전체 노출 : 민감한 데이터 누출을 처리하는 실질적인 접근 방식

이 게시물은 원래 Infosecurity Magazine에 출연했으며 허가를 받아 여기에 게시됩니다.

빠르게 진행되는 소프트웨어 개발의 세계에서 사고는 우리를 최대한 활용하지 못할 수 있습니다. 불행한 사건 중 하나는 개인 또는 내부 소스 코드와 같은 민감한 데이터의 우발적 인 유출입니다. 이런 일이 발생하면 회사는 종종 상황을 평가하기 위해 열광적 인 서두르고 민감한 데이터가 실제로 얼마나 노출되었는지를 결정하려는 토끼 구멍을 이끌어냅니다. 그러나 노출 정도에 대한 이러한 탐구는 쓸모없는 노력입니다. “조금만 노출 된 것”과 같은 것은 없습니다. 대신,보다 실용적인 접근 방식을 선택하는 것이 좋습니다. 노출을 완전하고 완전한 순간부터 완전하게 취급하십시오.

노출 정도를 쫓는 무익함

회사의 민감한 데이터가 우연히 공개 도메인에서 끝나는 것을 상상해보십시오. 예를 들어, 직원은 실수로 공개 저장소에 게시했습니다. 공황이 들어가고 첫 번째 본능은 종종 노출 정도를 시도하고 측정하는 것입니다. 누가 접근 했습니까? 얼마나 오래? 누구든지 다운로드 했습니까? 이러한 질문은 완벽하게 논리적이지만 시간이 많이 걸리고 결실이없는 길을 안내합니다.

현실은 민감한 데이터가 공개되는 순간입니다. 누구나 볼 수 있습니다. 인터넷은 방대하고 익명의 공간이며, 정확한 노출 정도를 정확히 찾아내려고하면 그림자를 쫓는 데 빠르게 운동이 될 수 있습니다.

노출을 피할 수없는 것으로 취급합니다

당신이“얼마나 노출 된”라는 질문에 머무르는 대신, 우리는 처음부터 최악의 상황을 가정해야합니다. 민감한 데이터가 완전히 노출되었습니다. 주어진 것을 고려하십시오. 이 가정을 받아들이고 잠재적 인 낙진을 완화하기 위해 실용적인 조치를 취할 수 있습니다.

앞으로 나아가기위한 실용적인 단계

1. 노출 된 비밀을 회전시킵니다: 민감한 데이터에 API 키 또는 개인 액세스 토큰과 같은 비밀이 포함 된 경우, 이들이 손상되었다고 가정합니다. 무단 액세스를 방지하기 위해 이러한 비밀을 즉시 회전시킵니다. 일부 데이터를 완전히 제거해야 할 수도 있습니다.

2. 영향을 평가하십시오: 노출의 잠재적 영향을 이해하는 데 중점을 둡니다. 유출 된 민감한 데이터에서 어떤 취약점이 발생할 수 있습니까? 민감한 데이터가 대중에게 완전히 노출되었다는 전제를 바탕으로 잠재적 위험을 식별하고 해결하기 위해 철저한 보안 평가를 수행하십시오.

3. 의사소통: 이해 관계자, 고객 및 대중과의 투명한 커뮤니케이션이 필수적입니다. 그들에게 상황, 위험을 완화하기 위해 취하는 단계 및 그들이 취해야 할 잠재적 조치를 알려주십시오.

4. 법적 고려 사항: 법률 전문가와 상담하여 누출의 법적 파급 효과를 이해하십시오. 여기에는 잠재적 지적 재산 문제 또는 계약 의무가 포함될 수 있습니다.

노출을 가득 채우는 것의 이점

• 속도: 전체 노출을 가정하면 신속하게 행동하여 위험을 완화하고 잠재적 손상을 최소화 할 수 있습니다.

• 명쾌함: 모호성이 없습니다. 노출 정도를 결정하는 데 시간을 낭비하지 않습니다.

• 보안: 노출 된 비밀을 회전시키고 철저한 보안 평가를 수행하는 것은 전반적인 보안 자세를 향상시키는 신중한 조치입니다.

이것을 당신과 함께 가져 가십시오

민감한 데이터 누출을 처리 할 때는 기본 사고 방식을 전환 할 때입니다. “노출 된 방법”을 묻는 대신, 우리는 전체 노출의 가정을 받아 들여야합니다. 그렇게함으로써, 우리는보다 효과적으로 대응하고 시스템 확보, 민감한 데이터 보호, 이해 관계자의 신뢰를 유지하는 것 : 진정으로 중요한 것에 집중할 수 있습니다. 사이버 보안의 세계에서 처음부터 최악의 상황이 개발자와 조직 모두에게 도움이되는 실용적인 접근법이라고 가정합니다.

작성자가 작성했습니다