АНАЛИЗ НОВОСТЕЙ: вторая инсайдерская утечка данных AT&T в текущем году подчеркивает потребность в компаниях для лучше управления инсайдерского доступа к чувствительным данным о клиентах.Телекоммуникационный AT&T гиганта информирует, что еще раз инсайдер взял несанкционированный доступ к информации о клиентах. Это – второй раз в 2014, что инсайдер пропустил тайную данные о клиентах AT&T.В букве, посланной примерно 1 600 клиентам, к информации которых получили доступ в последнем нарушении, AT&T признал, что потребительские правила конфиденциальности были нарушены сотрудником AT&T.
«Мы сравнительно не так давно сделали вывод, что один из отечественных сотрудников нарушил отечественные строгие руководства по безопасности и конфиденциальности, взяв доступ к Вашей учетной записи без авторизации в августе 2014, и при исполнении так, будет в состоянии просмотреть и, быть может, взял сведения об аккаунте, включая номер социального страхования и номер водительских прав», заявила буква AT&T.AT&T отмечает, что частное лицо, которое взяло несанкционированный доступ к информации о счете клиента, больше не нанимается в AT&T, каждые несанкционированные затраты учетной записи будут сторнированы, и бесплатный кредитный мониторинг кроме этого делается дешёвым для затронутых клиентов.13 июня AT&T раскрыл инсайдерскую атаку, которая представила номера и потребительские даты рождения социального страхования. В июньском нарушении предлог должен был оказать помощь реселлерам разблокировать либо «сделать джейлбрейк» телефоны AT&T, так, они могли быть перепроданы.
Предлог в новом инсайдерском нарушении еще не был публично продемонстрирован.Эксперты по безопасности eWEEK говорили с, не были поражены последним раскрытием нарушения инсайдера AT&T.«Уязвимые эти прокладывают себе путь в такое количество совокупностей, внутренних и внешних, что организации приложив все возможные усилия пробуют заблокировать их вниз подобающим образом», Джерри Грилиш, сообщил директор по маркетингу, в Perspecsys. «AT&T и другие предприятия должны дать доступ для бизнеса для работы действенно, но ограничение, что нахождение и доступ верного баланса, выясняется, серьёзная неприятность».
Марк Мэйффрет, CTO BeyondTrust, подчернул, что то, что есть самым необычным, – то, как распространенные инсайдерские атаки все еще и что большое количество компаний все еще надеются на бумажные политики, дабы мешать тому, дабы сотрудники злоупотребили своим доступом к информации.«Это – второе громадное напоминание, что подлинные технические управления должны быть установлены для лучше доступа и управления полномочий, что сотрудники имеют к данным и совокупностям», сообщил Мэйффрет.Последнее нарушение инсайдера AT&T говорит пара вещей о текущем состоянии управления доступом и политики безопасности, сообщила Рене Брэдшоу, основной менеджер по маркетингу ответов в NetIQ.«Это говорит мне, что AT&T, как много огромных корпораций с расширенными инфраструктурами, приложив все возможные усилия пробует осознать, у кого имеется доступ к тому, какие конкретно уязвимые эти, в особенности в то время, когда третьи лица вовлечены», сообщил Брэдшоу.
С технологической точки зрения существуют продукты и инструменты, каковые смогут оказать помощь организациям, громадным либо мелким, чтобы получить схватывание на управлении доступом.управление и Идентификационные данные доступом (IAM), инструменты и шифрование токенизации являются все тёплыми прямо на данный момент, растолковал Грилиш. «Разрешение разрешённых быть в ясном, в как возможно меньшем количестве мест, в дополнение к обеспечению, что лишь у верных людей возможно доступ к нему, кроме того в новых облачных ответах, каковые принимают эти компании, находится на верхней части программ большинства директоров по ИТ-безопасности», сообщил он.
Ограничение рисков инсайдерских нарушенийAT&T и другие компании, выясняющиеся перед проблемой блокирования вниз доступа, смогут предпринять шаги для ограничения рисков инсайдерских нарушений.
Мысль иметь в распоряжении технические управления есть главной самая успешной практикой и предупредительным шагом, что должен быть предпринят.«Это – прошлая мысль думать, что политики чертежной бумаги по тому, какие конкретно сотрудники смогут и не смогут сделать, в любом случае нужны для чего-либо не считая наличия юридических оснований, дабы стрелять либо принять меры против сотрудника», сообщил Мэйффрет. «Для предотвращения компании должны стремиться отобразить эти бизнес-правила на технические управления».Брэдшоу повторил то чувство и сказал, что принципиально важно светло идентифицировать, где чувствительная информация о клиентах находится, и после этого поместите меры защиты около этого эти.
«Политики смогут быть установлены, каковые светло идентифицируют, есть ли деятельность несанкционированной либо аварийной, и контроль реализованного, дабы обеспечивать, что эти политики придерживаются к», сообщил Брэдшоу.Шон Майкл Кернер есть главным редактором eWEEK и InternetNews.com.
Следуйте за ним в Твиттере @TechJournalist.