5 najgorih hakova i kršenja u 2016. godini i što one znače za 2017. godinu

2016. godina nije bila sjajna za sigurnost, barem što se tiče visokih profila kršenja, hakovanja i curenja podataka. U godini se pojavljuje još jedan popis rublja velikih kompanija, organizacija i web stranica pogođenih distribuiranim napadima uskraćivanja usluge (DDoS), ogromnim predmemorijama podataka o kupcima i lozinkama koje su dospjele na crno tržište radi prodaje najpovoljnijem ponuđaču i sve. način upada zlonamjernog softvera i ransomwarea.

Mnogo je toga što tvrtke mogu učiniti kako bi ublažile te rizike. Naravno, možete uložiti u sigurnosno rješenje krajnje točke, ali je također važno slijediti najbolje prakse sigurnosti podataka i koristiti dostupne sigurnosne okvire i resurse.

Unatoč tome, 2016. godine LinkedIn, Yahoo, Demokratski nacionalni odbor (DNC) i Služba za unutarnje prihode (IRS) upali su u središte pozornosti uslijed kataklizmičkih napada i kršenja. Razgovarali smo s Moreyjem Haberom, potpredsjednikom tehnologije za ranjivost i upravljanje identitetom BeyondTrust o tome što tvrtka smatra pet najgorih hakova u godini - i kritičkim lekcijama koje tvrtke mogu naučiti od svakog.

1. Yahoo

Pali internetski div imao je povijesno lošu sigurnosnu godinu da nadopuni grozne financijske rezultate, iznuđujući poraz iz kandži pobjede nakon niza značajnih otkrivanja kršenja i curenja podataka o kupcima, Verizon je napredovao da pronađe izlaz iz svojih 4, 8 milijardi američkih dolara. Haber je rekao da Yahoo kršenja mogu naučiti tvrtke tri vrijedne lekcije:

• Pouzdajte se u svoje sigurnosne timove i nemojte ih izolirati.
• Ne stavljajte sve dragulje s krunom u jednu bazu podataka.
• Za pravilno otkrivanje kršenja pravila pridržavajte se zakona i etike.

"To je prvi put da je velika korporacija, koja je rasprodana, prodana za dva puta zbog kršenja u godinu dana, i drži titulu najvećeg kršenja ikad za jednu tvrtku", rekao je Haber. "Ono što ovo čini još uvjerljivijim kao najgore kršenje u 2016. godini je kršenje dogodilo tri godine prije javnog objavljivanja, a drugo je otkriveno tek zbog forenzike prvog kršenja. Ukupno je kompromitirano više od milijardu računa, što predstavlja svima tvrtkama o tome kako ne upravljati najboljim sigurnosnim praksama u vašem poslovanju."

2. Demokratski nacionalni odbor

U najozloglašenijim sigurnosnim kršenjima izborne sezone, Demokratski nacionalni odbor (DNC) hakiran je u više navrata, što je rezultiralo e-poštom dužnosnika (uključujući predsjedatelja DNC-a Debbie Wasserman Schultz i menadžera Clintonove kampanje Johna Podesta) koji su procurili preko WikiLeaksa. U hackama koje američki dužnosnici prate do ruske vlade, Haber je ukazao na smjernice i preporuke Federalnog istražnog biroa (FBI), Ministarstva za domovinsku sigurnost (DHS) i Nacionalnog instituta za standarde i tehnologiju (NIST) koji su mogao je umanjiti sigurnosne ranjivosti DNC-a:

• Smjernice za povlastice, procjenu ranjivosti, krpljenje i testiranje olovkom postoje u uspostavljenim okvirima kao što je NIST 800-53v4.
• Agencije moraju obaviti bolji posao u primjeni uspostavljenih okvira (kao što je NIST Okvir za kibernetičku sigurnost) i mjerenju svog uspjeha.

"FBI i DHS objavili su dokument u kojem se opisuje kako su dvije napredne postojane prijetnje koristile kopanje lažnim podmetanjem i zlonamjerni softver kako bi se infiltrirale u američki politički sustav i osigurale prikrivene operacije kako bi prigušile američki izborni proces", rekao je Haber. "Krivica je izravno usmjerena na napad na državu državu i preporučuje korake koje bi sve vladine i političke agencije trebale poduzeti kako bi zaustavile tu vrstu upada. Problem je u tome što ove preporuke nisu ništa novo i predstavljaju osnovu za sigurnosne smjernice koje su već utvrđene od NIST.”

3. Mirai

2016 je bila godina kojoj smo konačno bili svjedoci veličine cyberattack-a za koji je sposoban globalni botnet. Milijuni nesigurnih uređaja s Internetom stvari (IoT) prebačeni su u Mirai-ov botnet i korišteni su za masovno preopterećenje pružatelja Dyn sustava domena (DNS) Dyna napadom DDoS-a. Napad je oborio Etsy, GitHub, Netflix, Shopify, SoundCloud, Spotify, Twitter i još mnogo glavnih web stranica. Haber je ukazao na četiri izravne sigurnosne lekcije koje tvrtke mogu preuzeti iz incidenta:

• Uređaji koji ne mogu ažurirati svoj softver, lozinke ili firmver nikada se ne bi trebali implementirati.
• Promjena zadanog korisničkog imena i lozinke preporučuje se za instalaciju bilo kojeg uređaja na internetu.
• Lozinke za IoT uređaje trebaju biti jedinstvene po uređaju, posebno ako su povezani na internet.
• Uvijek zakrpite IoT uređaje s najnovijim softverom i firmwareom za ublažavanje ranjivosti.

"Internet stvari je doslovno preuzeo našu kućnu i korporativnu mrežu", rekao je Haber. "Javnim puštanjem izvornog koda zlonamjernog softvera Mirai napadači su stvorili botnet koji je zadao lozinke i neraspoložive ranjivosti da bi stvorili sofisticirani svjetski botnet koji može uzrokovati velike DDoS napade. U 2016. se više puta uspješno koristio da bi poremetio internet u SAD-u putem DDoS-a protiv DNS usluga koje Dyn pruža telekomunikacijama u Francuskoj i bankama u Rusiji."

4. LinkedIn

Često mijenjanje lozinki uvijek je pametna ideja i za vaše poslovne i osobne račune. LinkedIn je bio žrtva velikog haka 2012. godine koji je javno procurio krajem prošle godine, kao i novijeg haka njegove internetske web stranice Lynda.com koji je zahvatio 55.000 korisnika. Za IT menadžere koji postavljaju pravila o sigurnosti u poslovanju i zaporkama, Haber je rekao da se LinkedIn hack uglavnom svodi na zdrav razum:

• Često mijenjajte svoje lozinke; četverogodišnja lozinka vjerojatno samo traži probleme.
• Nikad ne upotrebljavajte zaporke na drugim web mjestima. To kršenje četverogodišnjaka lako bi moglo dovesti do toga da netko iskuša tu istu lozinku na drugoj web stranici društvenih medija ili na računu e-pošte, a mogao bi ugroziti druge račune jednostavno zato što se ista lozinka koristi na više mjesta.

"Napad prije više od četiri godine javno je procurio početkom 2016.", rekao je Haber. "Korisnici koji od tada nisu mijenjali svoje lozinke pronašli su svoja korisnička imena, adrese e-pošte i lozinke javno dostupne na mračnom webu. Jednostavno biranje hakera."

5. Služba unutarnjih prihoda (IRS)

Na kraju, Haber je rekao da ne možemo zaboraviti hakiranje IRS-a. To se dogodilo dva puta, u 2015. i ponovno početkom 2016., i utjecalo je na kritične podatke, uključujući porezne prijave i brojeve socijalnog osiguranja.

"Vektor napada bio je protiv usluge 'Preuzmi transkript', koja se koristila za sve, od zajmova na faksu do dijeljenja vaših poreznih prijava ovlaštenim trećim stranama. Zbog jednostavnosti sustava, broj socijalnog osiguranja mogao bi se koristiti za dohvaćanje podataka i potom stvaranje lažne porezne prijave, u iznosu povrata i elektroničkim putem na loš račun na banci ", objasnio je Haber. "To je primjetno jer je sustav, poput Yahooa, dva puta narušen, popravljen, ali je i dalje imao ozbiljnih propusta koji su omogućili njegovo ponovno probijanje. Osim toga, opseg tog kršenja bio je grubo podcijenjen, od ranih računa 100 000 korisnika do više Na kraju 700 000. Nije poznato hoće li se to ponovno pojaviti za 2016. godinu."

Haber je ukazao na dvije osnovne lekcije koje tvrtke mogu naučiti iz hakerskih servisa IRS-a:

• Popravci ispitivanja penetracije su presudni; samo zato što ste riješili jedan propust ne znači da je usluga sigurna.
• Forenzičari su kritični nakon incidenta ili povrede. Imati redoslijed sedmostruke narudžbe na broju pogođenih računa znači da zapravo nitko nije shvatio opseg problema.

"Mislim da ćemo za 2017. godinu očekivati ​​više toga istog. Nacionalizacije, IoT uređaji i velike tvrtke bit će žarište prijavljivanja kršenja zakona", rekao je Haber. "Vjerujem da će postojati izvjesni izvještaji o zakonima o privatnosti koji reguliraju IoT uređaje i razmjenu informacija sadržanih u njima. Ovo će obuhvatiti sve, od uređaja poput Amazon Echo do podataka koji dolaze iz EMEA-e iz SAD-a i Azijsko-pacifičkog oceana unutar kompanija."