코더들이 보안을 정복하다: 공유 및 학습 시리즈 - 민감한 데이터 노출
민감한 데이터 노출은 지난 몇 년간 가장 널리 알려지고 영향력이 큰 데이터 침해 사고의 원인이 되었습니다. 여기에는 다음과 같은 치명적인 메리어트 보안 침해 사건이 포함됩니다. 3억 건 이상의 고객 기록이 도난당했습니다, 및 에퀴팩스가 공격을 받았을 때 1억 5천만 명이 더.중간 수준의 정교함이 필요하고 때로는 공격자 측에 특수 장비가 필요하지만 대부분의 경우 해커가 해킹하기가 그리 어렵지 않으며 일부 공격 기능을 자동화하는 도구도 있습니다.
민감한 데이터 노출은 승인된 열람만을 위한 정보가 암호화되지 않았거나 보호되지 않거나 보호가 취약한 상태에서 승인되지 않은 사람에게 노출될 때마다 발생합니다.여기에는 대부분 해커가 훔치려는 신용카드 번호, 사용자 ID, 기업 비밀, 법률 및 업계 규정의 보호를 받을 수 있는 개인 정보 등의 데이터가 포함됩니다.
해커는 암호화하지 않고 저장하거나 암호화 체계를 간접적으로 공격하여 민감한 정보를 훔칠 수 있습니다.이들은 강력한 암호화를 직접 해독하는 대신 암호화 키를 훔치거나, 데이터가 암호화되지 않은 상태로 이동될 때 (예: 전송 준비 완료) 데이터를 공격합니다.
이 에피소드에서는 다음을 배우게 됩니다.
- 공격자가 민감한 데이터 노출을 유발하는 방법
- 민감한 데이터 노출이 위험한 이유
- 이 취약점을 해결할 수 있는 기술
공격자는 민감한 데이터 노출을 어떻게 악용합니까?
민감한 데이터 노출은 일반적으로 사이트가 강력한 엔드-투-엔드 암호화를 사용하여 데이터를 보호하지 않거나 보호 체계에 악용 가능한 결함이 있을 때 발생합니다.사용된 암호화가 특히 약하거나 시대에 뒤떨어진 경우에도 발생할 수 있습니다.
해커는 암호화가 모든 곳에 확장되지 않은 경우 이를 우회할 방법을 찾는 경우가 많습니다.예를 들어 사용자 ID 데이터베이스가 정보를 암호화된 상태로 저장했다가 검색 시 자동으로 암호를 해독하는 경우 해커는 이전에 이 블로그에서 다룬 다음과 같은 공격 중 하나를 사용할 수 있습니다. SQL 또는 XML 인젝션, 데이터베이스에 암호 해독 프로세스를 수행하도록 명령합니다.그러면 해커가 추가 작업 없이 데이터를 해독할 수 있습니다.열쇠를 소매치기만 하면 되는데 왜 철제 문을 무너뜨리려 할까요?
취약한 암호화도 문제입니다.예를 들어 오래된 암호화 체계를 사용하여 신용 카드를 저장한 경우 해커가 다음과 같은 것을 사용할 수 있다면 문제가 될 수 있습니다. 로컬 파일 포함 전체 데이터베이스를 자신의 컴퓨터로 가져오는 데 취약합니다.캡처한 데이터를 AES-256 비트 암호화와 같은 강력한 방법으로 보호했다면 해커의 소유로 넘어가더라도 데이터를 손상시키기가 훨씬 더 어려웠을 것입니다.하지만 이전 DES 표준과 같이 약하거나 시대에 뒤떨어진 암호화를 사용하는 경우 GPU (그래픽 처리 장치) 랙과 같은 특수 장비를 갖춘 해커는 비교적 짧은 시간 내에 암호화를 해제하도록 지시할 수 있습니다.
민감한 데이터 노출은 왜 위험한가요?
민감한 데이터가 노출되면 권한이 없는 사용자가 보호된 정보를 볼 수 있기 때문에 위험합니다.데이터가 중요하지 않으면 보호될 수 없기 때문에 해당 보호를 위반할 경우 문제가 발생할 수 있습니다.조직이 직면하고 싶어하는 상황은 절대 아닙니다.
민감한 데이터 노출로 인해 발생할 수 있는 문제의 정도는 노출되는 데이터의 종류에 따라 다릅니다.사용자 또는 암호 데이터가 도난당하면 시스템에 대한 추가 공격을 시작하는 데 사용될 수 있습니다.개인 정보가 노출되면 사용자는 신원 도용이나 피싱과 같은 2차 공격에 노출될 수 있습니다.노출된 데이터가 미국의 HIPAA (건강 보험 이전 및 책임법) 또는 유럽의 일반 데이터 보호 규정 (GDPR) 과 같은 법률에 의해 법적으로 보호되는 경우 조직은 무거운 벌금과 정부 조치에 취약할 수도 있습니다.
민감한 데이터 노출 제거
민감한 데이터 노출을 막는 것은 기업 전체에서 민감한 데이터를 최신의 강력한 엔드-투-엔드 암호화하는 것에서 시작됩니다.여기에는 저장된 데이터와 전송 중인 데이터가 모두 포함됩니다.민감한 데이터가 스토리지에 있는 동안 암호화하는 것만으로는 충분하지 않습니다.사용 전이나 전송 전에 암호화되지 않은 경우 서버를 속여 암호화를 해제하도록 하는 2차 공격을 통해 데이터가 노출될 수 있습니다.
전송 중인 데이터는 항상 전송 계층 보안 (TLS) 을 사용하여 보호해야 합니다. 이렇게 하면 맨 인 미들 (man in middle) 을 이용한 공격이나 이동 데이터에 대한 기타 공격을 방지할 수 있습니다.또한 민감한 데이터는 네트워크의 어느 곳에서도 캐시해서는 안 됩니다.민감한 데이터는 강력한 암호화 상태로 저장하거나 TLS 보호를 사용하여 전송하여 공격자가 악용할 취약점이 없도록 해야 합니다.
마지막으로, 조직에서 보호하고 있는 민감한 데이터의 종류를 목록화하세요.조직에서 이러한 데이터를 저장할 이유가 없다면 폐기하십시오.아무런 이득도 없이 잠재적 문제에 자신을 노출시키는 이유는 무엇일까요?원본에서 유지 관리하지 않는 데이터는 도용될 수 없습니다.
민감한 데이터 노출에 대한 추가 정보
자세한 내용을 보려면 OWASP가 말하는 내용을 살펴보십시오. 민감한 데이터 노출.또한 다음과 같이 새로 발견한 방어 지식을 테스트할 수 있습니다. 무료 데모 사이버 보안 팀이 궁극의 사이버 전사가 될 수 있도록 교육하는 Secure Code Warrior 플랫폼을 활용했습니다.이 취약점을 해결하는 방법과 기타 위협의 도적 갤러리를 자세히 알아보려면 다음 사이트를 방문하십시오. 시큐어 코드 워리어 블로그.
민감한 데이터 노출은 승인된 열람만을 위한 정보가 암호화되지 않았거나 보호되지 않거나 보호가 취약한 상태에서 승인되지 않은 사람에게 노출될 때마다 발생합니다.
야프 카란 싱은 보안 코딩 전도자, 수석 싱 및 공동 설립자입니다 Secure Code Warrior .
Secure Code Warrior는 전체 소프트웨어 개발 라이프사이클에서 코드를 보호하고 사이버 보안을 최우선으로 생각하는 문화를 조성할 수 있도록 조직을 위해 여기 있습니다.AppSec 관리자, 개발자, CISO 또는 보안 관련 누구든 관계없이 조직이 안전하지 않은 코드와 관련된 위험을 줄일 수 있도록 도와드릴 수 있습니다.
데모 예약
야프 카란 싱은 보안 코딩 전도자, 수석 싱 및 공동 설립자입니다 Secure Code Warrior .
민감한 데이터 노출은 지난 몇 년간 가장 널리 알려지고 영향력이 큰 데이터 침해 사고의 원인이 되었습니다. 여기에는 다음과 같은 치명적인 메리어트 보안 침해 사건이 포함됩니다. 3억 건 이상의 고객 기록이 도난당했습니다, 및 에퀴팩스가 공격을 받았을 때 1억 5천만 명이 더.중간 수준의 정교함이 필요하고 때로는 공격자 측에 특수 장비가 필요하지만 대부분의 경우 해커가 해킹하기가 그리 어렵지 않으며 일부 공격 기능을 자동화하는 도구도 있습니다.
민감한 데이터 노출은 승인된 열람만을 위한 정보가 암호화되지 않았거나 보호되지 않거나 보호가 취약한 상태에서 승인되지 않은 사람에게 노출될 때마다 발생합니다.여기에는 대부분 해커가 훔치려는 신용카드 번호, 사용자 ID, 기업 비밀, 법률 및 업계 규정의 보호를 받을 수 있는 개인 정보 등의 데이터가 포함됩니다.
해커는 암호화하지 않고 저장하거나 암호화 체계를 간접적으로 공격하여 민감한 정보를 훔칠 수 있습니다.이들은 강력한 암호화를 직접 해독하는 대신 암호화 키를 훔치거나, 데이터가 암호화되지 않은 상태로 이동될 때 (예: 전송 준비 완료) 데이터를 공격합니다.
이 에피소드에서는 다음을 배우게 됩니다.
- 공격자가 민감한 데이터 노출을 유발하는 방법
- 민감한 데이터 노출이 위험한 이유
- 이 취약점을 해결할 수 있는 기술
공격자는 민감한 데이터 노출을 어떻게 악용합니까?
민감한 데이터 노출은 일반적으로 사이트가 강력한 엔드-투-엔드 암호화를 사용하여 데이터를 보호하지 않거나 보호 체계에 악용 가능한 결함이 있을 때 발생합니다.사용된 암호화가 특히 약하거나 시대에 뒤떨어진 경우에도 발생할 수 있습니다.
해커는 암호화가 모든 곳에 확장되지 않은 경우 이를 우회할 방법을 찾는 경우가 많습니다.예를 들어 사용자 ID 데이터베이스가 정보를 암호화된 상태로 저장했다가 검색 시 자동으로 암호를 해독하는 경우 해커는 이전에 이 블로그에서 다룬 다음과 같은 공격 중 하나를 사용할 수 있습니다. SQL 또는 XML 인젝션, 데이터베이스에 암호 해독 프로세스를 수행하도록 명령합니다.그러면 해커가 추가 작업 없이 데이터를 해독할 수 있습니다.열쇠를 소매치기만 하면 되는데 왜 철제 문을 무너뜨리려 할까요?
취약한 암호화도 문제입니다.예를 들어 오래된 암호화 체계를 사용하여 신용 카드를 저장한 경우 해커가 다음과 같은 것을 사용할 수 있다면 문제가 될 수 있습니다. 로컬 파일 포함 전체 데이터베이스를 자신의 컴퓨터로 가져오는 데 취약합니다.캡처한 데이터를 AES-256 비트 암호화와 같은 강력한 방법으로 보호했다면 해커의 소유로 넘어가더라도 데이터를 손상시키기가 훨씬 더 어려웠을 것입니다.하지만 이전 DES 표준과 같이 약하거나 시대에 뒤떨어진 암호화를 사용하는 경우 GPU (그래픽 처리 장치) 랙과 같은 특수 장비를 갖춘 해커는 비교적 짧은 시간 내에 암호화를 해제하도록 지시할 수 있습니다.
민감한 데이터 노출은 왜 위험한가요?
민감한 데이터가 노출되면 권한이 없는 사용자가 보호된 정보를 볼 수 있기 때문에 위험합니다.데이터가 중요하지 않으면 보호될 수 없기 때문에 해당 보호를 위반할 경우 문제가 발생할 수 있습니다.조직이 직면하고 싶어하는 상황은 절대 아닙니다.
민감한 데이터 노출로 인해 발생할 수 있는 문제의 정도는 노출되는 데이터의 종류에 따라 다릅니다.사용자 또는 암호 데이터가 도난당하면 시스템에 대한 추가 공격을 시작하는 데 사용될 수 있습니다.개인 정보가 노출되면 사용자는 신원 도용이나 피싱과 같은 2차 공격에 노출될 수 있습니다.노출된 데이터가 미국의 HIPAA (건강 보험 이전 및 책임법) 또는 유럽의 일반 데이터 보호 규정 (GDPR) 과 같은 법률에 의해 법적으로 보호되는 경우 조직은 무거운 벌금과 정부 조치에 취약할 수도 있습니다.
민감한 데이터 노출 제거
민감한 데이터 노출을 막는 것은 기업 전체에서 민감한 데이터를 최신의 강력한 엔드-투-엔드 암호화하는 것에서 시작됩니다.여기에는 저장된 데이터와 전송 중인 데이터가 모두 포함됩니다.민감한 데이터가 스토리지에 있는 동안 암호화하는 것만으로는 충분하지 않습니다.사용 전이나 전송 전에 암호화되지 않은 경우 서버를 속여 암호화를 해제하도록 하는 2차 공격을 통해 데이터가 노출될 수 있습니다.
전송 중인 데이터는 항상 전송 계층 보안 (TLS) 을 사용하여 보호해야 합니다. 이렇게 하면 맨 인 미들 (man in middle) 을 이용한 공격이나 이동 데이터에 대한 기타 공격을 방지할 수 있습니다.또한 민감한 데이터는 네트워크의 어느 곳에서도 캐시해서는 안 됩니다.민감한 데이터는 강력한 암호화 상태로 저장하거나 TLS 보호를 사용하여 전송하여 공격자가 악용할 취약점이 없도록 해야 합니다.
마지막으로, 조직에서 보호하고 있는 민감한 데이터의 종류를 목록화하세요.조직에서 이러한 데이터를 저장할 이유가 없다면 폐기하십시오.아무런 이득도 없이 잠재적 문제에 자신을 노출시키는 이유는 무엇일까요?원본에서 유지 관리하지 않는 데이터는 도용될 수 없습니다.
민감한 데이터 노출에 대한 추가 정보
자세한 내용을 보려면 OWASP가 말하는 내용을 살펴보십시오. 민감한 데이터 노출.또한 다음과 같이 새로 발견한 방어 지식을 테스트할 수 있습니다. 무료 데모 사이버 보안 팀이 궁극의 사이버 전사가 될 수 있도록 교육하는 Secure Code Warrior 플랫폼을 활용했습니다.이 취약점을 해결하는 방법과 기타 위협의 도적 갤러리를 자세히 알아보려면 다음 사이트를 방문하십시오. 시큐어 코드 워리어 블로그.
민감한 데이터 노출은 지난 몇 년간 가장 널리 알려지고 영향력이 큰 데이터 침해 사고의 원인이 되었습니다. 여기에는 다음과 같은 치명적인 메리어트 보안 침해 사건이 포함됩니다. 3억 건 이상의 고객 기록이 도난당했습니다, 및 에퀴팩스가 공격을 받았을 때 1억 5천만 명이 더.중간 수준의 정교함이 필요하고 때로는 공격자 측에 특수 장비가 필요하지만 대부분의 경우 해커가 해킹하기가 그리 어렵지 않으며 일부 공격 기능을 자동화하는 도구도 있습니다.
민감한 데이터 노출은 승인된 열람만을 위한 정보가 암호화되지 않았거나 보호되지 않거나 보호가 취약한 상태에서 승인되지 않은 사람에게 노출될 때마다 발생합니다.여기에는 대부분 해커가 훔치려는 신용카드 번호, 사용자 ID, 기업 비밀, 법률 및 업계 규정의 보호를 받을 수 있는 개인 정보 등의 데이터가 포함됩니다.
해커는 암호화하지 않고 저장하거나 암호화 체계를 간접적으로 공격하여 민감한 정보를 훔칠 수 있습니다.이들은 강력한 암호화를 직접 해독하는 대신 암호화 키를 훔치거나, 데이터가 암호화되지 않은 상태로 이동될 때 (예: 전송 준비 완료) 데이터를 공격합니다.
이 에피소드에서는 다음을 배우게 됩니다.
- 공격자가 민감한 데이터 노출을 유발하는 방법
- 민감한 데이터 노출이 위험한 이유
- 이 취약점을 해결할 수 있는 기술
공격자는 민감한 데이터 노출을 어떻게 악용합니까?
민감한 데이터 노출은 일반적으로 사이트가 강력한 엔드-투-엔드 암호화를 사용하여 데이터를 보호하지 않거나 보호 체계에 악용 가능한 결함이 있을 때 발생합니다.사용된 암호화가 특히 약하거나 시대에 뒤떨어진 경우에도 발생할 수 있습니다.
해커는 암호화가 모든 곳에 확장되지 않은 경우 이를 우회할 방법을 찾는 경우가 많습니다.예를 들어 사용자 ID 데이터베이스가 정보를 암호화된 상태로 저장했다가 검색 시 자동으로 암호를 해독하는 경우 해커는 이전에 이 블로그에서 다룬 다음과 같은 공격 중 하나를 사용할 수 있습니다. SQL 또는 XML 인젝션, 데이터베이스에 암호 해독 프로세스를 수행하도록 명령합니다.그러면 해커가 추가 작업 없이 데이터를 해독할 수 있습니다.열쇠를 소매치기만 하면 되는데 왜 철제 문을 무너뜨리려 할까요?
취약한 암호화도 문제입니다.예를 들어 오래된 암호화 체계를 사용하여 신용 카드를 저장한 경우 해커가 다음과 같은 것을 사용할 수 있다면 문제가 될 수 있습니다. 로컬 파일 포함 전체 데이터베이스를 자신의 컴퓨터로 가져오는 데 취약합니다.캡처한 데이터를 AES-256 비트 암호화와 같은 강력한 방법으로 보호했다면 해커의 소유로 넘어가더라도 데이터를 손상시키기가 훨씬 더 어려웠을 것입니다.하지만 이전 DES 표준과 같이 약하거나 시대에 뒤떨어진 암호화를 사용하는 경우 GPU (그래픽 처리 장치) 랙과 같은 특수 장비를 갖춘 해커는 비교적 짧은 시간 내에 암호화를 해제하도록 지시할 수 있습니다.
민감한 데이터 노출은 왜 위험한가요?
민감한 데이터가 노출되면 권한이 없는 사용자가 보호된 정보를 볼 수 있기 때문에 위험합니다.데이터가 중요하지 않으면 보호될 수 없기 때문에 해당 보호를 위반할 경우 문제가 발생할 수 있습니다.조직이 직면하고 싶어하는 상황은 절대 아닙니다.
민감한 데이터 노출로 인해 발생할 수 있는 문제의 정도는 노출되는 데이터의 종류에 따라 다릅니다.사용자 또는 암호 데이터가 도난당하면 시스템에 대한 추가 공격을 시작하는 데 사용될 수 있습니다.개인 정보가 노출되면 사용자는 신원 도용이나 피싱과 같은 2차 공격에 노출될 수 있습니다.노출된 데이터가 미국의 HIPAA (건강 보험 이전 및 책임법) 또는 유럽의 일반 데이터 보호 규정 (GDPR) 과 같은 법률에 의해 법적으로 보호되는 경우 조직은 무거운 벌금과 정부 조치에 취약할 수도 있습니다.
민감한 데이터 노출 제거
민감한 데이터 노출을 막는 것은 기업 전체에서 민감한 데이터를 최신의 강력한 엔드-투-엔드 암호화하는 것에서 시작됩니다.여기에는 저장된 데이터와 전송 중인 데이터가 모두 포함됩니다.민감한 데이터가 스토리지에 있는 동안 암호화하는 것만으로는 충분하지 않습니다.사용 전이나 전송 전에 암호화되지 않은 경우 서버를 속여 암호화를 해제하도록 하는 2차 공격을 통해 데이터가 노출될 수 있습니다.
전송 중인 데이터는 항상 전송 계층 보안 (TLS) 을 사용하여 보호해야 합니다. 이렇게 하면 맨 인 미들 (man in middle) 을 이용한 공격이나 이동 데이터에 대한 기타 공격을 방지할 수 있습니다.또한 민감한 데이터는 네트워크의 어느 곳에서도 캐시해서는 안 됩니다.민감한 데이터는 강력한 암호화 상태로 저장하거나 TLS 보호를 사용하여 전송하여 공격자가 악용할 취약점이 없도록 해야 합니다.
마지막으로, 조직에서 보호하고 있는 민감한 데이터의 종류를 목록화하세요.조직에서 이러한 데이터를 저장할 이유가 없다면 폐기하십시오.아무런 이득도 없이 잠재적 문제에 자신을 노출시키는 이유는 무엇일까요?원본에서 유지 관리하지 않는 데이터는 도용될 수 없습니다.
민감한 데이터 노출에 대한 추가 정보
자세한 내용을 보려면 OWASP가 말하는 내용을 살펴보십시오. 민감한 데이터 노출.또한 다음과 같이 새로 발견한 방어 지식을 테스트할 수 있습니다. 무료 데모 사이버 보안 팀이 궁극의 사이버 전사가 될 수 있도록 교육하는 Secure Code Warrior 플랫폼을 활용했습니다.이 취약점을 해결하는 방법과 기타 위협의 도적 갤러리를 자세히 알아보려면 다음 사이트를 방문하십시오. 시큐어 코드 워리어 블로그.
아래 링크를 클릭하고 이 리소스의 PDF를 다운로드하십시오.
Secure Code Warrior는 전체 소프트웨어 개발 라이프사이클에서 코드를 보호하고 사이버 보안을 최우선으로 생각하는 문화를 조성할 수 있도록 조직을 위해 여기 있습니다.AppSec 관리자, 개발자, CISO 또는 보안 관련 누구든 관계없이 조직이 안전하지 않은 코드와 관련된 위험을 줄일 수 있도록 도와드릴 수 있습니다.
보고서 보기데모 예약
야프 카란 싱은 보안 코딩 전도자, 수석 싱 및 공동 설립자입니다 Secure Code Warrior .
민감한 데이터 노출은 지난 몇 년간 가장 널리 알려지고 영향력이 큰 데이터 침해 사고의 원인이 되었습니다. 여기에는 다음과 같은 치명적인 메리어트 보안 침해 사건이 포함됩니다. 3억 건 이상의 고객 기록이 도난당했습니다, 및 에퀴팩스가 공격을 받았을 때 1억 5천만 명이 더.중간 수준의 정교함이 필요하고 때로는 공격자 측에 특수 장비가 필요하지만 대부분의 경우 해커가 해킹하기가 그리 어렵지 않으며 일부 공격 기능을 자동화하는 도구도 있습니다.
민감한 데이터 노출은 승인된 열람만을 위한 정보가 암호화되지 않았거나 보호되지 않거나 보호가 취약한 상태에서 승인되지 않은 사람에게 노출될 때마다 발생합니다.여기에는 대부분 해커가 훔치려는 신용카드 번호, 사용자 ID, 기업 비밀, 법률 및 업계 규정의 보호를 받을 수 있는 개인 정보 등의 데이터가 포함됩니다.
해커는 암호화하지 않고 저장하거나 암호화 체계를 간접적으로 공격하여 민감한 정보를 훔칠 수 있습니다.이들은 강력한 암호화를 직접 해독하는 대신 암호화 키를 훔치거나, 데이터가 암호화되지 않은 상태로 이동될 때 (예: 전송 준비 완료) 데이터를 공격합니다.
이 에피소드에서는 다음을 배우게 됩니다.
- 공격자가 민감한 데이터 노출을 유발하는 방법
- 민감한 데이터 노출이 위험한 이유
- 이 취약점을 해결할 수 있는 기술
공격자는 민감한 데이터 노출을 어떻게 악용합니까?
민감한 데이터 노출은 일반적으로 사이트가 강력한 엔드-투-엔드 암호화를 사용하여 데이터를 보호하지 않거나 보호 체계에 악용 가능한 결함이 있을 때 발생합니다.사용된 암호화가 특히 약하거나 시대에 뒤떨어진 경우에도 발생할 수 있습니다.
해커는 암호화가 모든 곳에 확장되지 않은 경우 이를 우회할 방법을 찾는 경우가 많습니다.예를 들어 사용자 ID 데이터베이스가 정보를 암호화된 상태로 저장했다가 검색 시 자동으로 암호를 해독하는 경우 해커는 이전에 이 블로그에서 다룬 다음과 같은 공격 중 하나를 사용할 수 있습니다. SQL 또는 XML 인젝션, 데이터베이스에 암호 해독 프로세스를 수행하도록 명령합니다.그러면 해커가 추가 작업 없이 데이터를 해독할 수 있습니다.열쇠를 소매치기만 하면 되는데 왜 철제 문을 무너뜨리려 할까요?
취약한 암호화도 문제입니다.예를 들어 오래된 암호화 체계를 사용하여 신용 카드를 저장한 경우 해커가 다음과 같은 것을 사용할 수 있다면 문제가 될 수 있습니다. 로컬 파일 포함 전체 데이터베이스를 자신의 컴퓨터로 가져오는 데 취약합니다.캡처한 데이터를 AES-256 비트 암호화와 같은 강력한 방법으로 보호했다면 해커의 소유로 넘어가더라도 데이터를 손상시키기가 훨씬 더 어려웠을 것입니다.하지만 이전 DES 표준과 같이 약하거나 시대에 뒤떨어진 암호화를 사용하는 경우 GPU (그래픽 처리 장치) 랙과 같은 특수 장비를 갖춘 해커는 비교적 짧은 시간 내에 암호화를 해제하도록 지시할 수 있습니다.
민감한 데이터 노출은 왜 위험한가요?
민감한 데이터가 노출되면 권한이 없는 사용자가 보호된 정보를 볼 수 있기 때문에 위험합니다.데이터가 중요하지 않으면 보호될 수 없기 때문에 해당 보호를 위반할 경우 문제가 발생할 수 있습니다.조직이 직면하고 싶어하는 상황은 절대 아닙니다.
민감한 데이터 노출로 인해 발생할 수 있는 문제의 정도는 노출되는 데이터의 종류에 따라 다릅니다.사용자 또는 암호 데이터가 도난당하면 시스템에 대한 추가 공격을 시작하는 데 사용될 수 있습니다.개인 정보가 노출되면 사용자는 신원 도용이나 피싱과 같은 2차 공격에 노출될 수 있습니다.노출된 데이터가 미국의 HIPAA (건강 보험 이전 및 책임법) 또는 유럽의 일반 데이터 보호 규정 (GDPR) 과 같은 법률에 의해 법적으로 보호되는 경우 조직은 무거운 벌금과 정부 조치에 취약할 수도 있습니다.
민감한 데이터 노출 제거
민감한 데이터 노출을 막는 것은 기업 전체에서 민감한 데이터를 최신의 강력한 엔드-투-엔드 암호화하는 것에서 시작됩니다.여기에는 저장된 데이터와 전송 중인 데이터가 모두 포함됩니다.민감한 데이터가 스토리지에 있는 동안 암호화하는 것만으로는 충분하지 않습니다.사용 전이나 전송 전에 암호화되지 않은 경우 서버를 속여 암호화를 해제하도록 하는 2차 공격을 통해 데이터가 노출될 수 있습니다.
전송 중인 데이터는 항상 전송 계층 보안 (TLS) 을 사용하여 보호해야 합니다. 이렇게 하면 맨 인 미들 (man in middle) 을 이용한 공격이나 이동 데이터에 대한 기타 공격을 방지할 수 있습니다.또한 민감한 데이터는 네트워크의 어느 곳에서도 캐시해서는 안 됩니다.민감한 데이터는 강력한 암호화 상태로 저장하거나 TLS 보호를 사용하여 전송하여 공격자가 악용할 취약점이 없도록 해야 합니다.
마지막으로, 조직에서 보호하고 있는 민감한 데이터의 종류를 목록화하세요.조직에서 이러한 데이터를 저장할 이유가 없다면 폐기하십시오.아무런 이득도 없이 잠재적 문제에 자신을 노출시키는 이유는 무엇일까요?원본에서 유지 관리하지 않는 데이터는 도용될 수 없습니다.
민감한 데이터 노출에 대한 추가 정보
자세한 내용을 보려면 OWASP가 말하는 내용을 살펴보십시오. 민감한 데이터 노출.또한 다음과 같이 새로 발견한 방어 지식을 테스트할 수 있습니다. 무료 데모 사이버 보안 팀이 궁극의 사이버 전사가 될 수 있도록 교육하는 Secure Code Warrior 플랫폼을 활용했습니다.이 취약점을 해결하는 방법과 기타 위협의 도적 갤러리를 자세히 알아보려면 다음 사이트를 방문하십시오. 시큐어 코드 워리어 블로그.
%20(1).avif)
.avif)
