Jak znaleźć numery kart kredytowych i inne poufne dane na komputerach użytkowników

Jak znaleźć numery kart kredytowych i inne poufne dane na komputerach użytkowników
Category: Ważne Jest
16 października 2020

Jeśli martwisz się, że ważne i poufne dane, takie jak numery kart kredytowych, czają się na dyskach twardych użytkowników, przeczytaj dalej, aby dowiedzieć się, jak wyszukiwać i gromadzić te informacje.

Nie ma wątpliwości, że każdy menedżer ds. Bezpieczeństwa, który ucierpiał w wyniku incydentu związanego z zagubieniem laptopa, wie, jaki aspekt próby powoduje rzeczywiste szkody w organizacji . Kiedy laptop znika, to nie utrata aktywów o wartości 2000 USD powoduje zgagę; to strach, niepewność i wątpliwości wynikające z braku wiedzy, czy na zaginionym urządzeniu zostały zapisane poufne informacje.

Na szczęście specjaliści ds. Bezpieczeństwa mogą skorzystać z szeregu narzędzi do wykrywania poufnych informacji, aby zidentyfikować i usunąć poufne informacje przechowywane na urządzeniach końcowych.

Algorytmy wykrywania wrażliwych informacji

Zanim zagłębimy się w dostępne narzędzia wspomagające wyszukiwanie, ważne jest, aby mieć podstawową wiedzę na temat algorytmów używanych do wykrywania poufnych liczb. Tylko zrozumienie, jak działają te algorytmy, pozwala ocenić skuteczność poszczególnych narzędzi skanujących. W szczególności przyjrzymy się dwóm rodzajom poufnych numerów, które są powszechnie wyszukiwane przez narzędzia do wykrywania poufnych danych: numery kart kredytowych i numery ubezpieczenia społecznego.

Numery kart kredytowych wydawane przez głównych dostawców są zgodne ze standardowym formatem, który ułatwia ich wykrycie za pomocą wyrażeń regularnych. Zasady dotyczące ważnych numerów obejmują:

  • Numery wiz mają 13 lub 16 cyfr i zawsze zaczynają się od 4.
  • Numery MasterCard mają 16 cyfr i zawsze zaczynają się od 5, po których następuje cyfra z przedziału 1-5.
  • Numery American Express mają piętnaście cyfr zaczynających się od 34 lub 37.
  • Numery kart Discover mają 16 cyfr zaczynających się od 6011, 622, 644-649 lub 65.

Te wskazówki są doskonałym punktem wyjścia do wykluczenia wielu fałszywych alarmów, ponieważ można je łatwo dostosować do wyrażenia regularnego. Na przykład następujące wyrażenie regularne można podłączyć do narzędzia wyszukiwania, aby znaleźć potencjalne numery kart Visa, nawet jeśli między grupami czterech cyfr znajdują się spacje:


Istnieje również algorytm walidacji wbudowany w numery kart kredytowych, który zapewnia jeszcze większą pewność dopasowania. Algorytm Luhna sprawdza, czy numer karty przechodzi test „cyfry kontrolnej”, co umożliwia wykrycie błędów poprzez identyfikację wzorców liczb, o których wiadomo, że są nieprawidłowe. Algorytm działa poprzez zsumowanie wszystkich cyfr numeru karty, a następnie wykonanie operacji mod 10 na sumie. Dla tych, którzy zapominają o matematyce w szkole średniej, aby wykonać operację mod 10 , po prostu podziel liczbę przez 10. Wynik stanowi reszta całkowita. Na przykład zweryfikujmy następujący numer karty kredytowej:


Dodaj razem pierwsze 15 cyfr, co daje sumę 55. Podziel to przez 10, a otrzymasz „5 pozostałych 5”. Innymi słowy, reszta (5) odpowiada ostatniej cyfrze numeru karty (również 5), więc wiesz, że jest ona potencjalnie ważna. Algorytm ten oczywiście nie potwierdza, że ​​numer odpowiada aktywnemu kontu, ale zapewnia dodatkowe zaufanie do Twojego dopasowania.

Z drugiej strony numery ubezpieczenia społecznego nie są tak łatwe do dopasowania, ponieważ nie ma odpowiednika algorytmu Luhna do weryfikacji ich ważności. Możesz szukać wzorów dziewięciocyfrowych liczb otoczonych białą przestrzenią i skorzystać z kilku wskazówek, które pomogą w wyszukiwaniu:

  • Numery SSN są często (ale nie zawsze) zapisywane łącznikami między cyframi w postaci xxx-xx-xxxx. Jeśli chcesz zaakceptować ryzyko pominięcia niesformatowanych liczb, możesz ograniczyć wyszukiwanie do liczb dzielonych według tego wzorca, aby radykalnie zmniejszyć liczbę fałszywych trafień.
  • Numery SSN nigdy nie będą miały wszystkich zer w grupie cyfr (tj. 000-xx-xxxx, xxx-00-xxxx lub xxx-xx-0000).
  • Numer SSN nigdy nie będzie zaczynał się od 666, 732-749 ani żadnej liczby wyższej niż 772.
  • Biorąc pod uwagę pierwsze trzy cyfry numeru SSN, możesz określić najwyższe możliwe wartości dla następnych dwóch cyfr, sprawdzając listę wysokich numerów grupowych Social Security Administration.

Narzędzia programowe wspomagające wyszukiwanie

Jeśli nie szukasz przygody, nie musisz pisać własnego kodu, aby zaimplementować te wyszukiwania. Dostępnych jest wiele produktów typu open source i komercyjnych, które pomagają w wykrywaniu poufnych danych w systemach przedsiębiorstwa. Oto kilka przykładów:

  • Pająk Uniwersytetu Cornella
  • University of Texas at San Antonio’s Sensitive Number Finder
  • Wyszukiwarka tożsamości

Narzędzia te wykorzystują algorytmy opisane powyżej i pozwalają majstrować przy ustawieniach, takich jak ograniczenie wyszukiwania do sformatowanych liczb, liczb w poszczególnych typach plików i innych parametrów.

Zarządzanie poufnymi informacjami i danymi

Po podjęciu decyzji o strategii wyszukiwania w celu znalezienia potencjalnie wrażliwych informacji, następnym krokiem jest podjęcie decyzji w sprawie strategii zarządzania górami danych wynikowych.

Istnieją dwa podstawowe podejścia do tego problemu: scentralizowany przegląd lub zdecentralizowana władza. W podejściu scentralizowanym narzędzia raportują wszystkie wyniki do centralnego administratora, który jest odpowiedzialny za weryfikację i eliminację podejrzanych danych. Jest to niezwykle czasochłonny proces i obciąża cenne zasoby IT. Zapewnia jednak spójność interpretacji reguł i dokładny przegląd wyników.

W podejściu zdecentralizowanym użytkownicy końcowi otrzymują odpowiedzialność (i odpowiedzialność) za przeglądanie wyników. To rozkłada obciążenie pracą na całą siłę roboczą i zapewnia dodatkową korzyść polegającą na tym, że przegląd przeprowadza personel posiadający wiedzę kontekstową. Na przykład pracownik, który wie, że arkusz kalkulacyjny programu Excel zawiera informacje o zamówieniach części, może być w stanie natychmiast zignorować raporty o numerach SSN w tym dokumencie, podczas gdy scentralizowany recenzent może nie znać różnicy między tym plikiem a jakimkolwiek innym plikiem.

Wady tego podejścia są oczywiste: o wiele trudniej jest skłonić wszystkie osoby w organizacji do przeszukania ich systemów, niż mieć scentralizowany personel wykonujący wyszukiwania jako podstawowy obowiązek. Jeśli wybierzesz podejście zdecentralizowane, prawdopodobnie będziesz chciał opracować mechanizm raportowania, który umożliwi poszczególnym pracownikom przedstawianie raportów z postępów, umożliwiając wyśledzenie tych, którzy ignorują Twoje żądania. Będziesz także chciał przeprowadzić szczegółowe szkolenie, na przykład z wykorzystaniem filmów wideo lub szczegółowej dokumentacji, przeprowadzając użytkowników przez proces skanowania. Na koniec musisz udostępnić pomoc techniczną użytkownikom, którzy mają trudności z wykonywaniem lub interpretacją skanów.

Skanowanie systemów w poszukiwaniu wrażliwych danych to złożony problem, ale na szczęście dostępnych jest wiele narzędzi i technik wspomagających ten proces. Minimalizacja, czyli wyszukiwanie i usuwanie poufnych informacji na punktach końcowych, to potężna strategia w arsenale administratorów bezpieczeństwa, którzy chcą zmniejszyć ryzyko przedsiębiorstwa.