5 najhujših krajev in kršitev leta 2016 in kaj pomenijo za leto 2017

Leto 2016 ni bilo veliko leto za varnost, vsaj kar zadeva odmevne kršitve, kraje in uhajanje podatkov. V letu se je pojavil še en seznam perila velikih podjetij, organizacij in spletnih mest, ki so jih napadli razdeljeni napadi za zavrnitev storitve (DDoS), ogromni predpomnilniki podatkov o kupcih in gesla, ki so na črnem trgu prodali najvišjemu ponudniku, in vse način vdorov zlonamerne programske opreme in izsiljevanja

Podjetja lahko naredijo veliko za zmanjšanje teh tveganj. Seveda lahko investirate v varnostno rešitev za končne točke, vendar je pomembno tudi slediti najboljšim praksam glede varnosti podatkov in uporabiti razpoložljive varnostne okvire in vire.

Kljub temu so leta 2016 LinkedIn, Yahoo, Demokratični nacionalni odbor (DNC) in Služba za notranje prihodke (IRS) v središču pozornosti vdrli v znamenje kataklizmičnih napadov in kršitev. Pogovarjali smo se z Moreyjem Haberjem, podpredsednikom za tehnologijo za ranljivost in upravljanje identitete BeyondTrust, o čemer podjetje meni, da je pet najslabših krajev v letu - in o kritičnih spoznanjih, ki se jih podjetja lahko naučijo od vsakega.

1. Yahoo

Padli internetni gigant je imel zgodovinsko slabo leto, da je dopolnil svoje vrtoglave finančne vire, saj je odnesel poraz od sklopov zmage po nizu odmevnih razkritij o kršitvah in puščanju podatkov o strankah, zaradi česar je Verizon izginil in našel pot do 4, 8 milijarde USD pridobitve. Haber je dejal, da lahko kršitve Yahooja podjetja naučijo tri dragocene lekcije:

• Zaupajte svojim varnostnim skupinam in jih ne izolirajte.
• Ne postavite vseh draguljev s krono v eno bazo podatkov.
• Za pravilno razkritje kršitev upoštevajte zakon in etiko.

"To je prvič, da je velika korporacija, ki je bila na prodaj, v enem letu dvakrat zaprta za kršitev in ima naslov največje kršitve doslej za posamezno podjetje, " je dejal Haber. "To je še toliko bolj prepričljivo kot najhujša kršitev leta 2016, je bila kršitev tri leta pred javnim razkritjem, druga kršitev pa je bila odkrita šele zaradi forenzike prve kršitve. Skupno je bilo ogroženih več kot milijarda računov, kar predstavlja vse podjetja o tem, kako v svojem podjetju ne upravljati najboljših varnostnih praks."

2. Demokratični nacionalni odbor

Med najbolj zloglasnimi kršitvami varnosti v volilni sezoni je bil Demokratični nacionalni odbor (DNC) večkrat izbruhnjen, zaradi česar so po WikiLeaksu uhajali e-poštni uradniki (vključno s predsednico DNC Debbie Wasserman Schultz in direktorjem Clintonove kampanje John Podesta). V hekerjih, ki so jih ameriški uradniki zasledili do ruske vlade, je Haber opozoril na smernice in priporočila Zveznega preiskovalnega urada (FBI), Ministrstva za domovinsko varnost (DHS) in Nacionalnega inštituta za standarde in tehnologijo (NIST), da bi lahko ublažilo varnostne ranljivosti DNC:

• V ustaljenih okvirih, kot je NIST 800-53v4, obstajajo smernice za privilegije, oceno ranljivosti, popravke in testiranje peresa.
• Agencije morajo narediti boljše delo pri uveljavljanju ustaljenih okvirov (kot je NIST za kibernetsko varnost) in merjenju njihovega uspeha.

"FBI in DHS sta izdala dokument, v katerem je opisano, kako sta dve napredni vztrajni grožnji uporabljali lov s kopjem in zlonamerno programsko opremo, da sta se infiltrirali v ameriški politični sistem in zagotovili prikrite operacije za poseg v ameriški volilni postopek, " je dejal Haber. "Krivda je usmerjena v napad na državno državo in priporoča ukrepe, ki bi jih morale sprejeti vse vladne in politične agencije za zaustavitev tovrstnega vdora. Težava je v tem, da ta priporočila niso nič novega in so podlaga za varnostne smernice, ki so že bile določene iz NIST."

3. Mirai

2016 je bilo leto, ko smo bili končno priča razsežnosti kibernetskih napadov, katerih globalni botnet je sposoben. Na milijone negotovih naprav interneta stvari (IoT) je bilo prestrezano v Mirai-jevem botnetu in uporabljenih za množično preobremenitev ponudnika Dyn s sistemom domenskih imen (DNS) Dyn z napadom DDoS. Napad je uničil Etsy, GitHub, Netflix, Shopify, SoundCloud, Spotify, Twitter in še vrsto drugih večjih spletnih mest. Haber je opozoril na štiri naravne lekcije o varnosti, ki jih podjetja lahko izkoristijo zaradi incidenta:

• Naprave, ki ne morejo posodobiti svoje programske opreme, gesel ali strojne programske opreme, se ne smejo nikoli izvajati.
• Spreminjanje privzetega uporabniškega imena in gesla je priporočljivo za namestitev katere koli naprave v internetu.
• Gesla za IoT naprave morajo biti edinstvena za vsako napravo, še posebej, če so povezane z internetom.
• Za ublažitev ranljivosti vedno popravite IoT naprave z najnovejšo programsko opremo in vdelano programsko opremo.

"Internet stvari je dobesedno prevzel naša domača in korporativna omrežja, " je dejal Haber. "Z javno objavo izvorne kode zlonamerne programske opreme Mirai so napadalci ustvarili botnet, ki je privzeto gesla in nepoškodovan ranljivosti ustvaril prefinjen svetovni botnet, ki lahko povzroči ogromne napade DDoS. Leta 2016 so ga večkrat uspešno uporabili za motenje interneta v ZDA prek DDoS proti DNS storitvam, ki jih Dyn ponuja telekomunikacijam v Franciji in bankam v Rusiji."

4. LinkedIn

Pogosto spreminjanje gesel je pametna ideja in to velja za vaše poslovne in osebne račune. LinkedIn je bil žrtev velikega krama leta 2012, ki je javno iztekel konec lanskega leta, pa tudi novejšega krama njegovega spletnega učnega spletnega mesta Lynda.com, ki je prizadel 55.000 uporabnikov. Haber je za vodje IT-jev, ki postavljajo pravilnike o poslovni varnosti in geslih, dejal, da se heck LinkedIn v veliki meri spušča do zdrave pameti:

• Pogosto menjajte gesla; štiriletno geslo verjetno samo prosi za težave.
• Nikoli ne uporabljajte več gesel na drugih spletnih mestih. Ta štiriletna kršitev lahko zlahka pripelje do tega, da nekdo poskusi to geslo na drugem spletnem mestu družbenega omrežja ali e-poštnem računu in bi lahko ogrožal druge račune preprosto zato, ker se je na več mestih uporabljalo isto geslo.

"Napad pred več kot štirimi leti je javno uhajal v začetku leta 2016, " je dejal Haber. "Uporabniki, ki od takrat niso spremenili svojih geslov, so v temnem spletu našli javno dostopna uporabniška imena, e-poštne naslove in gesla. Enostavno izbiranje hekerja."

5. Služba za notranji prihodek (IRS)

Nazadnje je Haber dejal, da ne moremo pozabiti na kraje IRS. To se je zgodilo dvakrat, leta 2015 in spet v začetku leta 2016, in vplivalo na kritične podatke, vključno z davčnimi napovedmi in številkami socialne varnosti.

"Vektor napada je bil proti storitvi" Pridobite transkript ", ki se uporablja za vse, od posojil na fakulteti do delitve davčnih obračunov pooblaščenim tretjim osebam. Zaradi enostavnosti sistema bi lahko številko socialnega zavarovanja uporabili za pridobivanje informacij in nato ustvarjanje ponarejene davčne napovedi, znesek vračila in v elektronski obliki na ločen bančni račun, "je pojasnil Haber. "To je omembe vredno, ker je bil sistem, kot je Yahoo, dvakrat pokvarjen, popravljen, vendar je imel še vedno hude napake, ki so omogočile njegovo ponovno kršitev. Poleg tega je bil obseg kršitve grobo podcenjen, od zgodnjih računov 100.000 uporabnikov do več 700.000 na koncu. Neznano je, ali se bo to ponovno pojavilo za leto 2016."

Haber je opozoril na dve osnovni lekciji, ki se jih podjetja lahko naučijo iz hekerjev IRS:

• Popravki testiranja penetracije so ključni; samo zato, ker ste odpravili eno napako, še ne pomeni, da je storitev varna.
• Forenziki so kritični po incidentu ali kršitvi. Sedemkratni obseg naročila glede števila prizadetih računov pomeni, da nihče v resnici ni razumel obsega težave.

"Mislim, da bomo za leto 2017 pričakovali več istega. Nacionalne države, IoT naprave in velika podjetja bodo v središču poročanja o kršitvah, " je dejal Haber. "Verjamem, da se bosta poročali o zakonih o zasebnosti, ki urejajo IoT naprave in izmenjavi informacij, ki jih vsebujejo. To bo zajemalo vse, od naprav, kot je Amazon Echo, do informacij, ki izhajajo iz EMEA, ZDA in Azije v Tihem oceanu znotraj podjetij."