Son haftalarda ve aylarda, irili ufaklı bir takım kripto para şirketi, pazarlama hizmeti sağlayıcılarından veri sızıntılarının kurbanı oldu. HubSpot’un maruz kalmış olduğu son veri ihlali dikkate kıymet bir örnektir.
Netice olarak, etkilenen şirketlerden potansiyel olarak milyonlarca müşterinin kişisel detayları açığa çıktı. Bazı durumlarda bu, hesaplarıyla ilgili ek ayrıntıları da içeriyordu.
Etkilenen müşteriler artık büyük seviyede kripto para birimi ve dijital varlıklar alanında belirli hizmetlerin kullanıcıları olarak tanımlanıyor ve bu da onları kimlik avı saldırılarına, toplumsal mühendislik ve öteki hücum türlerine karşı savunmasız hale getiriyor.
Ledn, son HubSpot vakası da dahil olmak suretiyle son veri sızıntılarından etkilenmedi.
Anton Livaja, Ledn’in data güvenliği ekibinin lideridir.
Bu netice, standart güvenlik önlemlerinin ötesine geçmenin ve şirket uygulamalarını benzersiz sektör risklerimize nazaran uyarlamanın bir sonucudur. Müşterilerimizin varlıklarını yaptığımız şeklinde müşterilerimizin verilerine kıymet veriyoruz ve bu tarz şeyleri korumak için elimizden gelen her şeyi yapıyoruz.
Birçok sektördeki öteki firmalar şeklinde Ledn de blogumuzu, e-postalarımızı ve açılış sayfalarımızı yönetmek için HubSpot’u kullanıyor. HubSpot, doğru kullanıldığında işletmelerin müşterilerle verimli bir halde yazışma kurmasına destek olabilecek kuvvetli bir araçtır. Otomasyon platformlarını kullanmak, pazarlama seviyenizi yükseltmenin mükemmel bir yoludur, sadece güvenliği devamlı akılda tutmak önemlidir. Her neyse ki şirketlerin HubSpot şeklinde platformlarla etkileşime girerken risklerini en aza indirmelerinin yolları var.
Bu yazıda, son olarak HubSpot vakasını inceliyoruz ve Ledn’in satın alan verilerinin korunmasıyla sonuçlanan adımları vurguluyoruz. Bu şekilleri kullanarak, öteki firmalar yada kuruluşlar, satın alan verilerini bu tür vektörlerden korumak için extra katmanlar ekleyebilir.
Umudumuz, eylemlerimizi ve öğrendiklerimizi açıkça göstererek, başkalarının gelecekte benzer bir vakadan kaçınmasına ve güvenlik duruşlarını geliştirmelerine destek olabilmemizdir.
Hadi baştan başlamış olalım.
Ne oldu?
HubSpot, çalışanlarından birinin güvenliği ihlal edildiğinden bir veri ihlali yaşadı. Bu, saldırganın, bilhassa kripto para birimi şirketlerini hedefleyen bir takım satın alan hesabına erişmek için güvenliği ihlal edilmiş HubSpot hesabını kullanmasına izin verdi.
Çalışanın hesabının iyi mi ele geçirildiğine ve bu senaryoyu hafifletmek için niçin ek kontrollerin uygulanmadığına ilişkin ayrıntılar belirsiz. Bu, Ledger’in 2020’de yaşamış olduğu ve gene bir HubSpot ihlali sebebiyle gerçekleşen de dahil olmak suretiyle bir takım kripto odaklı veri ihlalinde bir başka saldırıdır.
HubSpot’tan halka açık vaka raporu burada bulunabilir.
Rapordan:
“Niçin bir HubSpot çalışanının HubSpot satın alan verilerine erişimi vardı?
“Bazı çalışanların HubSpot hesaplarına erişimi var. Bu, hesap yöneticileri ve destek uzmanları şeklinde çalışanların müşterilere destek olmasına olanak tanır. Bu durumda, fena bir oyuncu bir çalışan hesabını tehlikeye atabilir ve bu erişimi azca sayıda HubSpot hesabından yazışma verilerini dışa aktarmak için kullanabilirdi.”
Ledn Kendini Nasıl Koruyabildi?
Ledn’in HubSpot ihlalinden etkilenmemesinin başlıca sebebi, müşterimizin verilerini koruma ve buna bağlı olarak satıcımızın verilere erişimini sınırlama takıntımızdı.
Harici satıcılar kullanmaya karar verdiğimizde, bizim için en mühim husus, satıcının çalışanlarının verilerimize erişimini dönem dışı bırakıp bırakamayacağımızdır. HubSpot söz mevzusu olduğunda, çalışan erişimini devamlı dönem dışı bırakırız ve gerektiğinde, HubSpot çalışanının destek sağlaması için ihtiyaç duyulan bir süre dilimi süresince etkinleştirir ve derhal peşinden dönem dışı bırakırız – bu, minimum imtiyaz ilkesini uygular.
Ledn’de, üçüncü taraf tedarikçileri kullanırken, tam olarak ölçülmesi olanaksız olan riskler aldığımızı ve bu yüzden extra önlemler alınması icap ettiğini varsayıyoruz.
Muhtemelen güvenliğe fazlaca yatırım yaptıkları için daha büyük şirketlere daha çok itimat duyma eğilimi vardır. Sadece güvenebilsek de, doğrulamamız da gerekir; doğrulayamadığımız durumlarda, hücum yüzey alanını azaltmak için mevcut tüm şekilleri uygulamalıyız.
Bir platform çalışanının verilerimize erişimini sınırlamak, bu özelliğin mevcut olduğu her yerde kullandığımız bir uygulamadır ve üçüncü taraf satıcıların değerlendirme döneminde aradığımız bir şeydir. Pek fazlaca şirket bu özelliği sağlar ve sağlamadığında, uygulamak için çoğu zaman nispeten düşük bir çaba olduğundan ve her iki tarafın güvenlik duruşunu iyileştirdiğinden, çoğu zaman satıcıdan bu özelliği eklemesini isteriz.
Üçüncü taraf satıcı erişimini son kullanıcı verilerine sınırlamak, sıfır itimat ortamındaki en iyi uygulamadır.
Netice olarak, içeriden gelen tehditler tüm firmalar için mühim bir husustur ve tek başarısızlık noktalarını ortadan kaldırmaya odaklanılmalıdır, böylece birileri tehlikeye atılsa bile zarar veremezler. Şirketinizin tehdit modelini oluşturmak için yararlı varsayımlar, herhangi bir şirkette, devamlı, her takımda minimum bir kişinin zorlandığı yada tehlikeye atılmış olduğu, tüm makinelerin devamlı tehlikeye atılmış olduğu ve rakiplerinizin iyi finanse edilmiş olduğu ve sabırlı olduğudur.
Firmalar Üçüncü Taraf Hizmet Sağlayıcıları Kullanırken Müşteri Verilerini Başka Nasıl Koruyabilir?
Daima yalnızca üçüncü taraf satıcılarla kesinlikle paylaşılması ihtiyaç duyulan verileri paylaştığınızdan güvenilir olun. Kişisel bilgilerin bir üçüncü tarafla paylaşılması dikkatle düşünülmeli ve çoğu zaman yalnızca kesinlikle gerekliyse yapılmalıdır.
Düzenleyici gereksinimler sebebiyle verilerin paylaşılması buna bir örnek olabilir. Verileri üçüncü taraf bir satıcıyla paylaşmaya karar verirseniz, bunu yalnızca platformun işlevsel olması için kesinlikle lüzumlu olan veri alt kümesiyle sınırlayın.
Üçüncü taraf satıcılara gerekseme duyulduğunda, “ilk ilkeler” yaklaşımı kullanılarak durum tespiti yapılmalıdır. Bu, satıcının etkileşimde bulunacağı veri türünü göz önünde bulundurarak ve bu tarz şeyleri iyi mi koruyacağını belirleyerek riskleri dikkatlice değerlendirmek anlamına gelir.
Satıcının güvenliği lüzumlu verileri koruyamıyorsa, değişik bir satıcı bulmayı yada Ledn’de çoğunlukla yaptığımız şeklinde, şirket içinde inşa etmek şeklinde alternatif bir seçenek kullanmayı düşünmelisiniz.
Çalışanlara devamlı olarak gölge BT’nin, BT ve data güvenliği departmanları tarafınca incelenmemiş ve benimsenmemiş teknolojileri kullanma pratiğinin, genel güvenlik duruşunu ciddi şekilde etkileyebilecek tehlikeli bir uygulama bulunduğunu hatırlatan kuvvetli bir kültüre haiz olmak önemlidir. organizasyonun. BT ve data güvenliğinin yeni araçların ve organizasyonel hizmetlerin seçiminde etkili olması gerektiği tüm takımlar tarafınca iyi anlaşılmalıdır.
Ek olarak, platformlar çoğu zaman ek güvenlik katmanları ekleyen özellikler sağlar, bu yüzden nelerin mevcut bulunduğunu sormak yararlıdır. Üçüncü taraf satıcı tarafında olmasıyla birlikte dahili olarak da riski azaltmak için, aranacak ve sorulacak hususlara ve uygulanacak kontrollere ilişkin bazı tavsiyeler aşağıda verilmiştir:
- Satıcının çalışanlarının verilere erişimini direkt dönem dışı bırakma/engelleme.
- Üçüncü taraf satıcıya, satın alan verilerine erişimin sınırlandırılması söz mevzusu olduğunda ne tür dahili kontrollere haiz olduklarını problem. Aranacak şeyler şunlardır:
- Donanım belirteçlerinin kullanımı (Yubikey, Titan Güvenlik Anahtarı yada öteki akıllı kart aleti yada kişisel donanım güvenlik modülü yada HSM aleti şeklinde).
- Fast Identity Online yada FIDO kimlik doğrulama protokollerinin kullanımı için gereklilikler.
- Bireylerin duyarlı, ayrıcalıklı erişime haiz olmasını önlemek için çift denetim yada n-of-m kimlik doğrulama.
- Erişim kurtarma işlemlerinin iyi mi görünmüş olduğu; yeterince titiz değilse, bu onların kimlik doğrulama mekanizmalarını atlatmak için kullanılabilir.
- Eleştiri altyapıya erişen mühendislerin, üretim sistemleriyle etkileşim gerektiren herhangi bir görevi tamamlamak için sınırı olan ağ erişimine haiz sağlamlaştırılmış makineleri kullandığı bir “üretim mühendisliği” uygulamasına haiz olup olmadıkları.
- Sertifika tabanlı kimlik doğrulama: kriptografik sertifikaların kullanılması, bir varlığa erişimi yalnızca sertifikaya haiz olanlarla sınırlar. Yalnız yasal sertifikalara haiz cihazlara erişimi bağlayan hususi bir dosya olarak düşünebilirsiniz. Tek oturum açma (SSO) sağlayıcısı şeklinde tehlikeli sonuç hizmetler için yada karşılıklı aktarım katmanı güvenliği (mTLS) kullanarak mühim hizmetlere erişim sağlamak için sertifika tabanlı kimlik doğrulamanın kullanılması önerilir. Sertifika tabanlı kimlik doğrulama hakkında daha çok bilgiyi buradan edinebilirsiniz.
- IP güvenli listeleme: hizmetler çoğu zaman erişimi yalnızca belirli IP adreslerine sınırlama olanağı sunar. Bundan yararlanmak için statik bir IP’ye ihtiyacınız vardır: bunu bir grup kullanıcı için başarmanın bir yolu, sanal bir hususi ağ, bir VPN kullanmaktır.
- Şifreleme için kendi anahtarlarınızı kullanma. Üçüncü taraf bir satıcıda depolanan verileri giz yazıya çevirmek için çoğu zaman kendi anahtarları kullanılabilir. Bu, ele geçirilmeleri durumunda riski azaltmaya destek olan ek bir güvencedir, bundan dolayı verilerin şifresini çözmek için kullanılan anahtarlar, sistemlerin haricinde sizinle beraber saklanır ve aşağıdaki durumlarda bunlara erişimi iptal etme olanağına sahipsiniz. acil bir durum.
- Hizmet kullanıcıları için destekledikleri fazlaca faktörlü kimlik doğrulama (MFA) türü; asimetrik kriptografi tabanlı kimlik doğrulama şu anda elimizdekilerin en iyisidir. Kripto para birimi için bir donanım cüzdanı kullanmaya benzer. WebAuthn/Universal 2. Unsur tercih edilir; Yubikey ve Titan Güvenlik Anahtarı, FIDO kimlik doğrulama protokolleri ailesini destekleyen bazı popüler cihazlardır. Bu teknolojiyi hemen hemen kullanmıyorsanız ve güvenliği önemsiyorsanız, bir tane edinmenizi şiddetle tavsiye ederiz. Ledn, yakın gelecekte bu tür MFA için destek sunacak.
- Tek oturum açma desteği: SSO teknolojisi, tek bir merkezi noktadan birçok hizmete denetim uygulanmasına olanak tanır. Aksi takdirde tek bir büyük hata noktası olabileceğinden dikkatli olmak ve TOA’yı doğru şekilde yapılandırmak önemlidir. Daha ilkin belirtildiği şeklinde, tercihen bir mTLS kurulumunda, SSO’ya geçiş erişiminin ek bir katmanı olarak sertifika tabanlı kimlik doğrulamanın kullanılması önerilir.
- Parola yönetimi: Parola yöneticisi kullanmak, temel bir güvenlik en iyi uygulamasıdır. Buradaki düşünce, kuvvetli bir ana parola (minimum 16 karakter uzunluğunda) kullanmaktır ve parola yöneticisinde gizlenen tüm parolalar fazlaca uzun ve karmaşık olmalıdır (42 karakter yada daha çok ve tipik olarak mevcut yerleşik parola yöneticisi kullanılarak oluşturulmuş) . Temel kaide şudur: “Tüm şifrelerinizi hatırlıyorsanız, yanlış yapıyorsunuz.”
Son HubSpot Vakası Esnasında Bir Servis Sağlayıcı Kişisel Verilerimi Sızdı. Ne yapabilirim?
Hücum riskini azaltmak için atılabilecek birkaç adım vardır:
- Finansal işlemleri işleme kabiliyeti olan her hesapta 2 faktörlü kimlik doğrulamaya haiz olduğunuzdan güvenilir olun. 2FA yönteminiz olarak SMS üstünden Yubikey yada kimlik doğrulayıcı tabanlı 2FA (TOTP olarak da bilinir) şeklinde bir güvenlik belirteci kullanmak iyi bir uygulamadır. Buraya kadar geldiğinize nazaran, işte size ufak bir ön duyuru: Ledn bu çeyrekte WebAuthn desteğini yayınlayacak.
- İkinci olarak, müsaade eden her hizmette platform e-postaları için kimlik avı önleme ifadelerini etkinleştirin. Kimlik avı önleme ifadeleri hakkında daha çok bilgiyi buradan edinebilirsiniz. Tahmin edilmesi zor olacak bir şey kullanın. Düşmanlar, hedeflerine karşı daha etkili ve sofistike saldırılar oluşturmalarına olanak sağlamak için toplumsal medya vesilesiyle sevdikleri yada hakkında konuştukları şeyleri idrak etmek için çoğu zaman hedefleri üstünde bir profil oluşturur.
- Bir finansal işlemi işleme kabiliyeti ile her hizmette güvenli listeleri etkinleştirin. Bu, hesaplarınızdan daha ilkin belirtilen adreslere para çekme işlemlerini kısıtlayacaktır. Bu özelliğin muntazam bir halde uygulanması, adresin gönderilemediği adresi ilave ettikten sonra, tipik olarak 24-48 saat süresince bir “bekleme” süresi içerecek ve bu da size tepki vermek için daha çok süre tanıyacaktır.
- Kesinlikle lüzumlu olan süre aralıkları haricinde, üçüncü taraf satıcıların satın alan verilerine erişimini artık sınırlandırdıklarından güvenilir olmak için hizmet sağlayıcınıza başvurun.
- Ek bir tavsiye, kullandığınız her kripto para birimi platformu için benzersiz bir e-posta kullanmaktır, bundan dolayı bu, birinin güvenliğinin ihlal edilmesi durumunda sizi değişik platformlarda hedeflemeyi fazlaca daha zor hale getirir. Kullanıcı adınıza/e-postanıza duyarlı hizmetler için bir parola şeklinde davranın.
- Darknet Diaries’in 112. bölümünü kulak verin. Size kripto para birimi endüstrisindeki rakiplerin iyi mi düşündüğü hakkında mükemmel bir düşünce verecektir. TL;DR istiyorsanız 45 dakikadan başlayın.
- Ek olarak, güvenlik ve gizlilik duruşunuzun değişik taraflarını iyi mi iyileştirebileceğiniz mevzusunda kapsamlı bir tavsiye sıralaması içeren bu muhteşem deposu kullanabilirsiniz: https://github.com/Lissy93/personal-security-checklist
Bu Anton Livaja’nın konuk yazısıdır. İfade edilen görüşler tamamen kendilerine aittir ve BTC Inc.’in görüşlerini yansıtmayabilir yada Bitcoin Dergisi.
