Zuhause Persönliche Finanzen Wie man Speicher-bezogene Hacking-Risiken minimiert - Dummies

Wie man Speicher-bezogene Hacking-Risiken minimiert - Dummies

Inhaltsverzeichnis:

Video: Ethical Hacking Full Course - Learn Ethical Hacking in 10 Hours | Ethical Hacking Tutorial | Edureka 2024

Video: Ethical Hacking Full Course - Learn Ethical Hacking in 10 Hours | Ethical Hacking Tutorial | Edureka 2024
Anonim

Hacker führen eine wachsende Anzahl von Speicher-bezogenen Hacks durch. Hacker verwenden verschiedene Angriffsvektoren und -werkzeuge, um in die Speicherumgebung einzubrechen. Daher müssen Sie die Techniken und Werkzeuge selbst kennenlernen und ihre eigene Speicherumgebung testen.

Es gibt viele falsche Vorstellungen und Mythen im Zusammenhang mit der Sicherheit von Speichersystemen wie Fibre-Channel- und iSCSI-SANs (Storage Area Networks), CIFS- und NFS-basierten NAS-Systemen (Network Attached Storage) und so weiter. Viele Netzwerk- und Speicheradministratoren glauben, dass "Verschlüsselung oder RAID gleich der Speichersicherheit", "Ein externer Angreifer kann unsere Speicherumgebung nicht erreichen" oder "Sicherheit anderswo gehandhabt wird. "Das sind alles sehr gefährliche Ansichten.

Praktisch jedes Unternehmen verfügt über eine Art Netzwerkspeicher, in dem sensible Informationen gespeichert sind, die es sich nicht leisten kann, zu verlieren. Aus diesem Grund ist es sehr wichtig, sowohl Netzwerkspeicher (SAN und NAS-Systeme) als auch herkömmliche Dateifreigaben in den Bereich Ihres ethischen Hackings einzubeziehen.

Tools zum Testen der Storage-Sicherheit

Dies sind einige Tools zum Testen der Storage-Sicherheit:

  • FileLocator Pro und Identity Finder zum Suchen von vertraulichen Informationen in unstrukturierten Dateien

  • LanGuard zum Auffinden offener und ungeschützter Freigaben

  • QualysGuard zum Durchführen eingehender Schwachstellenscans

  • nmap zum Port-Scanning zum Auffinden von Live-Speicherhosts > Speichersysteme im Netzwerk

Um nach speicherbezogenen Schwachstellen zu suchen, müssen Sie herausfinden, welche Informationen sich wo befinden. Der beste Weg, um ins Rollen zu kommen, ist ein Port-Scanner und idealerweise ein All-in-One-Schwachstellen-Scanner wie QualysGuard oder LanGuard.

Da viele Speicherserver über integrierte Webserver verfügen, können Sie Tools wie Acunetix web Vulnerability Scanner und webInspect verwenden, um webbasierte Fehler aufzudecken. Sie können diese Anfälligkeitsscanner verwenden, um einen guten Einblick in Bereiche zu erlangen, die einer weiteren Prüfung bedürfen, wie z. B. schwache Authentifizierung, Verunreinigung des DNS-Servernamens, nicht gepatchte Betriebssysteme, ungeschützte Webserver und so weiter.

Eine häufig vernachlässigte Speicherschwachstelle besteht darin, dass auf viele Speichersysteme sowohl vom DMZ-Segment (De-Militarized Zone) als auch vom internen Netzwerksegment (en) zugegriffen werden kann. Diese Sicherheitsanfälligkeit birgt Risiken für beide Seiten des Netzwerks. Überprüfen Sie manuell, ob Sie die DMZ über das interne Netzwerk erreichen können und umgekehrt.

Sie können auch grundlegende Dateiberechtigungen und gemeinsam genutzte Scans in Verbindung mit einem Textsuchwerkzeug ausführen, um vertrauliche Informationen freizulegen, auf die jeder im Netzwerk keinen Zugriff haben sollte.

Erkennen von sensiblem Text in Netzwerkdateien

Ein wichtiger authentifizierter Test, der auf Ihren Speichersystemen ausgeführt wird, besteht darin, nach vertraulichen Informationen zu suchen, die in leicht zugänglichen Textdateien gespeichert sind. Es ist so einfach wie die Verwendung eines Textsuchdienstprogramms wie FileLocator Pro oder Effektive Dateisuche. Alternativ können Sie den Windows Explorer verwenden, um nach vertraulichen Informationen zu suchen, aber es ist langsam.

Sie werden

verblüfft bei dem, was Ihnen auf den Windows-Desktops, Serverfreigaben usw. des Benutzers unsicher vorkommt, z. B. Gesundheitsbelege der Mitarbeiter

  • Kundenkreditkartennummern > Unternehmensfinanzberichte

  • Solche sensiblen Informationen sollten nicht nur durch gute Geschäftspraktiken geschützt werden, sondern unterliegen auch staatlichen, bundesstaatlichen und internationalen Vorschriften.

  • Führen Sie Ihre Suche nach vertraulichem Text durch, während Sie als normaler Benutzer und nicht als Administrator beim lokalen System oder der Domäne angemeldet sind. Dadurch erhalten Sie eine bessere Übersicht über reguläre Benutzer, die unbefugten Zugriff auf vertrauliche Dateien haben, und auf Freigaben, von denen Sie dachten, dass sie ansonsten sicher wären. Wenn Sie ein einfaches Textsuchwerkzeug wie FileLocator Pro verwenden, suchen Sie nach den folgenden Textzeichenfolgen:

Geburtsdatum (für Geburtsdaten)

SSN (für Sozialversicherungsnummern)

  • Lizenz (für Informationen zu Führerscheinen)

  • Kredit oder CCV (für Kreditkartennummern)

  • Die Möglichkeiten zur Informationsexposition sind endlos; Beginnen Sie einfach mit den Grundlagen und schauen Sie nur in nichtbinäre Dateien, von denen Sie wissen, dass sie Text enthalten. Wenn Sie Ihre Suche auf diese textbasierten Dateien beschränken, sparen Sie viel Zeit!

  • . txt

. doc und. docx

  • . dbf

  • . db

  • . RTF

  • . xls und. xlsx

  • Beachten Sie die Dateien, die sich an verschiedenen Stellen auf dem Server befinden.

  • Um den Vorgang zu beschleunigen, können Sie den Identitätsfinder verwenden, ein wirklich nützliches Tool, das speziell für das Scannen von Speichergeräten für sensible, persönlich identifizierbare Informationen entwickelt wurde. Es kann auch in Binärdateien wie PDFs suchen.

Identity Finder verfügt über eine Enterprise Edition, mit der Sie Netzwerksysteme und sogar Datenbanken nach vertraulichen Informationen durchsuchen können.

Für eine zweite Testrunde können Sie Ihre Suche als Administrator durchführen. Sie werden wahrscheinlich viele sensible Informationen finden, die verstreut sind. Es scheint zunächst wertlos zu sein; Dies kann jedoch sensible Informationen hervorheben, die an Orten gespeichert sind, an denen es nicht sein sollte oder auf die der Netzwerkadministrator keinen Zugriff haben sollte.

Das Testen ist stark abhängig vom Timing, der Suche nach den richtigen Schlüsselwörtern und der Suche nach den richtigen Systemen im Netzwerk. Sie werden wahrscheinlich nicht jedes einzelne Bit sensibler Informationen ausfindig machen, aber diese Bemühungen zeigen Ihnen, wo bestimmte Probleme liegen. Dies wird Ihnen helfen, die Notwendigkeit einer stärkeren Zugriffskontrolle und besserer IT- und Sicherheitsmanagementprozesse zu rechtfertigen.

Best Practices zur Minimierung von Storage-Sicherheitsrisiken

Wie bei der Datenbanksicherheit ist auch die Datensicherheit keine Hirnchirurgie. Die Sicherheit Ihrer Speichersysteme ist auch dann einfach, wenn Sie Folgendes tun:

Überprüfen Sie die zugrunde liegenden Betriebssysteme auf Sicherheitslücken.

Stellen Sie sicher, dass Ihr Netzwerkspeicher (SAN und NAS-Systeme) in den Bereich von Patching und Systemhärtung fällt.

  • Auf jeder Speicherverwaltungsschnittstelle sind starke Kennwörter erforderlich.

  • Verwenden Sie geeignete Datei- und Freigabeberechtigungen, um neugierige Blicke zu behalten.

  • Weisen Sie Ihre Benutzer darauf hin, wo sensible Informationen gespeichert werden müssen und welche Risiken sie haben.

  • Identifizieren Sie alle sensiblen Produktionsdaten, bevor sie in der Entwicklung oder Qualitätssicherung verwendet werden. Es gibt Werkzeuge für diesen speziellen Zweck.

  • Verwenden Sie eine Netzwerkfirewall, z. B. von Fortinet oder SonicWALL, um sicherzustellen, dass nur Personen und Systeme, die auf Ihre Speicherumgebung zugreifen müssen, dies tun können.

Wie man Speicher-bezogene Hacking-Risiken minimiert - Dummies

Die Wahl des Herausgebers

Die Wahl des Herausgebers

Käufer Agenturverträge über die Immobilienlizenz Prüfung - Dummies

Käufer Agenturverträge über die Immobilienlizenz Prüfung - Dummies

Social Media

Die Immobilienlizenzprüfung wird wahrscheinlich Fragen zu Verträgen mit Käuferagenturen haben. Die traditionelle Immobilienvermittlung repräsentiert weiterhin hauptsächlich Verkäufer; Als die Käufer jedoch merkten, dass sie keine Vertretung in Immobilientransaktionen hatten, wurden Vertretungsverträge mit den Käufern entwickelt, um dem Käufer zu ermöglichen, der Auftraggeber zu werden und somit alle Vorteile zu haben ...

Nach der Housing Bubble: Immobilienmakler werden - Dummies

Nach der Housing Bubble: Immobilienmakler werden - Dummies

Social Media

Vielleicht hast du gedacht über das Werden eines Immobilienmaklers, aber Sie haben den letzten Immobilienboom verpasst. Wenn Sie die Zeitungen gelesen haben, wissen Sie, dass sich die Immobilienmärkte im ganzen Land verbessern. Ohne den Rummel des beheizten Marktes, der 2007 endete und mit dem Versprechen, die Immobilienverkäufe zu verbessern, könnte ...

PSAT / NMSQT Für Dummies Spickzettel - Dummies

PSAT / NMSQT Für Dummies Spickzettel - Dummies

Social Media

Ja, das ist ein Spickzettel ... aber du würdest Denken Sie nicht einmal an Betrug, wenn Sie den PSAT / NMSQT oder einen anderen Test durchführen. Hier finden Sie Tipps zur Vorbereitung auf die Prüfung; Hinweise, die Ihnen beim Navigieren durch die Abschnitte Schreiben, kritisches Lesen und Mathematik helfen; und einige Test-Techniken, die ...

Die Wahl des Herausgebers

Wie man Filme auf der Rebel T7i / 800D trimmt - Dummies

Wie man Filme auf der Rebel T7i / 800D trimmt - Dummies

Persönliche Finanzen

Deine Canon EOS Rebel T7i / Die Movie-Edit-Funktion der Kamera von 800D macht es möglich, unerwünschtes Material am Anfang oder Ende eines Films zu entfernen. Um auf die Bearbeitungswerkzeuge zuzugreifen, stellen Sie die Kamera in den Wiedergabemodus, zeigen Sie die Filmdatei an und tippen Sie dann auf das Symbol Set oder drücken Sie die Set-Taste, um die auf ...

Zubehör von Drittanbietern für die Canon EOS Rebel SL1 / 100D - Dummies

Zubehör von Drittanbietern für die Canon EOS Rebel SL1 / 100D - Dummies

Persönliche Finanzen

Tipps zum Aufnehmen von Landschaftsaufnahmen mit einer Canon EOS 70D - Dummies

Tipps zum Aufnehmen von Landschaftsaufnahmen mit einer Canon EOS 70D - Dummies

Persönliche Finanzen

Die Einstellungen der Canon EOS 70D für die Landschaftsfotografie sind schwierig, da es keinen einzigen Ansatz gibt, um eine wunderschöne Landschaft, eine Skyline der Stadt oder ein anderes großes Thema einzufangen. Aber hier ein paar Tipps, um Ihnen zu helfen, eine Landschaft so zu fotografieren, wie Sie sie sehen: Fotografieren im Blendenautomatik-Modus ...

Die Wahl des Herausgebers

Aufzeichnen Ihrer eigenen Aktionen in Photoshop CC - Dummies

Aufzeichnen Ihrer eigenen Aktionen in Photoshop CC - Dummies

Social Media

Die wirkliche Kraft von Aktionen in Photoshop kommt zu Ihnen, wenn Sie nimm deine eigenen auf. Klar, die Photoshop-Action-Sets sind großartig, und die kommerziellen Pakete von Actions haben auch ein paar gute Sachen, aber es ist nicht dein Zeug. Wenn Sie Ihre eigenen Aktionen aufzeichnen, zeichnen Sie die Schritte auf, die für Ihre ...

Speichern Sie Ihre Ebenenstile in Photoshop - Dummies

Speichern Sie Ihre Ebenenstile in Photoshop - Dummies

Social Media

Die Erstellung benutzerdefinierter Stile in Photoshop CC erfordert Zeit und Aufwand. Das Speichern der Stile bedeutet, dass Sie keine Zeit damit verbringen müssen, den Stil neu zu erstellen. Speichern Sie Ihre Stile nicht nur im Bedienfeld "Stile", sondern auch auf Ihrer Festplatte. Hinzufügen von Stilen zum Stil-Bedienfeld Nachdem Sie Ihren Ebenen-Stil richtig angezeigt haben, ...

Text in Photoshop CC - Dummies

Text in Photoshop CC - Dummies

Social Media

Um Ihre grundlegende Arbeit mit Text zu steuern, bietet Photoshop Ihnen vier Werkzeugtypen, die Optionsleiste und mehrere Optionen im Dialogfeld "Voreinstellungen", sowohl im Abschnitt "Typ" (in dieser Abbildung sichtbar) als auch im Abschnitt "Einheiten und Lineale". Photoshop verfügt außerdem über ein Menü mit typbezogenen Befehlen. Wie Sie in der Abbildung sehen können, ...

Die Wahl des Herausgebers

Die Wahl des Herausgebers

Beliebte Kategorien

© Copyright blender3dtutorials.com, 2024 November | Über Site | Kontakte | Datenschutz-Bestimmungen.