1. Acquisizione dei dati:
* Aggregatori di dati di violazione: Servizi come Io sono stato PWNED (HIBP) e database basati su abbonamenti simili raccolgono dati da violazioni dei dati divulgate pubblicamente. Indicizzano gli indirizzi di nome utente/e -mail e talvolta password associate.
* Registri interni: Se sei un'azienda, potresti avere registri interni di tentativi di accesso non riusciti, richieste di ripristino della password o anomalie che suggeriscono account compromessi.
* Monitoraggio del web scuro: Servizi specializzati strisciano il Web oscuro per menzioni del tuo dominio, nomi delle società o credenziali dell'utente scambiati o discussi.
* Scansioni di vulnerabilità: Gli strumenti di sicurezza che controllano le vulnerabilità e le errate configurazioni comuni possono talvolta rivelare credenziali esposte in file di configurazione, repository di codice o database.
2. Elaborazione e de-duplicazione dei dati:
* Pulisci i dati: I dump di violazione contengono spesso duplicati, formattazione errata e dati irrilevanti. Rimuovere i caratteri estranei, normalizzare i formati di dati (ad es. Indirizzi e -mail) e garantire la coerenza dei dati.
* de-duplication: Elimina le voci duplicate su più fonti di violazione per evitare l'eccesso di contatto. Questo può essere impegnativo poiché i dati potrebbero essere sottilmente diversi (ad esempio, variazioni nella capitalizzazione e -mail). Usa tecniche come la corrispondenza fuzzy o il collegamento record.
* hashing e salting: Se le password nelle violazioni sono in testo normale, ha immediatamente l'hash e sale usando un forte algoritmo (ad esempio, BCrypt, Argon2, Scrypt). Non memorizzare mai le password in testo normale! Se le password sono già hash, conservare gli hash esistenti per il confronto in seguito.
3. Credenziali corrispondenti:
* Confronta con il database utente esistente: Abbina i nomi utente/indirizzi email compromessi dai dati di violazione con il database utente esistente. Questo è il passo fondamentale per identificare gli account interessati.
* Confronto password (diretto o hash):
* password di testo semplice (dalla violazione):
* Non archiviare mai le password utente attuali in testo normale. Se lo fai, è un enorme rischio per la sicurezza.
* Hash e sale Le password di testo in chiaro dalla violazione utilizzando l'algoritmo * stesso * e il sale utilizzato per il database dell'utente.
* Confronta l'hash risultante con gli hash delle password utente attuali. Una partita indica un account compromesso (l'utente ha utilizzato la stessa password).
* password hash (dalla violazione):
* Se il database dell'utente utilizza l'algoritmo * stesso * di hashing come violazione (improbabile ma possibile), è possibile confrontare direttamente gli hash. Una partita significa un account compromesso.
*Se gli algoritmi di hashing differiscono, *non è possibile confrontare direttamente gli hash *. L'hashing è una funzione a senso unico. Dovrai fare affidamento su altri indicatori (nome utente/e -mail) e incoraggiare gli utenti a modificare le loro password.
* Solo nome utente/e -mail (nessuna password): Anche se una violazione contiene solo nomi utente o indirizzi e -mail, considera tali account potenzialmente compromessi. Incoraggia gli utenti a cambiare le loro password, soprattutto se potrebbero utilizzare la stessa password altrove.
4. Tallying &Reporting:
* Contare account compromessi: Sulla base del processo di corrispondenza, conta il numero di account identificati come password compromesse.
* classificare per gravità: Potresti voler classificare gli account compromessi in base alla sensibilità dei dati a cui accedono. Per esempio:
* Alto:conti con privilegi amministrativi o accesso a dati finanziari sensibili.
* Medium:account con accesso a informazioni personali o dati aziendali riservati.
* Basso:account con accesso limitato o informazioni pubbliche.
* Risultati del rapporto: Genera un rapporto che riassume il numero di conti compromessi, i livelli di gravità e qualsiasi tendenza osservata. Questo rapporto dovrebbe essere condiviso con le parti interessate (ad esempio, team di sicurezza, dipartimento IT, gestione).
* Tracciamento storico: Tieni record di password passata Trova i conteggi per tenere traccia delle tendenze nella postura della sicurezza e l'efficacia degli sforzi di mitigazione.
5. Rediazione e mitigazione:
* Politiche di reimpostazione della password: Applicare la password si ripristina per account compromessi. Idealmente, forzare un ripristino della password sul prossimo tentativo di accesso.
* Autenticazione a più fattori (MFA): Implementa MFA per tutti gli account, in particolare quelli con privilegi elevati. L'MFA riduce significativamente il rischio di acquisizione dell'account, anche se una password è compromessa.
* Requisiti di complessità della password: Applicare i requisiti di complessità della password forti (lunghezza, tipi di caratteri). Prendi in considerazione l'utilizzo del punteggio di entropia password per misurare la forza della password.
* Password Blacklisting: Implementa una blacklist di password per impedire agli utenti di scegliere password comuni o facilmente indovinate. Inoltre, prendi in considerazione le password della lista nera trovate in violazioni note.
* Monitoraggio delle password e avvisi: Monitorare continuamente le credenziali violate e avvisare gli utenti se i loro account si trovano in violazione. Diversi servizi commerciali offrono questo tipo di monitoraggio.
* Educazione utente: Educare gli utenti sulle migliori pratiche di sicurezza delle password, inclusa l'importanza di utilizzare password univoci forti, evitare il riutilizzo della password e abilitare l'MFA.
* Audit di sicurezza regolari: Condurre audit di sicurezza regolari e valutazioni di vulnerabilità per identificare e affrontare potenziali debolezze di sicurezza.
Considerazioni importanti:
* Privacy: Fai attenzione quando si gestiscono dati sensibili come le password. Rispettare tutti i regolamenti sulla privacy pertinenti (ad es. GDPR, CCPA). Implementare controlli di accesso adeguati e misure di sicurezza per proteggere i dati.
* Legal: Consultare il consulente legale per garantire la conformità a tutte le leggi e i regolamenti applicabili in merito alla notifica e alla bonifica della violazione dei dati.
* Falsi positivi/negativi: Il processo di abbinamento non è perfetto. Possono esserci falsi positivi (conti identificati erroneamente come compromessi) e falsi negativi (conti compromessi mancati). Indagare su corrispondenze sospette e perfezionare i processi.
* Salt: Utilizzare sempre sali unici quando password di hashing. Se si utilizza lo stesso sale per tutte le password, un utente malintenzionato può precomputare una tabella arcobaleno e rompere più password.
* Algoritmo di hashing: Scegli un algoritmo di hashing forte e aggiornato come bcrypt, argon2 o scrypt. Evita algoritmi più vecchi come MD5 o SHA-1, che sono considerati insicuri.
* Automazione: Automatizzare il più possibile il processo utilizzando i linguaggi di scripting (ad es. Python) e gli strumenti di sicurezza. L'automazione migliora l'efficienza e riduce il rischio di errore umano.
Scenario di esempio (semplificato):
1. Acquisire dati di violazione: Scarica un dump di violazione dei dati da una fonte affidabile.
2. pulito e de-duplicato: Rimuovere le voci duplicate e formare gli indirizzi e -mail in modo coerente.
3. Match Nome utente: Confronta gli indirizzi e -mail nei dati di violazione con gli indirizzi e -mail degli utenti nel database degli utenti. Diciamo che 100 indirizzi e -mail corrispondono.
4. Hash e confronta le password: I dati di violazione contengono password di testo semplice. Hash e sale queste password utilizzando lo stesso algoritmo e sale utilizzati per il tuo database utente. Confronta gli hash risultanti con le password hash nel database utente. Diciamo che 30 dei 100 account abbinati hanno lo stesso hash della password.
5. Tally: Hai 30 account compromessi confermati (password abbinate). Hai anche 70 account potenzialmente compromessi (nomi utente/e -mail abbinati, ma le password non possono essere confermate).
6. Resodio: Forzare la password reimposta per tutti i 100 account e incoraggia gli utenti a abilitare MFA.
Seguendo questi passaggi, è possibile contestare efficacemente la password, valutare l'impatto sulla tua organizzazione e adottare misure appropriate per mitigare i rischi. Ricorda che questo è un processo in corso che richiede vigilanza e un approccio proattivo alla sicurezza.
Domanda © www.354353.com