5 najhorších hackov a porušení roku 2016 a ich význam pre rok 2017

Rok 2016 nebol z hľadiska bezpečnosti skvelým rokom, prinajmenšom pokiaľ ide o prípady porušenia pravidiel, hackerov a úniku údajov. V tomto roku sa objavili ďalšie zoznamy bielizne veľkých spoločností, organizácií a webových stránok zasiahnuté útokmi distribuovaného odmietnutia služby (DDoS), obrovskými vyrovnávacími údajmi o zákazníkoch a heslami, ktoré zasiahli čierny trh a ponúkli najvyššiemu záujemcovi, a všetkým spôsob prieniku škodlivého softvéru a ransomwaru.

Podniky môžu urobiť veľa pre zmiernenie týchto rizík. Môžete samozrejme investovať do riešenia zabezpečenia koncových bodov, ale je tiež dôležité dodržiavať osvedčené postupy v oblasti zabezpečenia údajov a využívať dostupné rámce zabezpečenia a zdroje.

V roku 2016 sa však v dôsledku kataklyzmatických útokov a porušení dostalo do pozornosti LinkedIn, Yahoo, Demokratický národný výbor (DNC) a služba Internal Revenue Service (IRS). Hovorili sme s Morey Haberom, viceprezidentom pre technológie v oblasti zraniteľnosti a poskytovateľa správy identít BeyondTrust, o tom, čo spoločnosť považuje za päť najhorších hackov roka - a o kritických ponaučeniach, ktoré sa môžu podniky od nich naučiť.

1. Yahoo

Padlý internetový gigant mal historicky zlý bezpečnostný rok, aby doplnil svoje previsnuté financie, vytrhol porážku zo spárov víťazstva po tom, čo skupina zverejnených informácií o porušení pravidiel a úniky údajov o zákazníkoch spôsobili, že Verizon sa snažil nájsť cestu z akvizície 4, 8 miliárd dolárov. Haber povedal, že porušenia Yahoo môžu podniky naučiť tri cenné lekcie:

• Dôverujte svojim bezpečnostným tímom a neizolujte ich.
• Neukladajte všetky svoje korunovačné klenoty do jednej databázy.
• Postupujte podľa zákonov a etiky, aby ste zistili správne porušenie.

„Je to prvýkrát, čo bola veľká spoločnosť, ktorá bola uvedená do predaja, za jeden rok dvojnásobne ponorená za porušenie a získala titul za najväčšie porušenie, aké kedy existovala pre jednu spoločnosť, “ uviedol Haber. „Toto je ešte naliehavejšie, pretože najhorším porušením v roku 2016 je porušenie, ku ktorému došlo tri roky pred zverejnením, a druhé porušenie bolo odhalené iba v dôsledku súdneho sporu o prvom porušení. Celkom bolo napadnutých viac ako miliarda účtov, čo predstavuje všetkých spoločnosti o tom, ako nespravovať osvedčené postupy v oblasti bezpečnosti vo vašom podnikaní. ““

2. Demokratický národný výbor

Pri najznámejších narušeniach bezpečnosti počas volebnej sezóny bol Demokratický národný výbor (DNC) hacknutý pri viacerých príležitostiach, čo viedlo k úniku e-mailov od úradníkov (vrátane predsedu DNC Debbie Wassermana Schultza a manažéra Clintonovej kampane Johna Podestu) cez WikiLeaks. V hackoch, ktoré americkí predstavitelia sledovali až po ruskú vládu, Haber poukázal na usmernenia a odporúčania Federálneho úradu pre vyšetrovanie (FBI), Ministerstva vnútornej bezpečnosti (DHS) a Národného inštitútu pre normy a technológie (NIST), ktoré mohol zmierniť slabiny zabezpečenia DNC:

• V zavedených rámcoch, ako je NIST 800-53v4, existujú usmernenia pre oprávnenia, hodnotenie zraniteľnosti, záplatovanie a testovanie pera.
• Agentúry musia robiť lepšie úlohy pri zavádzaní zavedených rámcov (napríklad rámca NIST pre kybernetickú bezpečnosť) a meraní ich úspechu.

„FBI a DHS vydali dokument, v ktorom sa uvádza, ako dva rozšírené perzistentné hrozby použili phishing a malvér na infiltráciu do politického systému USA a poskytovali tajné operácie, aby mohli zasahovať do volebného procesu v USA, “ uviedol Haber. „Vina je priamo zameraná na útok národného štátu a odporúča kroky, ktoré by všetky vlády a politické agentúry mali prijať, aby zastavili tento typ vniknutia. Problém je, že tieto odporúčania nie sú ničím novým a tvoria základ bezpečnostných usmernení, ktoré už boli stanovené NIST."

3. Mirai

Rok 2016 bol rokom, v ktorom sme boli konečne svedkami rozsahu kybernetického útoku, ktorý je globálny botnet schopný. Milióny nezabezpečených zariadení internetu vecí (IoT) sa prehnali do botnetu Mirai a použili sa na masívne preťaženie poskytovateľa systému názvov domén (DNS) Dyn útokom DDoS. Útok vyrazil Etsy, GitHub, Netflix, Shopify, SoundCloud, Spotify, Twitter a množstvo ďalších významných webových stránok. Haber poukázal na štyri jednoduché lekcie bezpečnosti loT, ktoré môžu podniky z incidentu vziať:

• Zariadenia, ktoré nemôžu aktualizovať softvér, heslá ani firmvér, by sa nikdy nemali implementovať.
• Pri inštalácii akéhokoľvek zariadenia na internete sa odporúča zmeniť predvolené používateľské meno a heslo.
• Heslá pre zariadenia IoT by mali byť jedinečné pre každé zariadenie, najmä ak sú pripojené k internetu.
• Zariadenia IoT vždy opravujte najnovším softvérom a firmvérom, aby ste zmiernili zraniteľné miesta.

„Internet vecí doslova prevzal naše domáce a podnikové siete, “ uviedol Haber. „Verejným vydaním zdrojového kódu škodlivého softvéru Mirai útočníci vytvorili botnet, ktorý predvolené heslá a neodstrániteľné zraniteľné miesta vytvoril sofistikovaný celosvetový botnet, ktorý môže spôsobiť masívne útoky DDoS. V roku 2016 bol úspešne použitý niekoľkokrát na narušenie internetu v USA. prostredníctvom DDoS proti službám DNS poskytovaných spoločnosťou Dyn telekomunikačným spoločnostiam vo Francúzsku a bankám v Rusku. ““

4. LinkedIn

Častá zmena hesiel je vždy šikovná myšlienka a platí to pre vaše obchodné a osobné účty. LinkedIn sa stal obeťou veľkého hacku v roku 2012, ktorý verejne unikol koncom minulého roka, ako aj novšieho hacknutia svojej internetovej stránky Lynda.com, ktorá sa venovala online, ktorá zasiahla 55 000 používateľov. Pokiaľ ide o IT manažérov, ktorí stanovujú zásady zabezpečenia podniku a hesiel, spoločnosť Haber uviedla, že hack na LinkedIn sa do značnej miery zhoduje:

• Meňte často svoje heslá; štvorročné heslo pravdepodobne vyžaduje iba problémy.
• Nikdy znova nepoužívajte svoje heslá na iných webových stránkach. Toto štvorročné porušenie môže ľahko viesť k tomu, že niekto vyskúša rovnaké heslo na inej webovej stránke sociálnych médií alebo e-mailovom účte a môže ohroziť iné účty jednoducho preto, že rovnaké heslo bolo použité na viacerých miestach.

"Útok spred štyrmi rokmi bol začiatkom roku 2016 verejne prepustený, " uviedol Haber. „Používatelia, ktorí od tej doby nezmenili svoje heslá, našli verejne prístupné svoje používateľské mená, e-mailové adresy a heslá na temnom webe. Ľahké výbery hackerov.“

5. Interná daňová služba (IRS)

Nakoniec Haber povedal, že nemôžeme zabudnúť na hacky IRS. Stalo sa to dvakrát, v roku 2015 a znova začiatkom roku 2016, a ovplyvnili kritické údaje vrátane daňových priznaní a čísel sociálneho zabezpečenia.

„Vektor útoku bol proti službe„ Získať prepis “, ktorá sa používa na všetky účely, od pôžičiek na vysoké školy až po zdieľanie daňových priznaní s oprávnenými tretími stranami. Kvôli jednoduchosti systému bolo možné na získanie informácií a následné vytvorenie čísla sociálneho zabezpečenia použiť číslo falošné daňové priznania vo výške refundácie a elektronicky na nečestný bankový účet, “vysvetlil Haber. „Je to pozoruhodné, pretože systém, rovnako ako Yahoo, bol dvakrát porušený, opravený, ale stále mal závažné nedostatky, ktoré mu umožnili jeho opätovné porušenie. Okrem toho bol rozsah porušenia výrazne podhodnotený, od počiatočných účtov 100 000 používateľov po viac ako 700 000 na konci. Nie je známe, či sa to opäť objaví v prípade návratov za rok 2016. “

Haber poukázal na dve základné lekcie, ktoré sa podniky môžu poučiť z hackov IRS:

• Opravy penetračných testov sú rozhodujúce; to, že ste opravili jednu chybu, neznamená, že služba je zabezpečená.
• Kriminalita je kritická po incidente alebo porušení. Mať sedemnásobný rozsah poradia na počte dotknutých účtov naznačuje, že nikto skutočne nerozumel rozsahu problému.

„V roku 2017 sa domnievam, že budeme očakávať viac rovnakých vecí. Oznamovanie porušení sa bude sústreďovať na národné štáty, zariadenia IoT a spoločnosti s vysokým profilom, “ uviedol Haber. „Verím, že dôjde k rozšíreniu pokrytia zákonmi o ochrane súkromia, ktorými sa riadia zariadenia internetu vecí a zdieľanie informácií, ktoré sú v nich obsiahnuté. Toto sa bude vzťahovať na všetko od zariadení, ako je Amazon Echo, až po informácie pochádzajúce z EMEA v USA a ázijsko-pacifickej oblasti v rámci spoločností.“