Что такое sensitive данные

Чувствительная информация

Смотреть что такое «Чувствительная информация» в других словарях:

ИНФОРМАЦИЯ, ЧУВСТВИТЕЛЬНАЯ К ЦЕНАМ — (prices sensitive information) Информация о компании, которая может повлиять на курс ее акций. Эта информация содержит данные о доходах, занятости, товарообороте, инновациях, найденных месторождениях полезных ископаемых, изменениях в высшем… … Экономический словарь

Кора Чувствительная (Sensory Cortex) — область коры головного мозга, в которую поступает информация по сенсорным нервным путям от всех частей тела. Различные области коры головного мозга воспринимают информацию от различных участков тела человека и отвечают за возникновение у него… … Медицинские термины

КОРА ЧУВСТВИТЕЛЬНАЯ — (sensory cortex) область коры головного мозга, в которую поступает информация по сенсорным нервным путям от всех частей тела. Различные области коры головного мозга воспринимают информацию от различных участков тела человека и отвечают за… … Толковый словарь по медицине

Классификация секретной информации в США — Пример секретного документа правительства США стр. 13 доклада АНБ США об инциденте с USS Liberty, произошедшем 8 июня 1967, частично рассекреченого и обнародованного в июле 2003 го … Википедия

Косметика — Косметичка и косметические принадлежности Косметика (греч. κοςμητική «имеющий силу приводить в порядок» ил … Википедия

Классификация секретной информации во Франции — Во Франции секретной является информация оборонного значения, которая по степени секретности подразделяется на 3 уровня (по мере возрастания): Confidentiel Défense («Конфиденциальная оборонная»): информация, разглашение которой считается… … Википедия

Клетка — элементарная живая система, способная к самостоятельному существованию, самовоспроизведению и развитию; основа строения и жизнедеятельности всех животных и растений. К. существуют и как самостоятельные организмы (см. Простейшие), и в… … Большая советская энциклопедия

ТЕЛЕФОН — электронное устройство, преобразующее звуки человеческой речи в электрические сигналы и наоборот. Такие сигналы передаются через коммутационные устройства по воздушным, кабельным и радиорелейным линиям связи между абонентскими телефонными… … Энциклопедия Кольера

Джоплин, Дженис — В Википедии есть статьи о других людях с такой фамилией, см. Джоплин. Дженис Джоплин Janis Joplin … Википедия

Иванович, Ана — В Википедии есть статьи о других людях с такой фамилией, см. Иванович. Ана Иванович … Википедия

Источник

sensitive data

1 sensitive data

уязвимые данные
—
[Л.Г.Суменко. Англо-русский словарь по информационным технологиям. М.: ГП ЦНИИС, 2003.]

Тематики

2 sensitive data

schematic data — данные о схеме; данные в схематическом виде

pooled data — совокупность данных; данные объединенные в пул

3 sensitive data

4 sensitive data

5 sensitive data

6 sensitive data

7 sensitive data

8 sensitive data

9 sensitive data

10 sensitive authentication data

11 уязвимые данные

См. также в других словарях:

Data-flow analysis — is a technique for gathering information about the possible set of values calculated at various points in a computer program. A program s control flow graph (CFG) is used to determine those parts of a program to which a particular value assigned… … Wikipedia

Data masking — is the process of obscuring (masking) specific data elements within data stores. It ensures that sensitive data is replaced with realistic but not real data. The goal is that sensitive customer information is not available outside of the… … Wikipedia

Data loss prevention products — Data Loss Prevention (DLP) is a computer security term referring to systems designed to detect and prevent the unauthorized transmission of information from the computer systems of an organization to outsiders. It is also referred to by various… … Wikipedia

Data remanence — is the residual representation of data that remains even after attempts have been made to remove or erase the data. This residue may result from data being left intact by a nominal file deletion operation, by reformatting of storage media that… … Wikipedia

Data security — is the means of ensuring that data is kept safe from corruption and that access to it is suitably controlled. Thus data security helps to ensure privacy. It also helps in protecting personal data. Data security is part of the larger practice of… … Wikipedia

Data loss prevention software — Data Loss Prevention (DLP) is a computer security term referring to systems that identify, monitor, and protect data in use (e.g. endpoint actions), data in motion (e.g. network actions), and data at rest (e.g. data storage) through deep content… … Wikipedia

Data loss — is an error condition in information systems in which information is destroyed by failures or neglect in storage, transmission, or processing. Information systems implement backup and disaster recovery equipment and processes to prevent data loss … Wikipedia

Data erasure — (also called data clearing or data wiping) is a software based method of overwriting data that completely destroys all electronic data residing on a hard disk drive or other digital media. Permanent data erasure goes beyond basic file deletion… … Wikipedia

Data mapping — Data transformation/Source transformation Concepts metadata · data mapping data transformation · model transf … Wikipedia

Data governance — is an emerging discipline with an evolving definition. The discipline embodies a convergence of data quality, data management, data policies, business process management, and risk management surrounding the handling of data in an organization.… … Wikipedia

Источник

Русские Блоги

Чувствительные данные исследования управления данными

Разработка фон

По разным причинам существует много конфиденциальных данных в реальной производственной среде, и существует много конфиденциальных данных без шифрования. Аналогично, не существует шифрования после того, как данные Business Biblic Bibly синхронизируются на склад «Улья», поэтому есть проблемы безопасности данных, но есть проблемы безопасности Из-за участия есть слишком много библиотек и столов. Очевидно, не практично использовать искусственное расследование, поэтому срочно развивать такой набор процедур для расследования.

2. Цели развития

Возможность найти поля, которые могут содержать конфиденциальную информацию в каждой таблице и хранилище в MySQL (конфиденциальная информация включает в себя идентификационные карты, номера мобильных телефонов, почтовые ящики, номера банковских карт и т. Д.), И сообщите соответствующему человеку, отвечающему за ответственное лицо Уход. Если лицо, отвечающее, подтверждает, что поле не является чувствительным полем, не нужно шифровать, вам нужно добавить поле таблицы в белый список. Он будет автоматически игнорироваться при сканировании в следующий раз.

3. Используйте технологии

Первое издание: Java Hive Mysql

Улучшенная версия: Sparksql SparkCore Hive Mysql Datax Python

анализировать

20 данных случайным образом извлекаются в каждой таблице, и каждое поле этих данных совпадает с соответствующими регулярными, если все данные поля соответствуют регулярному, вместо конфиденциальных данных не включены, то не делайте никакой обработки, если некоторые при Соответствует совпадение, результат_flag установлен на 5, когда сохраняется база данных MySQL. Если все совпадения, он будет установлен на 10.

Источник

Что такое данные, чувствительные к расстоянию, чем они отличаются от других данных? любые примеры будут полезны

Я читал об алгоритме классификации KNN и наткнулся на один термин «Дистанционно-чувствительные данные». Мне не удалось найти, что такое данные, чувствительные к расстоянию, каковы их классификации, как определить, являются ли наши данные чувствительными к расстоянию или нет?

Теперь, если Икс_i и Икс_j содержат только одну функцию, рост человека в метрах, мы в порядке, поскольку других «конкурирующих» функций нет. Предположим, что теперь мы добавляем годовую зарплату в тысячах. Следовательно, мы смотрим на расстояния между векторами вроде (1.7, 50000) и (1.8, 100000).

Затем, в случае евклидова расстояния, очевидно, что характеристика заработной платы преобладает над высотой, и это почти похоже на то, что мы используем только функцию заработной платы. То есть,

|| Икс_i—Икс_j || ₂ ≈ | 50000-100000 |.

Однако, если эти две функции действительно имеют одинаковое значение, значит, мы делаем плохую работу. Еще хуже, если зарплата на самом деле не имеет значения, и мы должны использовать только рост. Интересно, что при слабых условиях наш классификатор по-прежнему обладает хорошими свойствами, такими как универсальная согласованность, даже в таких плохих ситуациях. Проблема в том, что в конечных выборках производительность нашего классификатора очень плохая, так что сходимость очень медленная.

Итак, чтобы справиться с этим, можно рассмотреть разные расстояния, чтобы что-то сделать с масштабом. Обычно люди стандартизируют (устанавливают среднее значение на ноль и дисперсию на 1) каждую функцию, но это тоже не полное решение. Есть разные предложения, что можно было бы сделать (см., Например, здесь).

С другой стороны, алгоритмы, основанные на деревьях решений, от этого не страдают. В таких случаях мы просто ищем точку, в которой нужно разделить переменную. Например, если salary принимает значения в [0,100000], а разделение составляет 40000, тогда Salary / 10 будет разрезано на 4000, чтобы результаты не изменились.

Спасибо за такое хорошее объяснение. У меня есть некоторые сомнения: 1. Значит, с помощью StandardScaler эта проблема может быть решена. Верно?

@AmandeepSingh, это может помочь, но не обязательно решит проблему полностью. Предположим, что у нас есть две стандартизованные функции x1 и x2. Предположим далее, что мы имеем дело с проблемой регрессии, а истинная модель линейна и задается формулой y = 50×1 + x2 + u. Следовательно, даже когда масштаб x1 и x2 одинаков, x1 в 50 раз «важнее». Однако, глядя на евклидово расстояние между (x1, x2), мы будем относиться к ним одинаково, и производительность пострадает.

Итак, если взять приведенный выше пример реальной модели, что будет правильным подходом?

Источник

Байки из склепа. Рассказываем, как не стоит обращаться с чувствительными данными

Предлагаем снова поговорить о безопасности данных в веб-приложениях. Пользовательские данные — это драгоценный ресурс, утрата которого сулит целый ряд последствий с варьирующейся степенью серьезности. Но в очередной раз читать про пароли или рассматривать классические фишинг-примеры большинству пользователей будет скучно — этой информации в сети предостаточно. Поэтому сегодня мы расскажем вам несколько нетипичных историй, с которыми пришлось столкнуться нашим экспертам.

Немного теории

Начнем конечно с определения того, какие данные считать конфиденциальными. OWASP причисляет к ним пароли, номера кредитных карт, медицинские записи, личную информацию и бизнес-секреты. Помимо этого, за списком чувствительных данных следует обращаться к законам и отраслевым постановлениям тех регионов, откуда к вам могут прийти пользователи. Если речь о России, нужно заглянуть в Федеральный закон РФ № 152-ФЗ «О персональных данных», а в случае европейских пользователей, например, в Общий регламент ЕС по защите данных (GDPR) или в закон Великобритании о защите данных (DPA), которые регулируют использование персональных данных.

В любом случае, идем, изучаем требования и понимаем, какие данные пользователей мы обязаны содержать в целости и сохранности. Кстати, помимо этого есть еще и бизнес-требования. Закон может не требовать от вас применять строгие меры в отношении конфиденциальных данных, которые приложение создает или хранит для своих пользователей, но нарушение сохранности этих данных все равно нанесет вред вашим пользователям и, соответственно, вашей репутации.

В качестве конфиденциальных данных, хранящихся в приложениях, можно рассматривать следующее:

Время удивительных историй

Давайте обсудим некоторые из наиболее распространенных уязвимостей, которые в нетривиальном виде наши специалисты встретили на практике. Суть уязвимостей не меняется, это все тот же список OWASP, но рассказ о таких случаях поможет взглянуть на безопасность приложений под другим углом.

Ищем старые версии

Различных чек-листов по безопасности веб-приложений в сети вагон и маленькая тележка. Но, как показывает практика, за всем уследить нереально. Особенно когда речь заходит об использовании старых версий компонентов в большом проекте. Так, однажды на сервисе, использующем подменные номера телефонов, было найдено старое семейство API, где номер еще не скрывался. Подменные номера — хорошая услуга, позволяющая скрыть реальный номер продавца с доски объявления. Однако, если внимательно изучить отправляемые запросы, найти документацию (или самим угадать нужные методы), то можно было сформировать запросы к старому API и получить через него подлинные номера пользователей.

В другом случае старый API привел к конкретным денежным потерям. В ходе расследования серьезной проблемы безопасности выяснилось, что один и тот же уязвимый метод API использовали не только ценные клиенты, но и нехорошие люди, тайно выводящие средства со счетов. Руководству пришлось принять риски — доход значительно превышал убытки, и было принято решение повременить с заменой уязвимого API.

Вполне возможно, что к более старым версиям компонентов приложения не будут применяться все актуальные политики безопасности, поэтому так важен процесс своевременного внедрения обновлений.

Смотрим шире на процессы

Проблемы больших проектов на этом не заканчиваются. Часто можно встретить бреши в безопасности из-за банальной несогласованности процессов. Проиллюстрируем примером: на одном из сервисов в чате с техподдержкой пользователи могли отправить вместе с жалобой номер карты, привязанной к сервису. По требованиям службы безопасности этот номер требовалось скрывать от сотрудников техподдержки. При более детальном изучении выяснилось, что номера карт в чате и правда маскируются, но при этом в ответе от сервера был ряд скрытых полей, которые в чат не подставлялись, но в трафике были видны. Если какие-то данные должны быть скрыты, оповестите об этом и фронтенд, и бекенд.

Лишнего не болтаем

Аналогичная проблема несогласованности процессов была найдена в функциональности сброса забытого пароля. После ввода логина (в данном случае — адреса электронной почты) сайт уточнял, куда отправить пароль: на почту или на привязанный номер телефона. Если был выбран второй вариант, то на странице появлялось оповещение с наполовину скрытым номером телефона. А вот в HTTP-ответе от сервера номер отображался целиком. Так можно было собрать целый список из пар “почта-номер телефона”. Раскрытие-с.

Кстати, к разговору о функционале сброса пароля. Если при реализации функционала регистрации только единицы забывают использовать общее предложение “неправильный логин или пароль”, то при восстановлении пароля информацию о наличии того или иного логина в системе раскрывают гораздо чаще. Конкретные ответы от сервера, подтверждающие наличие записи в системе, позволяют составить список пользователей и порой успешно использовать его в дальнейших атаках (фишинг, password spraying и т.д.). Но не только явные сообщения раскрывают информацию, вывод можно сделать по таймингу (например, таким страдали старые версии OWA — веб-клиента для доступа к Microsoft Exchange) или телу ответа.

Не храним лишнее

Существует хорошая практика — хранить только то, что действительно необходимо. Так, на неком сайте каждый раз, когда система отправляла email пользователю (например, при регистрации, анонсе мероприятий и т.п.), все сообщения записывались в лог. Этот лог на сайте был доступен, внутри хранились непосредственно текст сообщений, фамилия и имя пользователей, а также их почта. Интересно, что многие утилиты для поиска директорий данный файл не находили. Так как его размер был огромен (несколько ГБ), утилиты просто не могли дождаться, пока он скачается, и пропускали его. Но, перепробовав несколько вариантов утилит, аудиторы в конце концов добились своего.

В данной истории, помимо того, что в лог записывались избыточные данные, так еще и доступ к ним никак не был ограничен. Это, как ни парадоксально, далеко не редкий случай. Здесь стоит снова вспомнить ряд громких случаев (например, раз, два, три), когда утекали довольно серьезные объемы данных с Elasticsearch серверов.

Ну, не будем о грустном. Просто не забывайте правильно использовать авторизацию там, где она необходима.

Дружим с логикой

И все же самой распространенной болячкой, позволяющей утекать пользовательским данным, являются небезопасные прямые ссылки на объекты (Insecure Direct Object Reference, IDOR). В подтверждение расскажем две неклассические истории.

Обычно IDOR подразумевает чтение информации по идентификатору, минуя авторизацию или проверку прав. Но есть случаи, когда заполучить чужие данные возможно, отправив запрос на создание записи с уже существующим в системе идентификатором. Часть старых данных по этому идентификатору перезапишется, но остальные данные теперь будут доступны новому пользователю (и станут недоступны предыдущему — сменится хозяин).

Изначально в доступе к чужим данным будет отказано, но плохая реализация, позволяющая пользователю влиять на идентификатор объекта, пробивает огромную дыру в безопасности данных. Все идентификаторы объектов должны генерироваться на стороне бекенда.

В другом случае IDOR был найден при просмотре транзакций. В HTTP-запросе передавались три параметра:

, где 2315486 – идентификатор пользователя,
2315488 – идентификатор карты,
40117812222030001111 – номер счета.

На первый взгляд, перебрать 3 значения (34 цифры) не представляется возможным за обозримое время. Но, как выяснилось впоследствии, номер счета (40117812222030001111) в запросе можно было опустить: запрос все равно оставался валидным, как и ответ. Соответственно, оставалось только два числа для подбора — идентификатор пользователя и идентификатор карты.

Далее оказалось, что первое значение (идентификатор пользователя) может быть любым, например 1111111, но обязательно такого же размера, как идентификатор карты (7-значное число). Соответственно, параметр GT из 34-значного числа превратился в 7-значное, а перебрать его не составляет труда (в системе также отсутствовало ограничение на количество запросов от пользователей). В итоге, чтобы получить информацию о транзакциях, достаточно было знать только идентификатор карты (или перебрать его значение).

Уязвимости IDOR в целом не редкое явление, но чаще всего они встречаются в веб-приложениях со сложной структурой. Как и другие логические уязвимости, их довольно сложно выявить с помощью сканеров кода.

Еще раз всё проверим

Завершим наш рассказ случаем в онлайн-магазине, где использовались веб-сокеты. При оформлении заказа в системе для него генерировался ID, и пользователь подписывался по этому ID на все обновления касательно заказа. Но, как выяснилось позже, существовала возможность отправить подобный запрос “на подписку” не с конкретным ID, а с символом подстановки “*” на его месте. В результате можно было заполучить информацию обо всех заказах пользователей (с ФИО, адресами, телефонами и прочей сопутствующей информацией).

Заключение

Мы уверены, что подобных, а порой и куда более зубодробительных историй в практике специалистов ИБ предостаточно, но не всегда получается ими поделиться с сообществом. Обычно такое можно услышать в приватной беседе за кружечкой чая. И все же, делиться подобными случаями (обезличенно, конечно) — крайне полезная практика как для сообщества, так и для разработчиков. Поиск уязвимостей — это своего рода искусство мыслить иначе. Давайте вдохновлять друг друга.

Источник