5 blogiausi 2016 metų įsilaužimai ir pažeidimai ir ką jie reiškia 2017 metams

2016 m. Nebuvo puikūs saugumo metai, bent jau kalbant apie svarbius pažeidimus, įsilaužimus ir duomenų nutekėjimą. Metai buvo dar vienas skalbinių sąrašas su didelėmis įmonėmis, organizacijomis ir interneto svetainėmis, nukentėjusiomis dėl išplatintų paslaugų teikimo neigimo (DDoS) atakų, milžiniškų klientų duomenų talpyklų ir slaptažodžių, patekusių į juodąją rinką, kad būtų parduotos didžiausią kainą pasiūliusiam pirkėjui, ir visiems kenkėjiškų programų ir išpirkos programų įsilaužimo būdas.

Verslas gali daug nuveikti, kad sumažintų šią riziką. Jūs, be abejo, galite investuoti į parametrų saugumo sprendimą, tačiau taip pat svarbu vadovautis geriausia duomenų saugumo praktika ir naudotis turimomis saugos sistemomis ir ištekliais.

Nepaisant to, 2016 m. „LinkedIn“, „Yahoo“, Demokratinis nacionalinis komitetas (DNC) ir Vidaus pajamų tarnyba (IRS) patraukė dėmesį į kataklizminių išpuolių ir pažeidimų akiratį. Kalbėjomės su Morey Haberiu, pažeidžiamumo ir tapatybės valdymo paslaugų teikėjo „BeyondTrust“ technologijos viceprezidentu apie tai, ką įmonė laiko penkiais blogiausiais metų hakeriais ir kritines pamokas, kurių gali pasimokyti iš kiekvieno.

1. „Yahoo“

Žlugusiam interneto milžinui buvo istoriškai blogi saugumo metai, kad būtų galima papildyti savo sparčiai augančius finansus, ir, paslėpdamas pralaimėjimą iš pergalės gniaužtų, po aukšto rango pažeidimų atskleidimo ir klientų duomenų nutekėjimo, „Verizon“ bandė ieškoti būdų, kaip įsigyti 4, 8 milijardo dolerių. Haberis teigė, kad „Yahoo“ pažeidimai gali išmokyti verslą trijų vertingų pamokų:

• Pasitikėkite savo saugumo komandomis ir jų neišskirkite.
• Nedėkite visų savo karūnos papuošalų į vieną duomenų bazę.
• Norėdami tinkamai atskleisti pažeidimus, laikykitės įstatymų ir etikos.

„Tai yra pirmas kartas, kai stambi korporacija, parduodama, buvo dvigubai padidinta už pažeidimą per vienerius metus ir užima titulą už didžiausią visų laikų pažeidimą vienoje įmonėje“, - sakė Haberis. "Tai daro dar labiau įtikinamą, nes blogiausias 2016 m. Pažeidimas yra pažeidimas, įvykęs praėjus trejiems metams iki viešo paskelbimo, o antrasis pažeidimas buvo aptiktas tik dėl pirmojo pažeidimo kriminalistikos. Iš viso buvo pažeista daugiau nei vienas milijardas sąskaitų, atstovaujančių visiems įmonėms, kaip nevaldyti geriausios saugumo praktikos jūsų versle “.

2. Demokratinis nacionalinis komitetas

Į liūdniausiai pagamintus rinkimų sezono saugumo pažeidimus ne kartą buvo nulaužtas Demokratinis nacionalinis komitetas (DNC), dėl kurio pareigūnai (įskaitant DNC ​​pirmininką Debbie Wassermaną Schultzą ir „Clinton“ kampanijos vadovą Johną Podesta) nutekėjo per „WikiLeaks“. Hakerai, kuriuos JAV pareigūnai atsekė Rusijos vyriausybei, Haberis atkreipė dėmesį į Federalinio tyrimų biuro (FTB), Tėvynės saugumo departamento (VSD) ir Nacionalinio standartų ir technologijos instituto (NIST) gaires ir rekomendacijas. galėjo sušvelninti DNC saugumo spragas:

• Privilegijų gairės, pažeidžiamumo įvertinimas, pataisymas ir rašiklio tikrinimas egzistuoja nustatytose sistemose, tokiose kaip NIST 800-53v4.
• Agentūros turi geriau atlikti įdiegtas sistemas (tokias kaip NIST kibernetinio saugumo sistema) ir įvertinti jų sėkmę.

„FTB ir VSD išleido dokumentą, kuriame aprašoma, kaip dvi paženklintos nuolatinės grėsmės panaudojo sukčiavimą sukčiavimu ir kenkėjiškas programas, kad įsibrautų į JAV politinę sistemą ir suteiktų slaptas operacijas, kad suklaidintų JAV rinkimų procesą“, - sakė Haberis. "Kaltinimas yra visiškai nukreiptas į tautos valstybės išpuolį ir rekomenduoja, kad visos vyriausybės ir politinės agentūros turėtų imtis priemonių, kad sustabdytų tokio tipo įsibrovimus. Problema yra ta, kad šios rekomendacijos nėra nieko naujo ir yra pagrindas jau parengtoms saugumo gairėms. NIST “.

3. Mirai

2016-ieji buvo metai, kai pagaliau buvome liudininkai tokio kibernetinio išpuolio, kurį sugeba padaryti pasaulinis robotas. Milijonai nesaugių daiktų interneto (IoT) prietaisų buvo perkelti į „Mirai“ robotizuotą tinklą ir naudojami masiškai perkrauti domenų vardų sistemos (DNS) teikėją „Dyn“ su DDoS ataka. Ataka išmušė „Etsy“, „GitHub“, „Netflix“, „Shopify“, „SoundCloud“, „Spotify“, „Twitter“ ir daugybę kitų pagrindinių svetainių. Haberis atkreipė dėmesį į keturias aiškias „LoT“ saugumo pamokas, kurių gali imtis verslas iš įvykio:

• Prietaisai, kurių programinė įranga, slaptažodžiai ar programinė įranga negali būti atnaujinti, niekada neturėtų būti įdiegti.
• Jei norite įdiegti bet kurį įrenginį internete, rekomenduojama pakeisti numatytąjį vartotojo vardą ir slaptažodį.
• Internetinių daiktų slaptažodžiai turėtų būti unikalūs kiekviename įrenginyje, ypač kai jie prisijungę prie interneto.
• Visada pataisykite IoT įrenginius su naujausia programine ir programinė įranga, kad sumažintumėte pažeidžiamumą.

„Daiktų internetas pažodžiui perėmė mūsų namus ir korporacijų tinklus“, - sakė Haberis. "Viešai išleidę kenkėjiškos programinės įrangos šaltinio kodą" Mirai ", užpuolikai sukūrė robotų tinklą, kuriame numatyti slaptažodžiai ir neišsklaidytos spragos, kad būtų sukurtas sudėtingas visame pasaulyje robotas, galintis sukelti masines DDoS atakas. Jis buvo sėkmingai naudojamas kelis kartus 2016 m., Kad būtų sutrikdytas internetas JAV per DDoS prieš DNS paslaugas, kurias „Dyn“ teikia telekomunikacijoms Prancūzijoje ir bankams Rusijoje “.

4. „LinkedIn“

Dažnai keiskite savo slaptažodžius yra protinga idėja ir tinka jūsų verslo bei asmeninėms paskyroms. „LinkedIn“ nukentėjo nuo didelio įsilaužimo 2012 m., Kuris viešai nutekėjo praėjusių metų pabaigoje, ir dėl naujausio internetinio mokymosi tinklalapio „Lynda.com“ įsilaužimo, paveikusio 55 000 vartotojų. IT vadybininkams, nustatantiems verslo saugumo ir slaptažodžių politiką, Haberis teigė, kad „LinkedIn“ įsilaužimas dažniausiai kyla iš proto:

• Dažnai keiskite slaptažodžius; ketverių metų senumo slaptažodis turbūt tik prašo problemų.
• Niekada nenaudokite savo slaptažodžių kitose svetainėse. Tas ketverių metų senumo pažeidimas gali lengvai priversti tą patį slaptažodį bandyti kitoje socialinės žiniasklaidos svetainėje ar el. Pašto paskyroje ir gali pakenkti kitoms paskyroms vien dėl to, kad tas pats slaptažodis buvo naudojamas keliose vietose.

„Prieš daugiau nei ketverius metus įvykusi ataka buvo viešai paskelbta 2016 m. Pradžioje“, - sakė A. Haberis. "Vartotojai, kurie nuo to laiko nepakeitė savo slaptažodžių, savo vartotojo vardus, el. Pašto adresus ir slaptažodžius rado viešai prieinamus tamsiajame žiniatinklyje. Paprastas pasirinkimas įsilaužėliui."

5. Vidaus pajamų tarnyba (IRS)

Galiausiai Haberis sakė, kad negalime pamiršti apie IRS įsilaužimus. Tai įvyko du kartus, 2015 m. Ir vėl 2016 m. Pradžioje, ir turėjo įtakos kritiniams duomenims, įskaitant mokesčių deklaracijas ir socialinio draudimo numerius.

„Atakos vektorius buvo prieš paslaugą„ Gaukite nuorašą “, naudojamą viskam - nuo paskolų kolegijose iki mokesčių deklaravimo pasidalinimo su įgaliotomis trečiosiomis šalimis. Dėl sistemos paprastumo, socialinio draudimo numeris galėjo būti naudojamas informacijai gauti ir tada kurti. suklastotas mokesčių deklaracijas, grąžinančias ir elektroniniu būdu į nesąžiningą banko sąskaitą “, - aiškino Haberis. "Tai pažymėtina, nes sistema, kaip ir" Yahoo ", buvo du kartus pažeista, pataisyta, tačiau vis dar turėjo rimtų trūkumų, leidžiančių ją dar kartą pažeisti. Be to, pažeidimo mastas buvo labai neįvertintas - nuo 100 000 vartotojų ankstyvųjų sąskaitų iki daugiau nei Galų gale 700 000. Nežinia, ar tai vėl augs 2016 m. Grąža."

Haberis atkreipė dėmesį į dvi esmines pamokas, kurių verslas gali išmokti iš IRS įsilaužimų:

• Įsiskverbimo bandymo pataisos yra labai svarbios; vien todėl, kad ištaisėte vieną trūkumą, dar nereiškia, kad paslauga yra saugi.
• Kriminalistika yra kritinė po incidento ar pažeidimo. Septynių kartų eiliškumas pagal paveiktų sąskaitų skaičių rodo, kad niekas iš tikrųjų nesuprato problemos apimties.

"Manau, kad 2017 m. Tikimės daugiau to paties. Pranešimas apie pažeidimus bus nukreiptas į valstybių, IoT prietaisų ir aukšto lygio įmonių dėmesį", - sakė Haberis. "Manau, kad bus padidinta privatumo įstatymų, reglamentuojančių IoT įrenginius, dalijimasis juose esančia informacija. Tai apims viską nuo prietaisų, tokių kaip" Amazon Echo ", iki informacijos, perduodamos iš EMEA JAV ir Azijos-Ramiojo vandenyno įmonių."