد.
- نظراتی که به غیر از زبان فارسی یا غیر مرتبط با خبر باشد منتشر نخواهد شد.
ارسال نظر شما
مجموع نظرات : 0 در انتظار بررسی : 0 انتشار یافته : ۰