2016 5 legrosszabb csapása és megsértése, és mit jelentenek 2017-re

2016 volt a biztonság szempontjából nem nagy év, legalábbis a nagy horderejű jogsértéseket, feltöréseket és az adatok szivárgását illetően. Az év újabb mosodai listát jelentett a nagyvállalatok, szervezetek és webhelyek számára, amelyek elosztott szolgáltatásmegtagadási (DDoS) támadásokkal, hatalmas gyorsítótárakkal és ügyfelek adataival és jelszavaival támadták meg a fekete piacon, hogy a legkeresettebb eladásra kerüljenek. a malware és ransomware behatolások módja.

A vállalkozások rengeteg dolgot tehetnek ezen kockázatok enyhítésére. Természetesen befektethet egy végpontbiztonsági megoldásba, de fontos az adatbiztonsági bevált gyakorlatok követése, valamint a rendelkezésre álló biztonsági keretek és erőforrások felhasználása is.

Ennek ellenére 2016-ban a LinkedIn, a Yahoo, a Demokrata Nemzeti Bizottság (DNC) és a Belső Bevételi Szolgálat (IRS) a kataklizmikus támadások és a jogsértések nyomán a reflektorfénybe került. Beszéltünk Morey Haber-rel, a biztonsági rés és az identitáskezelő szolgáltató, a BeyondTrust technológiai alelnökével arról, hogy a vállalat mit tart az év öt legrosszabb csapdájának - és a kritikus tanulságokat, amelyeket a vállalkozások mindegyiktől megtanulhatnak.

1. Yahoo

A bukott internetes óriásnak történetileg rossz biztonsági éve volt, hogy kiegészítse a megereszkedő pénzügyi kimutatásokat, és a győzelem szorongói közül vereséget vet fel, miután egy sor magas szintű jogsértés-nyilvánosságra hozatal és az ügyfelek adatainak kiszivárgása hagyta a Verizonot arra, hogy megtaláljon utat a 4, 8 milliárd dolláros beszerzéséből. Haber szerint a Yahoo megsértése három értékes tanulságokat taníthat a vállalkozások számára:

• Bízzon a biztonsági csapatokban, és ne szigetelje el őket.
• Ne tegye az összes koronaékszerét egyetlen adatbázisba.
• A szabálysértések megfelelő nyilvánosságra hozatalához kövesse a törvényeket és az etikát.

"Ez az első alkalom, amikor egy nagyvállalatot eladásra készen egy év alatt kétszer mártogatják el, és egy cégnél valaha is a legnagyobb jogsértés címet viseli" - mondta Haber. "Ami még ennél is lenyűgözőbbé válik, mivel a 2016-os legsúlyosabb jogsértés az, hogy a jogsértés három évvel a nyilvánosságra hozatal előtt történt, és a második jogsértést csak az első jogsértés kriminalisztikája miatt fedezték fel. Összesen több mint egymilliárd számlát veszélyeztettek, és az összes cégek arról, hogyan lehet nem kezelni a legjobb biztonsági gyakorlatokat az üzleti vállalkozásán belül."

2. Demokrata Nemzeti Bizottság

A választási szezon leghírhedtebb biztonsági megsértéseinél a Demokratikus Nemzeti Bizottságot (DNC) több alkalommal támadták meg, aminek eredményeként a tisztviselők (köztük a DNC elnöke Debbie Wasserman Schultz és a Clinton kampánymenedzser John Podesta) e-maileket szivárogtak át a WikiLeaksen. Az amerikai tisztviselők által az orosz kormányhoz vezethető csapásokban Haber rámutatott a Szövetségi Vizsgáló Iroda (FBI), a Belbiztonsági Minisztérium (DHS) és a Nemzeti Szabványügyi és Technológiai Intézet (NIST) iránymutatásaira és ajánlásaira, amelyek csökkenthette volna a DNC biztonsági réseit:

• A kiváltságokra, a sebezhetőség értékelésére, a javításra és a tolltesztre vonatkozó iránymutatások léteznek olyan létrehozott keretekben, mint például a NIST 800-53v4.
• Az ügynökségeknek jobban kell elvégezniük a létrehozott keretek (például a NIST kiberbiztonsági keretrendszer) végrehajtását és sikereik mérését.

"Az FBI és a DHS kiadott egy dokumentumot, amely felvázolja, hogy két előrehaladott perzisztens fenyegetés miként használta a lándzsás adathalászatot és a rosszindulatú programokat az USA politikai rendszerbe való beszivárgáshoz és rejtett műveletek biztosításához az amerikai választási folyamat megzavarására" - mondta Haber. "A vád egyértelműen egy nemzetállami támadásra irányul, és azt javasolja, hogy az összes kormánynak és politikai ügynökségnek tegyen lépéseket az ilyen típusú behatolások megakadályozására. A probléma az, hogy ezek az ajánlások semmi új, és alapját képezik a már kidolgozott biztonsági iránymutatásoknak. NIST.”

3. Mirai

2016 volt az az év, amikor végre tanúi lehettünk annak a kiberatámadásnak a mértékére, amelyre egy globális botnet képes. Több millió nem biztonságos tárgyak internete (IoT) eszközt söpörték be a Mirai botnetbe, és felhasználták a Dyn domain névrendszer-szolgáltató (DNS) szolgáltatójának DDoS támadással történő erőteljes terhelésére. A támadás kihúzta az Etsyt, a GitHubot, a Netflixet, a Shopify-t, a SoundCloudot, a Spotify-t, a Twitter-t és egy csomó más nagyobb weboldalt. Haber négy egyértelmű biztonsági tanulságra mutatott rá, amelyeket a vállalkozások vehetnek az eseményből:

• Azokat az eszközöket, amelyek szoftverét, jelszavát vagy firmware-ét nem lehet frissíteni, soha nem szabad megvalósítani.
• Az alapértelmezett felhasználónév és jelszó megváltoztatása javasolt bármilyen eszköz telepítéséhez az interneten.
• Az IoT-eszközök jelszavainak eszközönként egyedinek kell lenniük, különösen akkor, ha kapcsolódnak az internethez.
• A biztonsági rések kiküszöbölése érdekében mindig javítsa az IoT eszközöket a legújabb szoftverrel és firmware-vel.

"A tárgyak internete szó szerint átvette otthoni és vállalati hálózatunkat" - mondta Haber. "A Mirai rosszindulatú program forráskódjának nyilvános kiadásával a támadók létrehoztak egy alapértelmezett jelszavakat és a nem feltárt biztonsági réseket tartalmazó bot-hálózatot, hogy olyan kifinomult világméretű bothálózatot hozzanak létre, amely hatalmas DDoS támadásokat okozhat. 2016-ban többször sikeresen használták fel az internet megszakításához az Egyesült Államokban. a DDoS-n keresztül a Dyn által a francia telekommunikációnak és az orosz bankoknak nyújtott DNS-szolgáltatások ellen."

4. LinkedIn

A jelszavak gyakori megváltoztatása mindig okos ötlet, és ez vonatkozik az üzleti és a személyes fiókokra is. A LinkedIn 2012-ben egy nagy hackelés áldozata volt, amely tavaly későn nyilvánosan kiszivárgott, valamint a Lynda.com online tanulási webhelyének újabb hackelése, amely 55 000 felhasználót érintett. Az informatikai vezetők számára, akik az üzleti biztonságot és a jelszavakkal kapcsolatos irányelveket állítják be, Haber szerint a LinkedIn hack nagyrészt a józan észre érkezik:

• Gyakran változtassa meg jelszavát; egy négy éves jelszó valószínűleg csak bajt kér.
• Soha ne használja újra a jelszavait más webhelyeken. Ez a négyéves megsértés könnyen vezethet ahhoz, hogy valaki megpróbálja ugyanazt a jelszót egy másik közösségi média webhelyén vagy e-mail fiókjában, és veszélyeztetheti a többi fiókot egyszerűen azért, mert ugyanazt a jelszót több helyen használták.

"2016 elején nyilvánosan kiszivárgott egy négy évvel ezelőtti támadás" - mondta Haber. "Azok a felhasználók, akik azóta nem változtak meg jelszavaikkal, a felhasználóneveiket, e-mail címeiket és jelszavaikat nyilvánosan elérhetővé tették a sötét webben. Könnyű választás hackerek számára."

5. Belső Bevételi Szolgálat (IRS)

Végül Haber azt mondta, hogy nem feledkezhetünk meg az IRS-csapásokról. Ez kétszer történt, 2015-ben és 2016 elején is, és befolyásolta a kritikus adatokat, beleértve az adóbevallásokat és a társadalombiztosítási számokat.

"A támadó vektor a" Get Transcript "szolgáltatás ellen fordult, amelyet mindentől kezdve használták a főiskolai kölcsönöktől az adóbevallások megosztásáig a felhatalmazott harmadik felekkel. A rendszer egyszerűsége miatt a társadalombiztosítási szám felhasználható információk gyűjtésére, majd létrehozására. hamis adóbevallások, visszatérítés formájában és elektronikus úton egy szélhámos bankszámlára "- magyarázta Haber. "Ez figyelemre méltó, mivel a rendszert, akárcsak a Yahoo-t, kétszer megsértették, javították, de még mindig vannak olyan súlyos hibái, amelyek lehetővé tették annak újbóli megsértését. Ezen túlmenően a jogsértés terjedelmét súlyosan alábecsülték, a 100 000 felhasználó korai beszámolójától kezdve a több Végül 700 000. Nem tudható, hogy ez újra fel fog-e térni a 2016-os hozamhoz."

Haber rámutatott két alapvető tanulságra, amelyeket a vállalkozások megtanulhatnak az IRS hackerekből:

• A behatolásteszt javításai alapvető fontosságúak; csak azért, mert kijavított egy hibát, nem azt jelenti, hogy a szolgáltatás biztonságos.
• A kriminalisztika kritikus egy esemény vagy jogsértés után. Ha az érintett számlák hétszeres sorrendje lenne, az azt jelzi, hogy senki sem értette a probléma terjedelmét.

"Azt hiszem, 2017-re többet várunk el ugyanaztól. A nemzetállamok, az IoT-eszközök és a nagy horderejű vállalatok lesznek a figyelmen kívül hagyás jelentésének középpontjában" - mondta Haber. "Úgy gondolom, hogy az IoT-eszközöket szabályozó adatvédelmi törvényekre és a bennük lévő információk megosztására gyakorlatilag lefedettség vonatkozik. Ez kiterjed mindenre, az olyan eszközökről, mint az Amazon Echo, az EMEA-ból, az USA-ból és az ázsiai-csendes-óceáni országokig terjedő információkig."