Le grandi aziende che memorizzano dati di utenti privati non garantiscono che nessun singolo insider possa abusare dei dati degli utenti? se é cosi, come?

0

Diciamo che abbiamo una grande azienda X che memorizza le informazioni degli utenti privati. Ad esempio un provider di posta elettronica o un provider di social network. Ho principalmente in mente GMail e Facebook. Quindi la compagnia ha migliaia di dipendenti. Supponiamo inoltre che X usi Linux per tutte le loro macchine (dal mio punto di vista questo è davvero il caso di Google e Facebook per le loro macchine server).

Ora, da quanto ho capito, X avrebbe di solito alcuni data center che contengono molte macchine server e i dati dell'utente verrebbero archiviati su quelle macchine. Diciamo che abbiamo una macchina con i dati dell'utente su di essa. Può essere crittografato quando memorizzato, ma dovrebbe essere decifrabile se verrà restituito all'utente ad un certo punto. Quindi sembrerebbe che un amministratore di sistema con diritti di accesso sufficienti possa accedere a tali dati utente.

Ora capisco che in una simile azienda la maggior parte dei dipendenti non avrebbe diritti di accesso alle informazioni degli utenti, e quelli che lo farebbero sarebbero soggetti alla registrazione del loro accesso alle risorse. Tuttavia, non ci sarebbe sempre almeno una persona / amministratore di sistema che ha accesso da superutente a una determinata macchina? e una tale persona potrebbe accedere alle informazioni dell'utente e avere anche il controllo della funzionalità di registrazione su quella macchina, quindi sarebbe in grado di farlo senza tracce?

La mia analisi è corretta? Mi chiedo soprattutto se tali società che memorizzano i dati degli utenti, avrebbero tali amministratori di sistema che dispongono dell'accesso superutente ai dati utente e alla registrazione e quindi sarebbero in grado di recuperare i dati dell'utente senza lasciare tracce?

Se questa analisi è corretta, chi di solito ha tale permesso? sarebbe solo un sysadmin di basso rango? forse solo il responsabile della sicurezza informatica?

Se l'analisi non è corretta, come si configura una situazione in cui non esiste una singola persona / insider in grado di abusare dei dati utente nel modo in cui ho descritto? Alcune idee che ho per come ciò potrebbe forse essere fatto: (1) richiede l'autenticazione da più di una persona. (2) mantenere i dati utente su una macchina, con un sysadmin, e la chiave di decrittazione su una macchina separata che ha un altro amministratore di sistema (quindi ancora una volta richiederebbe una collusione di due insiders per abusare dei dati)

    
posta proggie165 21.12.2017 - 12:05
fonte

3 risposte

2

Innanzitutto, la maggior parte delle aziende non impiega (o segue) tutte le procedure necessarie per impedire agli utenti di accedere ai dati a cui non dovrebbero essere in grado di accedere.

Supponendo che la società X faccia segua le procedure necessarie, queste procedure si baserebbero su alcuni principi fondamentali:

Accesso necessario per conoscere
Ogni utente ha accesso alle informazioni che sono obbligatorie date le loro mansioni lavorative. Dato che questo principio è seguito correttamente, anche gli amministratori di sistema non dovrebbero avere accesso ai dati degli utenti oltre le loro mansioni lavorative.

Separazione dei compiti
Ad ogni utente vengono assegnati compiti che non si sovrappongono, in modo da evitare conflitti di interesse. Ad esempio, un amministratore di sistema che può modificare le autorizzazioni utente può visualizzare i file di registro ma non può eliminare le voci del registro .

Principio a quattro occhi o Regola dei due uomini
Le procedure critiche devono essere esaminate da due persone prima di aver luogo. Ciò garantisce che un membro malintenzionato non agisca da solo. Ad esempio, se un amministratore di sistema desidera modificare le autorizzazioni degli utenti, è necessario disporre dell'autorizzazione di un amministratore o amministratore aggiuntivo per farlo.

Dati pseudonimizzazione o anonima Se per qualsiasi motivo i dati sensibili vengono presentati a un utente (ad esempio un foglio di calcolo che presenta dati sensibili e non sensibili), i dati che non sono pertinenti ai tuoi doveri saranno pseudonimizzati (cioè sostituiti con pseudonimi) o resi anonimi (ovvero redatto o crittografato).

    
risposta data 21.12.2017 - 12:42
fonte
0

Quindi sostanzialmente la domanda è "Quali azioni / politiche possono essere promulgate da un'azienda per limitare l'abuso e l'uso improprio di dati privati (utente)?"

Bene, ci sono in effetti diversi approcci standard per questo. Ne elencherò alcuni di seguito con una breve spiegazione su cosa stanno cercando:

  • Il principio di 4 occhi
  • Algoritmo di condivisione di Shamir's Secret .
  • controllo di accesso a più fattori.
  • Tasti smart card.
  • della NDA
  • Regole etiche.

    1. il principio dei 4 occhi (o regola di due uomini) in pratica significa che per fare qualsiasi azione è necessario avere 2 persone insieme per fare detta azione (1 da eseguire e 1 da sanzionare).

    2. La condivisione segreta di Shamir è un modo per suddividere un segreto "condiviso" in modo da non 1 persona ha il segreto e tutti i custodi segreti devono collaborare per ricostruire il segreto.

    3. controllo di accesso a più fattori semplice significa più di 1 fattore per basare l'autenticazione e l'autorizzazione su (2fa è comunemente usato, ma possono essere impiegati più fattori [qualcosa che hai, qualcosa che conosci, qualcosa che sei, qualcosa in te sono, alcune azioni che preformi])

    4. È possibile utilizzare chiavi con smart card o altri dispositivi di archiviazione segreti per limitare la perdita di segreto. Nitrokey e Yubico hanno molti buoni prodotti che possono farlo (come un esempio di 2).

    5. NDA, più un limite legale rispetto a un limite tecnico può imporre alle persone di non abusare dei dati privati in alcun modo tranne che per ciò che è specificato come uso appropriato.

    6. Le regole etiche sono presenti in alcuni sistemi legali in tutto il mondo che limitano ciò che ti è permesso legalmente con qualcun altro. anche se non così specifico come altri motivi, può essere applicato in modo altrettanto rigoroso dai tribunali quando fa parte del sistema legale.

Per quanto riguarda la tua idea di separare le chiavi di crittografia dai sistemi di archiviazione, questo è già comunemente fatto ma non per limitare gli abusi come questo (sarebbe inutile per un caso d'uso come l'amministratore può semplicemente estrarre i dati dal sistema attraverso alcuni si intende). Hashicorp's Vault è uno di questi progetti open source per abilitarlo.

    
risposta data 21.12.2017 - 12:31
fonte
0

Questo sarà molto variabile per organizzazione.

Lavoravo come sviluppatore per una grande azienda basata sulla tecnologia nel settore finanziario. Per accedere a un database di produzione per l'accesso in sola lettura c'era uno strumento speciale. Questo ti ha permesso di estrarre praticamente qualsiasi cosa da qualsiasi database a cui avessi accesso (che era solo un database a cui avevi bisogno di un accesso) - ma ha registrato assolutamente tutto ciò che hai fatto.

Se avevi bisogno di eseguire un comando su una macchina di produzione, dovevi inserire un ticket per selezionare quello che pensavi fosse il rischio e elencare esattamente cosa volevi eseguire e perché. Quando dico esattamente, intendo che c'era un campo in cui digitare i comandi. Questo ticket andrebbe al tuo manager per approvare o correggere (di solito alzando o abbassando il rischio selezionato). A seconda del rischio che hai selezionato una o più persone sia più in alto nella tua catena di gestione che nella stanza delle operazioni del datacenter, potrebbe dover approvare il ticket. Per le azioni a basso rischio, queste verrebbero automaticamente eseguite contro la macchina. Per le azioni a rischio più elevato, un operatore del datacenter consentirebbe manualmente a ciascuna linea di eseguire e guardare l'output. Di nuovo assolutamente tutto verrà registrato.

Esistevano strumenti per ottenere una shell di root su una macchina di produzione, ma questi sarebbero approvati solo se assolutamente necessario, di solito una situazione "gravemente danneggiata". E ancora tutto verrebbe registrato tramite i sistemi che potrebbero farti accedere.

Immagino che all'interno dello staff dei datacenter avremmo opzioni migliori. Tuttavia queste sono strutture estremamente sicure con telecamere ovunque. Pochissimo personale avrebbe sia accesso fisico alle macchine e le credenziali necessarie per l'accesso di root a loro e più persone sarebbero coinvolte nell'ottenere l'accesso fisico. Nel frattempo, avresti bisogno di un'ottima scusa per accedere a una macchina di produzione che è ancora in comunicazione con l'archivio dati o che accede sia a un rack di archiviazione sia a una posizione in cui sono disponibili le chiavi di crittografia. Inoltre, lo staff del datacenter non conosce in genere quali database contengono le informazioni o il modo in cui è strutturato.

C'erano delle lacune. Ad esempio, come sviluppatore è stato relativamente facile ottenere un database di produzione copiato in un ambiente beta per scopi di test / debug e c'erano più strumenti a disposizione. Anche se ci sarà ancora un log della richiesta. Quindi hai la sfida di ottenere grandi quantità di dati dall'ambiente server e nel tuo PC locale - questo non sarà banale. Nemmeno l'avrebbe portato fuori dall'ambiente aziendale: le porte USB e le unità disco erano disabilitate e tutto il traffico Internet era monitorato, incluso HTTPS.

Quindi potresti ottenere grandi quantità di dati? Sì. Ma sarebbe rintracciabile per te.

    
risposta data 21.12.2017 - 12:59
fonte