Accueil Finances personnelles Comment minimiser les risques de piratage liés au stockage - les nuls

Comment minimiser les risques de piratage liés au stockage - les nuls

Table des matières:

Vidéo: La gestion des risques informatiques dans votre entreprise par Pascal Ledigol WATCHGUARD ITDAYS 2025

Vidéo: La gestion des risques informatiques dans votre entreprise par Pascal Ledigol WATCHGUARD ITDAYS 2025
Anonim

Les hackers réalisent un nombre croissant de piratages liés au stockage. Les pirates utilisent différents vecteurs d'attaque et outils pour pénétrer dans l'environnement de stockage. Par conséquent, vous devez vous familiariser avec les techniques et les outils et les utiliser pour tester votre propre environnement de stockage.

Il y a beaucoup d'idées fausses et de mythes liés à la sécurité des systèmes de stockage tels que les réseaux SAN (Storage Area Network) Fibre Channel et iSCSI, les systèmes CIFS et NAS (Network Attached Storage) NFS, etc. De nombreux administrateurs de réseaux et de stockage pensent que «le cryptage ou le RAID équivaut à la sécurité du stockage», «un attaquant externe ne peut pas accéder à notre environnement de stockage» ou «la sécurité est gérée ailleurs». "Ce sont toutes des croyances très dangereuses.

Pratiquement chaque entreprise dispose d'une sorte de stockage réseau contenant des informations sensibles qu'elle ne peut pas se permettre de perdre. C'est pourquoi il est très important d'inclure à la fois le stockage réseau (systèmes SAN et NAS) et les partages de fichiers traditionnels dans le cadre de votre piratage éthique.

Outils pour tester la sécurité du stockage

Voici quelques outils pour tester la sécurité du stockage:

  • FileLocator Pro et Identity Finder pour rechercher des informations sensibles dans des fichiers non structurés

  • LanGuard pour trouver des partages ouverts et non protégés

  • QualysGuard pour effectuer des analyses de vulnérabilité approfondies

  • nmap pour la recherche de ports pour trouver des hôtes de stockage en direct > Systèmes de stockage sur le réseau

Pour rechercher les vulnérabilités liées au stockage, vous devez déterminer quelles informations sont là. La meilleure façon de procéder est d'utiliser un scanner de port et, idéalement, un scanner de vulnérabilité tout-en-un, tel que QualysGuard ou LanGuard.

Une vulnérabilité de stockage fréquemment négligée est que de nombreux systèmes de stockage peuvent être accédés à la fois par le segment de la zone démilitarisée (DMZ) et par le segment de réseau interne. Cette vulnérabilité présente des risques pour les deux côtés du réseau. Veillez à évaluer manuellement si vous pouvez atteindre la zone démilitarisée à partir du réseau interne et vice versa.

Vous pouvez également effectuer une autorisation de fichier de base et partager des analyses conjointement avec un outil de recherche de texte pour découvrir des informations sensibles auxquelles tout le monde sur le réseau ne devrait pas avoir accès.

Suppression du texte sensible dans les fichiers réseau

Un test authentifié important à exécuter sur vos systèmes de stockage consiste à rechercher des informations sensibles stockées dans des fichiers texte facilement accessibles. C'est aussi simple que d'utiliser un utilitaire de recherche de texte, tel que FileLocator Pro ou Effective File Search. Vous pouvez également utiliser l'Explorateur Windows pour rechercher des informations sensibles, mais c'est lent.

Vous serez

étonné

sur ce que vous rencontrez de manière non sécurisée sur les postes de travail Windows des utilisateurs, les partages de serveur, etc. Dossiers de santé des employés Numéros de carte de crédit client > Rapports financiers des entreprises

  • Ces informations sensibles ne doivent pas seulement être protégées par de bonnes pratiques commerciales, mais doivent également être régies par les réglementations nationales, fédérales et internationales.

  • Effectuez vos recherches de texte confidentiel lorsque vous êtes connecté au système ou au domaine local en tant qu'utilisateur régulier - et non en tant qu'administrateur. Cela vous permettra de mieux voir les utilisateurs réguliers qui ont un accès non autorisé aux fichiers et aux partages sensibles que vous pensiez être en sécurité. Lorsque vous utilisez un outil de recherche textuelle de base, tel que FileLocator Pro, recherchez les chaînes de texte suivantes:

  • DOB (pour les dates de naissance)

SSN (pour les numéros de sécurité sociale)

Licence (pour les informations de permis de conduire)

  • Crédit ou CCV (pour les numéros de carte de crédit)

  • Les possibilités d'exposition aux informations sont infinies; commencez par les bases et jetez un coup d'œil aux fichiers non-binaires dont vous savez qu'ils contiennent du texte. Limiter votre recherche à ces fichiers texte vous fera économiser beaucoup de temps!

  • . txt

  • . doc et. docx

. dbf

  • . db

  • . rtf

  • . xls et. xlsx

  • Notez les fichiers trouvés dans différents emplacements sur le serveur.

  • Pour accélérer le processus, vous pouvez utiliser Identity Finder, un outil très pratique conçu pour scanner des périphériques de stockage pour des informations personnelles sensibles. Il peut également rechercher dans les fichiers binaires tels que les fichiers PDF.

  • Identity Finder possède une édition Enterprise que vous pouvez utiliser pour rechercher des informations sensibles dans les systèmes réseau et même les bases de données.

Pour une deuxième série de tests, vous pouvez effectuer vos recherches en tant qu'administrateur. Vous êtes susceptible de trouver beaucoup d'informations sensibles éparpillées. Cela semble sans valeur au début; cependant, cela peut mettre en évidence des informations sensibles stockées dans des endroits où elles ne devraient pas être ou auxquelles l'administrateur réseau ne devrait pas avoir accès.

Le test dépend fortement du timing, de la recherche des bons mots clés et de la recherche des bons systèmes sur le réseau. Vous ne supprimerez probablement pas toutes les informations sensibles, mais cet effort vous montrera où sont certains problèmes, ce qui vous aidera à justifier le besoin de contrôles d'accès plus stricts et de meilleurs processus de gestion informatique et de sécurité.

Meilleures pratiques pour réduire les risques liés à la sécurité du stockage

À l'instar de la sécurité des bases de données, la sécurité du stockage n'est pas une opération du cerveau. La sécurisation de vos systèmes de stockage est également simple si vous procédez comme suit:

Vérifiez les vulnérabilités de sécurité des systèmes d'exploitation sous-jacents.

Assurez-vous que votre stockage réseau (systèmes SAN et NAS) est couvert par les correctifs et le durcissement du système.

Nécessite des mots de passe forts sur chaque interface de gestion de stockage.

  • Utilisez les autorisations de partage de fichiers et de partage appropriées pour éviter les regards indiscrets.

  • Informez vos utilisateurs sur où stocker les informations sensibles et les risques de mauvaise manipulation.

  • Désidentifiez toutes les données de production sensibles avant qu'elles ne soient utilisées dans le développement ou l'assurance qualité. Il existe des outils conçus pour ce but spécifique.

  • Utilisez un pare-feu réseau, tel que ceux disponibles chez Fortinet ou SonicWALL, pour vous assurer que seuls les personnes et les systèmes qui ont besoin d'accéder à votre environnement de stockage peuvent le faire, et rien de plus.

Comment minimiser les risques de piratage liés au stockage - les nuls

Le choix des éditeurs

Conventions de dénomination pour Ruby on Rails - mannequins

Conventions de dénomination pour Ruby on Rails - mannequins

Vous utilisez Ruby on Rails pour créer un site Web application ou application de base de données Web, ce qui est très intelligent de votre part. En fonction de ce que vous utilisez (une application, une relation un-à-plusieurs ou une relation plusieurs-à-plusieurs), vous utilisez différentes variantes des protocoles d'attribution de noms Rails, qui sont expliquées dans les sections suivantes. Ruby Naming for ...

En orbite, panoramique et zoom dans la vue 3D de Blender - mannequins

En orbite, panoramique et zoom dans la vue 3D de Blender - mannequins

En essayant de naviguer dans un espace en trois dimensions à travers un écran bidimensionnel comme un écran d'ordinateur, vous ne pouvez pas interagir avec cet espace 3D virtuel exactement comme vous le feriez dans le monde réel, ou espace de vie. La meilleure façon de visualiser le travail en 3D à travers un programme comme Blender est d'imaginer la vue 3D comme vos yeux ...

Déplacement de clips sur la timeline dans Final Cut Pro HD - Ficelles

Déplacement de clips sur la timeline dans Final Cut Pro HD - Ficelles

Final Cut Pro HD Timeline vous permet d'organiser tous vos clips vidéo et audio afin qu'ils racontent l'histoire que vous voulez raconter. Pour comprendre le fonctionnement de la Timeline, imaginez-la comme une page de partitions, mais plutôt que de placer des notes de musique de différentes durées (noires, demi-notes, ...

Le choix des éditeurs

Contrôle et modification de l'associativité des dimensions dans AutoCAD - Dummies

Contrôle et modification de l'associativité des dimensions dans AutoCAD - Dummies

Lorsque vous ajoutez des dimensions en sélectionnant des objets ou en utilisant l'accrochage aux objets Pour sélectionner des points sur les objets, AutoCAD crée normalement des dimensions associatives, qui sont connectées aux objets et se déplacent avec eux. C'est le cas dans les nouveaux dessins créés à l'origine dans toute version d'AutoCAD à partir de 2002. Si vous ...

Copie de styles de cote existants dans AutoCAD 2008 - mannequins

Copie de styles de cote existants dans AutoCAD 2008 - mannequins

Si vous avez la chance de travailler dans un bureau Quelqu'un a mis en place des styles de cotes qui conviennent à votre secteur d'activité et à votre projet. Vous pouvez le copier et ainsi éviter de devoir créer vos propres styles de cote. (Un style de cote - ou dimstyle pour faire court - est une collection de paramètres de dessin appelée dimension ...

En choisissant un style d'édition AutoCAD -

En choisissant un style d'édition AutoCAD -

Dans AutoCAD vous passez généralement plus de temps à éditer que dessiner des objets. C'est en partie parce que le processus de conception et de rédaction est, par nature, sujet à des changements, et aussi parce que AutoCAD vous permet de modifier facilement les objets proprement. AutoCAD propose trois styles d'édition: Commande-première Sélection-première Objet-direct (poignée) AutoCAD fait référence à l'édition de commandes comme verbe-nom ...

Le choix des éditeurs

Praxis Examen d'éducation élémentaire - Présentations orales - mannequins

Praxis Examen d'éducation élémentaire - Présentations orales - mannequins

Parce que les élèves doivent généralement donner des présentations orales en classe , vous rencontrerez probablement une question sur ce sujet dans l'examen Praxis Elementary Education. Plus formelles que les discussions de groupe, les présentations orales ont leurs propres règles pour le conférencier. Lorsque vous donnez une présentation en classe, il y a plusieurs ...

Praxis Examen d'éducation élémentaire - Littérature et texte d'information - mannequins

Praxis Examen d'éducation élémentaire - Littérature et texte d'information - mannequins

L'examen Praxis Elementary Education sur la littérature et le texte d'information, c'est-à-dire la fiction et la non-fiction. Vous devrez donc vous familiariser avec les différents genres d'écriture. La compréhension du texte est un processus qui se produit au fil du temps.

Praxis Examen d'éducation élémentaire - Connaissance phonologique - mannequins

Praxis Examen d'éducation élémentaire - Connaissance phonologique - mannequins

Vous rencontrerez probablement une ou deux questions qui impliquent des questions phonologiques sensibilisation à l'examen Praxis Elementary Education. La conscience phonologique est une compétence large impliquant la reconnaissance de son. Les lecteurs débutants commencent par apprendre les sons individuels, ou phonèmes, dans des mots parlés. Par exemple, le mot chat a trois phonèmes: / c / / a / / t /. Un lecteur débutant apprend ...