在過去的幾周和幾個月裡,許多大大小小的加密貨幣公司都成為營銷服務提供商數據洩露的受害者。 HubSpot最近遭受的數據洩露 是一個顯著的例子。
結果,來自受影響公司的數百萬潛在客戶的個人信息被洩露。在某些情況下,這還包括有關其帳戶的其他詳細信息。
受影響的客戶現在已被確定為特定服務的用戶,主要在加密貨幣和數字資產領域,使他們容易受到網絡釣魚攻擊、社會工程和其他類型的攻擊。
Ldn 沒有受到最近任何數據洩露的影響,包括最近的HubSpot 事件。
Anton Livaja 是Ledn 信息安全團隊的負責人。
這一結果是超越標準安全措施和根據我們獨特的行業風險定制公司實踐的結果。我們重視客戶的數據,就像我們對待客戶的資產一樣,並儘我們所能保護它。
與許多行業的其他公司一樣,Ledn 使用HubSpot 來管理我們的博客、電子郵件和登錄頁面。 HubSpot 是一個強大的工具,如果使用得當,它可以幫助企業以有效的方式與客戶溝通。使用自動化平台是提升營銷水平的好方法,但始終將安全放在首位很重要。幸運的是,在與HubSpot 等平台交互時,公司可以通過多種方式將風險降至最低。
在這篇文章中,我們分解了最近的HubSpot 事件,並強調了導致Ledn 的客戶數據受到保護所採取的步驟。通過利用這些方法,其他公司或實體可以添加額外的層來保護他們的客戶數據免受這些類型的向量的影響。
我們希望通過公開展示我們的行動和經驗,我們可以幫助其他人避免未來發生類似事件並增強他們的安全態勢。
讓我們從頭開始。
發生了什麼?
HubSpot 遭受了數據洩露,因為他們的一名員工遭到入侵。這使得攻擊者可以使用受感染的HubSpot 賬戶訪問多個客戶賬戶,特別是針對加密貨幣公司。
關於員工賬戶如何被盜的細節,以及為什麼沒有額外的控制措施來緩解這種情況,目前尚不清楚。這是一系列以加密為重點的數據洩露事件中的又一次攻擊,其中包括 2020年經歷的Ledger,這也是由於HubSpot 違規所致。
可以找到HubSpot 的公共事件報告 這裡.
來自報告:
“為什麼HubSpot 員工可以訪問HubSpot 客戶數據?
“一些員工可以訪問HubSpot 帳戶。 這使客戶經理和支持專家等員工能夠協助客戶。 在這種情況下,不法分子能夠入侵員工賬戶,並利用這種訪問權限從少數HubSpot 賬戶中導出聯繫人數據。”
Ledn 是如何保護自己的?
Ledn 沒有受到HubSpot 漏洞影響的主要原因是我們對保護客戶數據的痴迷,進而限制了我們供應商對數據的訪問。
當我們決定使用外部供應商時,我們的一個重要考慮因素是我們是否有能力禁止供應商的員工訪問我們的數據。對於HubSpot,我們始終禁用員工訪問,並在必要時在HubSpot 員工提供支持所需的時間範圍內啟用它,然後立即禁用它——這只是應用 最小特權原則.
在Ledn,我們假設在使用第三方供應商時,我們承擔了無法完全量化的風險,因此,必須採取額外的預防措施。
人們傾向於對大公司有更大程度的信任,因為他們可能在安全方面投入了大量資金。但是,雖然我們可以信任,但我們也需要驗證; 在我們無法驗證的地方,我們必須應用所有可用的方法來減少攻擊面。
限制平台員工對我們數據的訪問是我們在此功能可用時使用的一種做法,也是我們在評估第三方供應商期間尋找的東西。許多公司提供此功能,當他們不提供此功能時,我們經常要求供應商添加此功能,因為實施起來通常相對較低,並且可以改善雙方的安全狀況。
限制第三方供應商訪問最終用戶數據是零信任環境中的最佳實踐。
歸根結底,內部威脅是所有公司的重要考慮因素,應重點消除單點故障,這樣即使有人受到威脅,也無法造成損害。構建到您公司的威脅模型中的有用假設是,在任何公司,任何時候,每個團隊中至少有一個人被脅迫或受到威脅,所有機器總是受到威脅,並且您的對手資金充足且有耐心。
公司在使用第三方服務提供商時還能如何保護客戶數據?
始終確保您隻共享絕對需要與第三方供應商共享的數據。應仔細考慮與第三方共享個人信息,並且通常僅在絕對必要時進行。
一個例子是由於監管要求而不得不共享數據。如果您決定與第三方供應商共享數據,請將其限制為平台正常運行所嚴格要求的數據子集。
當需要第三方供應商時,應使用“第一原則”方法進行盡職調查。這意味著仔細評估風險,考慮供應商將與之交互的數據類型並確定他們將如何保護它。
如果供應商的安全措施未能保護所需的數據,您應該考慮尋找其他供應商,或使用替代選項,例如內部構建,就像我們在Ledn 經常做的那樣。
重要的是要有一種強大的文化,不斷提醒員工 影子IT,使用未經IT 和信息安全部門審查和批准的技術的做法是一種危險的做法,會嚴重影響組織的整體安全狀況。所有團隊都應該很好地理解,IT 和信息安全必須有助於選擇新工具和組織服務。
此外,平台通常會提供增加額外安全層的功能,因此詢問可用的功能很有用。為了降低第三方供應商以及內部的風險,這裡有一些關於尋找和詢問什麼以及實施控制的建議:
- 直接禁用/限制供應商的員工訪問數據。
- 詢問第三方供應商在限制對客戶數據的訪問方面他們有什麼樣的內部控制。要尋找的東西是:
- 使用硬件令牌(例如Yubikey、Titan 安全密鑰或其他智能卡設備或個人硬件安全模塊或HSM 設備)。
- 使用授權 快速在線身份驗證或FIDO 身份驗證協議.
- 雙重控製或n-of-m 身份驗證,以防止個人擁有敏感的特權訪問。
- 他們的訪問恢復過程是什麼樣的; 如果不夠嚴格,可以用來繞過他們的身份驗證機制。
- 他們是否有“生產工程”實踐,訪問關鍵基礎設施的工程師使用具有有限網絡訪問權限的強化機器來完成任何需要與生產系統交互的任務。
- 基於證書的身份驗證:使用加密證書將資產的訪問權限限制為僅持有證書的人。您可以將其視為一個特殊文件,僅將訪問權限綁定到持有合法證書的設備。建議對關鍵服務使用基於證書的身份驗證,例如單點登錄(SSO) 提供商或使用相互傳輸層安全性來控制對重要服務的訪問 (mTLS)。您可以了解有關基於證書的身份驗證的更多信息 這裡.
- IP 安全列表:服務經常提供限制對特定IP 地址的訪問的能力。要利用這一點,您需要一個靜態IP:為一組用戶實現此目的的一種方法是使用虛擬專用網絡VPN。
- 使用您自己的密鑰進行加密。人們通常可以使用自己的密鑰來加密存儲在第三方供應商處的數據。這是一個額外的保證,有助於在它們被洩露的情況下降低風險,因為用於解密數據的密鑰與您一起存儲- 在他們的系統之外- 您可以在以下情況下撤銷對它們的訪問權限一件緊急狀況。
- 他們為其服務的用戶支持的多因素身份驗證(MFA) 類型; 基於非對稱加密的身份驗證是我們目前可用的最好的。這類似於將硬件錢包用於加密貨幣。 WebAuthn/Universal 2nd Factor 是首選; Yubikey 和Titan 安全密鑰是一些支持FIDO 系列身份驗證協議的流行設備。如果您還沒有使用這項技術並且關心安全性,我們強烈建議您購買一項。 Ledn 將在不久的將來推出對此類MFA 的支持。
- 單點登錄支持:SSO 技術允許從一個集中點對多個服務實施控制。請務必小心並正確配置SSO,否則可能會導致大單點故障。如前所述,建議使用基於證書的身份驗證作為對SSO 的門控訪問的附加層,最好是在mTLS 設置中。
- 密碼管理:使用密碼管理器是基本的安全最佳實踐。這個想法是使用一個強大的主密碼(長度至少為16 個字符),並且存儲在密碼管理器中的所有密碼都應該非常長且複雜(42 個字符或更多,並且使用通常可用的內置密碼管理器生成) . 經驗法則是:“如果你記住了所有密碼,那你就錯了。”
在最近的HubSpot 事件中,服務提供商洩露了我的個人數據。我能做些什麼?
可以採取幾個步驟來降低攻擊風險:
- 確保您對每個能夠處理金融交易的帳戶進行雙重身份驗證。在SMS 上使用安全令牌(如Yubikey)或基於身份驗證器的2FA(也稱為TOTP)作為2FA 方法是一種很好的做法。既然你已經做到了這一步,這裡有一個小預告:Ledn 將在本季度發布WebAuthn 支持。
- 其次,在每個允許它的服務上激活平台電子郵件的反網絡釣魚短語。您可以了解有關反網絡釣魚短語的更多信息 這裡. 使用難以猜測的東西。攻擊者通常會在他們的目標上建立檔案,以找出他們喜歡或通過社交媒體談論的事情,從而使他們能夠對目標進行更有效和更複雜的攻擊。
- 在能夠處理金融交易的每項服務上激活安全列表。這會將您賬戶的提款限制在之前指定的地址。此功能的正確實施將包括在添加無法發送地址的地址後的“冷卻”期,通常為24-48 小時,這使您有更多時間做出反應。
- 請與您的服務提供商聯繫,以確保他們現在已限制第三方供應商訪問客戶數據,除非在絕對必要的時間窗口內。
- 額外的建議是為您使用的每個加密貨幣平台使用唯一的電子郵件,因為這使得在不同平台上定位您變得更加困難,以防萬一受到損害。將您的用戶名/電子郵件視為敏感服務的密碼。
- 聽 暗網日記第112 集. 它將讓您深入了解加密貨幣行業的對手是如何思考的。如果您想要TL;DR,請從45 分鐘開始。
- 此外,您可以使用這個優秀的資源,其中包含有關如何改善安全和隱私狀況的不同方面的廣泛建議列表: https://github.com/Lissy93/personal-security-checklist
這是Anton Livaja 的客座帖子。所表達的意見完全是他們自己的,不一定反映BTC Inc. 或 比特幣雜誌.