Блог CleanTalk

Почему утечка данных является проблемой?

Представьте, что вы забыли свой пароль. Вы перепробовали несколько разных вариантов паролей, которые часто используете (о гигиене паролей мы поговорим позже), но ни один из них не работает — система или веб-сайт, который вы используете, каждый раз выдает сообщение «Неверный пароль для этой учетной записи». Легко представить, правда?

Итак, вы нажимаете на надежную ссылку «Забыли пароль», и попадаете на новую страницу для ввода адреса электронной почты. При входе в систему видите сообщение: «Электронное письмо для сброса пароля уже отправлено». Все вроде бы просто, теперь вы можете изменить пароль.

Но подождите, в битве между «пользовательским опытом» и «безопасностью», эта система или веб-сайт теперь сообщают всем, кто вводит ваш адрес электронной почты, что у вас есть учетная запись. В этот момент они могут попытаться подобрать пароль методом перебора или, возможно, они уже нашли ваши данные для входа с другого веб-сайта в даркнете и просто попробуют эту комбинацию.

Конечно, это часто довольно безобидно (особенно если у вас хорошая гигиена паролей), но что, если ассоциация с этим сайтом или платформой не была такой уж безобидной. Независимо от того, является ли этот "то-то" злоумышленником или нет, простое знание о существовании учетной записи — это больше информации, чем они должны иметь, потому что контекст является такой же проблемой, как и фактическая утечка информации.

Устранение утечки

Первым шагом в устранении этого типа случайной утечки данных (т.е. технической) для защиты ваших клиентов (и, следовательно, ваших собственных операций, репутации и прибыли) является выявление уязвимостей.

В этом вам поможет тестирование безопасности, в частности тестирование на проникновение. В то время как оценка уязвимостей может выявить проблему, автоматическое сканирование не может предоставить контекст. Человек может определить сбой в системе безопасности и обладает способностью применять контекст, чтобы понять, подразумевает ли это проблему. Это тот вид осознания, который компьютер обеспечить не в состоянии, и именно поэтому люди являются главной частью эффективного теста на проникновение.

Примером этого является тестирование пентестером на наличие недостатков бизнес-логики в рамках тестирования веб-приложения. Таким образом, бизнес-логика требует как понимания технологии, так и ее более широкого контекста. То если есть тот, кто знает, что у вас есть счет в Альфа Банке - это имеет довольно низкий риск; но в то время если тот, кто знает, что у вас есть счет на более «дискретном» веб-сайте, это уже может быть проблематичным. Это немного похоже на знание того, что технически помидор является фруктом, но на самом деле он не годится для добавления во фруктовый салат.

В сочетании с тестированием на наличие недостатков бизнес-логики, консультанты по безопасности, скорее всего, будут следовать OWASP (Open Web Application Security Project) Top 10 — стандартному отраслевому списку, который представляет то, что в целом считается наиболее критичной безопасностью для веб-приложений.

Мы — кибер-сантехники, о необходимости которых вы даже не подозревали

Как и в случае с трубой с медленным протеканием, которая, конечно, влияет на ваш счет за воду, иногда утечка данных может оставаться незамеченной в течение длительного времени или до тех пор, пока не станет слишком поздно. Наши специалисты по безопасности могут провести тест на проникновение на ваших внутренних и внешних веб-сайтах и других системах, чтобы убедиться, что никакие данные не попадут в руки людей, которые не должны ими обладать.

Свяжитесь с нами, чтобы узнать, как мы можем помочь вам устранить эти утечки.

Designed by Freepik