Home » Articole » Articole » Afaceri » Știința datelor (Data Science) » Vulnerabilități în securitatea Big Data: Daune neintenționate/pierderea informațiilor sau a activelor IT

Vulnerabilități în securitatea Big Data: Daune neintenționate/pierderea informațiilor sau a activelor IT

Acest grup de vulnerabilități în securitatea Big Data include scurgerea de informații sau partajarea din cauza erorilor umane, intervenția neintenționată sau utilizarea eronată a administrării sistemelor (configurare greșită), pierderea dispozitivelor.

Amenințare: Surgerea/partajarea informațiilor din cauza unei erori umane

Amenințările accidentale sunt cele care nu sunt favorizate în mod intenționat de oameni. Acestea se datorează configurării greșite, flisărilor neintenționate și erorilor de scris (de exemplu apăsarea butonului greșit), aplicării greșite a regulilor valide (gestiune slabă a corecțiilor, utilizarea numelor și parolelor implicite de utilizator sau a parolelor ușor de ghicit) și greșelilor bazate pe cunoștințe (actualizări de software și blocări, probleme de integrare, defecte procedurale) 37 38.

Scurgerea de informații din cauza configurării greșite poate fi o problemă comună: conform unui studiu recent 39, configurațiile eronate de administrare a sistemului au condus la numeroase deficiențe în patru tehnologii diferite de Big Data; adică Redis, MongoDB, Memcache și ElasticSearch. Potrivit aceluiași studiu, majoritatea acestor produse noi „nu sunt menite să fie expuse internetului. […] Setările implicite ale acestor tehnologii tind să nu aibă nicio configurație pentru autentificare, criptare, autorizare sau orice alt tip de controale de securitate pe care le considerăm de la sine înțeles. Unele dintre ele nici măcar nu au un control de acces încorporat.

Mai mult, în trecut, au fost raportate incidente de partajare inadecvată a fișierelor care conțin posibile informații sensibile și confidențiale, care au afectat chiar și servicii online foarte populare precum Dropbox 40. Acest lucru este confirmat și de multe sondaje 41.

Activele vizate de aceste amenințări includ grupul de active „Date” și activul „Aplicații și servicii back-end” (cum ar fi, de exemplu, „Servicii de facturare”).

Amenințare: Scurgeri de date prin aplicații web (API-uri nesigure)

Diverse surse susțin că Big Data este adesea construită cu puțină securitate 42 43. Noile componente software sunt de obicei furnizate cu autorizare la nivel de serviciu, dar puține utilități sunt disponibile pentru a proteja caracteristicile de bază și interfețele de aplicație (API). Deoarece aplicațiile Big Data sunt construite pe modele de servicii web, API-urile pot fi vulnerabile la atacuri binecunoscute, cum ar fi lista Top Ten Open Web Application Security Project (OWASP) 44, cu puține facilități pentru contracararea amenințărilor web comune.

Vânzătorul de software de securitate Computer Associate (CA) 45 și alte surse 46 raportează încălcări ale datelor, din cauza API-urilor nesigure, în multe industrii, în special în rețelele sociale, în serviciile mobile de partajare a fotografiilor și video, precum Facebook, Yahoo și Snapchat.

De exemplu, o amenințare a acestei categorii poate consta în atacuri prin injectare la tehnologiile Web semantic prin injectarea codului SPARQL 47. Vulnerabilitățile de securitate sunt destul de comune în noile limbaje Big Data, cum ar fi SPARQL, RDQL (ambele sunt limbaje de interogare doar pentru citire) și SPARUL (sau SPARQL/Update, care are capabilități de modificare). Utilizarea acestor noi limbaje de interogare introduce vulnerabilități deja găsite la o utilizare proastă a limbajelor de interogare de stil vechi, deoarece atacurile precum injectarea SQL, LDAP și XPath sunt deja bine cunoscute și încă periculoase 48. Bibliotecile acestor noi limbaje oferă instrumente pentru a valida intrarea utilizatorului și pentru a minimiza riscul. Cu toate acestea, „bibliotecile principale de limbaj de interogare ontologic încă nu oferă niciun mecanism pentru a evita injectarea de cod” și fără aceste mecanisme, arsenalul atacatorilor ar putea fi îmbunătățit cu injecții SPARQL, RDQL și SPARQL 49. Alte noi produse software Big Data, cum ar fi Hive, MongoDB și CouchDB, suferă, de asemenea, de amenințări tradiționale, cum ar fi execuția de cod și injecția SQL de la distanță 50.

Activele vizate de aceste amenințări aparțin grupului „Date” și tipului de active „Modele de infrastructură de stocare” (cum ar fi „Sisteme de management al bazelor de date (DBS)” și „Instrumente web semantic”).

Amenințare: Proiectare și planificare inadecvate sau adaptare incorectă

Tehnicile de îmbunătățire a performanței analizei Big Data și fuziunea surselor de date eterogene cresc redundanța ascunsă a reprezentării datelor, generând copii prost protejate. Acest lucru provoacă tehnicile tradiționale de protejare a confidențialității 51 și trebuie luat în considerare efectul redundanței. După cum s-a menționat deja, redundanța Big Data poate fi văzută ca o tehnică de atenuare a amenințărilor pentru atacuri fizice, dezastre și întreruperi 52, totuși, în unele cazuri, semnalează o slăbiciune a sistemului, fiind un stimulent de risc pentru scurgerile de Big Data. Cu alte cuvinte, dacă stocarea noastră Big Data replică înregistrările de date de zece ori și distribuie copiile la zece noduri de stocare dintr-un motiv oarecare (de exemplu, pentru a accelera conducta de analiză), cele zece noduri pot ajunge la niveluri diferite de robustețe a securității (de ex. , diferite versiuni de software de securitate) și acest lucru va crește probabilitatea dezvăluirii datelor și a scurgerilor de date. Aceasta poate fi considerată o slăbiciune specifică a designurilor Big Data.

Pe de altă parte, putem observa că chiar și redundanța și replicarea, care sunt caracteristici necesare pentru a îmbunătăți funcționalitatea Big Data, nu sunt întotdeauna sigure împotriva pierderii datelor. De exemplu, Hadoop, binecunoscutul cadru pentru procesarea Big Data, replică datele de trei ori în mod implicit, deoarece acest lucru protejează împotriva defecțiunilor inevitabile ale hardware-ului de bază. Cu toate acestea, o aplicație coruptă ar putea distruge toate replicările de date 53. De asemenea, studii recente au prezentat ideea că redundanța Hadoop ar putea fi chiar un stimulent neliniar de risc pentru scurgerile de megadate (big data) 54.

Chiar și designul sistemului de fișiere distribuit Hadoop (HDFS) semnalează probleme așa cum este raportat de literatură 55. HDFS stă la baza multor sisteme de stocare pe scară largă a Big Data și este folosit de rețelele sociale. Clienții HDFS efectuează operațiuni de metadate ale sistemului de fișiere printr-un singur server cunoscut sub numele de Namenode și trimit și recuperează datele sistemului de fișiere prin comunicare cu un grup de noduri. Pierderea unui singur nod nu ar trebui să fie niciodată fatală, dar pierderea Namenode-ului nu poate fi tolerată 56. Rețelele sociale mari, precum Facebook, au suferit această problemă și au luat contramăsuri împotriva amenințării 57 (Hadoop instalat la Facebook include unul dintre cele mai mari clustere HDFS unice, mai mult de 100 PB de spațiu pe disc fizic într-un singur sistem de fișiere HDFS).

O altă amenințare legată de design este lipsa de scalabilitate a unor instrumente. De exemplu, NIST raportează că tehnicile originale de gestionare a drepturilor digitale (DRM) nu au fost construite pentru a fi la scară și pentru a satisface cerințele pentru utilizarea prognozată a datelor și „DRM-ul poate eșua să funcționeze în medii cu caracteristici Big Data – în special viteza și volumul agregat” 58 59.

Activele care sunt vizate de aceste amenințări aparțin grupurilor de active „Date” și „Analitica Big Data” și tipurilor de active „Software”, „Modele de infrastructură de calcul” și „Modele de infrastructură de stocare”.

Note

37 A se vedea taxonomia erorii umane în sistemele informaționale în Im și Richard L. Baskerville (Georgia State University), „A Longitudinal Study of Information System Threat Categories: The Enduring Problem of Human Error”. ACM SIGMIS (2005).

38 Conform „IBM Security Services 2014 Cyber ​​Security Intelligence Index” peste 95% din toate incidentele investigate recunosc „eroarea umană” și cea mai răspândită eroare umană este„Dublu clic” pe un atașament infectat sau pe o adresă URL nesigură.

39 BinaryEdge, o firmă de inginerie de securitate cu sediul în Elveția, a investigat patru tehnologii obișnuite de Big Data, cum ar fi Redis, MongoDB, Memcache și Elasticsearch și a găsit diverse probleme de configurare. De exemplu, compania a descoperit că zeci de mii de instanțe de baze de date NoSQL erau accesibile fără a fi necesară autentificarea. A se vedea http://blog.binaryedge.io/2015/08/10/data-technologies-and-security-part-1/, accesat în decembrie 2015.

40 Techcrunch, un editor online popular de știri din industria tehnologiei, a raportat că la Dropbox, pentru o perioadă scurtă de timp, serviciul a permis utilizatorilor să se conecteze la conturi folosind orice parolă. Cu alte cuvinte, oamenii se puteau conecta la contul cuiva doar introducând adresa lor de e-mail. Consultați http://techcrunch.com/2011/06/20/dropbox-security-bug-made-passwords-optional-for-four-hours/, accesat în decembrie 2015.

41 Marea majoritate (mai mult de 80%) a participanților la raportul EMA Research din 2015 privind securitatea colaborării cu fișierele, sponsorizat de FinalCode, au recunoscut că au existat incidente de scurgere de date în organizațiile lor. Consultați http://www.finalcode.com/en/how-it-works/resources/ema-report/, accesat în decembrie 2015.

42 Securing Big Data: Security Recommendations for Hadoop and NoSQL Environments, publicat de compania de securitate Securosis, în octombrie 2012, https://securosis.com/assets/library/reports/SecuringBigData_FINAL.pdf, accesat în decembrie 2015.

43 Eduardo B. Fernandez (Departamentul de Calcul și Inginerie Electronică și Știința Calculatoarelor, Florida Atlantic University), „Security in Data Intensive Computing Systems in Handbook of Data Intensive Computing”. Springer (2011), http://link.springer.com/chapter/10.1007/978-1-4614-1415-5_16, accesat în decembrie 2015.

44 Multe expuneri comune la vulnerabilități pentru componentele Big Data, cum ar fi Hadoop, sunt raportate pe site-uri web specializate, a se vedea, de exemplu, https://cve.mitre.org și https://www.cvedetails.com, accesate în decembrie 2015.

45 Jaime Ryan (CA, Director Sr.) și Tyson Whitten (CA, Director of API Management) în prezentarea și webinarul „Takeaways from API Security Breaches” (2015) au raportat încălcări, din cauza API-urilor nesecurizate, pentru Yahoo, Snapchat și alte companii , consultați http://transform.ca.com/API-security-breaches.html?source=AAblog, accesat în decembrie 2015.

46 A se vedea problemele de securitate pentru biblioteca Graph Facebook API raportate de blogul tehnic Websegura, http://www.websegura.net/advisories/facebook-rfd-and-open-file-upload/, accesat în decembrie 2015.

47 A se vedea http://www.morelab.deusto.es/code_injection/ și următoarea publicație: Pablo Orduña, Aitor Almeida, Unai Aguilera, Xabier Laiseca, Diego López-de-Ipiña, Aitor Gómez-Goiri, „Identifying’Identifying Security Issues in the Semantic Web: Injection attacks in the Semantic Query Languages“, [VI Jornadas Científico-Técnicas en Servicios Web y SOA (JSWEB 2010p.)], Valencia, Spania. Septembrie 2010, p. 43 – 50. ISBN: 978-84-92812-59-2.

48 În octombrie 2015, probabil, o injecție SQL a fost folosită pentru a ataca serverele companiei britanice de telecomunicații Talk Talk’s, punând în pericol detaliile personale a până la patru milioane de clienți. A se vedea http://www.mobilenewscwp.co.uk/2015/10/23/talktalk-hacking-scandal-expert-reaction/, accesat în decembrie 2015.

49 Ben Mustapha et al., „Enhancing semantic search using case-based modular ontology”. în Proceeding of the 2010 ACM Symposium on Applied Computing.

50 De exemplu, versiunea 2.0 Hive suferă de criptare încrucișată, execuție de cod și vulnerabilități de injectare SQL la distanță, consultați https://packetstormsecurity.com/files/132136/Hive-2.0-RC2-XSS-Code-Execution-SQL-Injection. html. MongoDB suferă atacuri prin injecție, vezi https://www.idontplaydarts.com/2011/02/mongodb-null-byte-injection-attacks/. Vedeți și alte amenințări specifice furnizorului în prezentare https://www.defcon.org/images/defcon-21/dc-21-presentations/Chow/DEFCON-21-Chow-Abusing-NoSQL-Databases.pdf, accesat în decembrie 2015.

51 E. Damiani, „Toward Big Data Risk Analysis”, Discurs principal la cel de-al 2-lea Atelier internațional de confidențialitate și securitate a datelor mari (PSBD 2015)

52 Atacurile fizice, dezastrele și, respectiv, întreruperile sunt descrise ca grup de amenințări în taxonomia generică a amenințărilor ENISA.

53 A se vedea http://www.smartdatacollective.com/michelenemschoff/193731/how-your-hadoop-distribution-could-lose-your-data-forever, accesat în decembrie 2015.

54 E. Damiani, „Toward Big Data Leak Analysis”, Proceedings of the Privacy and Security of Big Data Workshop (PSBD 2015), IEEE Big Data Conference, San Jose, CA, 1-3 noiembrie 2015

55 Aditham, Ranganathan (Departamentul de Informatică și Inginerie, Universitatea din Florida de Sud, Tampa, SUA), „A Novel Framework for Mitigating Insider Attacks in Big Data Systems”. 2015 IEEE International Conference on Big Data

56 Toate operațiunile cu metadate trec prin Namenode. Dacă Namenode nu este disponibil, niciun client nu poate citi sau scrie pe HDFS, iar utilizatorii și aplicațiile care depind de HDFS nu vor putea funcționa corect. Versiunile recente de Hadoop au introdus și alte componente pentru gestionarea resurselor pentru a rezolva această problemă.

57 A se vedea „Notes by Facebook engineering” în https://www.facebook.com/notes/facebook-engineering/under-the-hood-hadoop-distributed-filesystem-reliability-with-namenode-and-avata/10150888759153920. Facebook a contribuit la o soluție funcțională pentru a rezolva deficiențele arhitecturale ale failoverului unic Namenode, numit Avatarnode. Acesta este un modul cu sursă deschisă care oferă failover și failback la cald și este acum în producție la Facebook, rulând cel mai mare cluster Hadoop Data Warehouse (100 PB spațiu pe disc fizic într-un singur sistem de fișiere HDFS).

58 A se vedea NIST Special Publication 1500-4. Use case: consumer digital media (exemple: Netflix, iTunes și altele).

59 Xiao Zhang, „A Survey of Digital Rights Management Technologies”, vezi http://www.cse.wustl.edu/~jain/cse571-11/ftp/drm.pdf, accesat în decembrie 2015.

Sursa: European Union Agency For Network And Information Security: Ernesto Damiani, Claudio Agostino Ardagna, Francesco Zavatarelli, Evangelos Rekleitis, Louis Marinos (2016). Big Data Threat Landscape and Good Practice Guide. © European Union Agency for Network and Information Security (ENISA). Traducere și adaptare independentă: Nicolae Sfetcu

© MultiMedia Publishing, Big Data – Ghid practic, Volumul 1

Adobe Photoshop pentru începători
Adobe Photoshop pentru începători

Descoperă-ți potențialul creativ și învață să creezi imagini care vor captiva.

Nu a fost votat $1.99$4.31 Selectează opțiunile Acest produs are mai multe variații. Opțiunile pot fi alese în pagina produsului.
Business intelligence și analitica în afaceri
Business intelligence și analitica în afaceri

Esențială pentru profesioniștii și studenții pasionați de transformarea datelor brute în informații valoroase.

Nu a fost votat $4.99$10.99 Selectează opțiunile Acest produs are mai multe variații. Opțiunile pot fi alese în pagina produsului.
Traducere şi traducători
Traducere şi traducători

Ghidul esențial pentru toți cei pasionați de arta traducerii și complexitatea comunicării interculturale.

Nu a fost votat $2.99 Selectează opțiunile Acest produs are mai multe variații. Opțiunile pot fi alese în pagina produsului.

Lasă un răspuns

Adresa ta de email nu va fi publicată. Câmpurile obligatorii sunt marcate cu *