Зміст:
Відео: Мультики про машинки новые серии 2017 - Кто сильнее! Лучшие мультфильмы для детей /#мультик игра (Листопад 2024)
Хоча кожен рік має свої помітні порушення безпеки, 2017 рік був особливо згубним. Минулого року з'явився ще один список великих корпорацій, веб-сайтів та організацій, які страждають від атак, величезні кеші даних про клієнтів поставлені під загрозу, і всілякі вторгнення зловмисних програм та викупних програм.
Ви можете зробити ряд речей, щоб не допустити цих порушень до вашого бізнесу. Звичайно, ви можете інвестувати у рішення щодо безпеки кінцевої точки, але також важливо дотримуватися кращих практик безпеки даних та використовувати наявні рамки та ресурси безпеки. Ми розмовляли з доктором Еріком Коулом, експертом з кібербезпеки та генеральним директором консалтингової фірми з питань кібербезпеки Secure Anchor Consulting, про ці хаки, їх важливість та уроки, які слід отримати з них.
1. Yahoo (знову)
Ще в 2016 році колишній технологічний гігант виявив, що зазнав двох окремих порушень, які поставили під загрозу дані більше 1 мільярда користувачів. Це страшилка для будь-якої технічної компанії. Тоді, у жовтні 2017 року, компанія розкрила, що насправді кожен окремий обліковий запис Yahoo був порушений. Yahoo з усіх сил намагався почати, і ця відсутність прозорості, безумовно, не допомогла відновити довіру громадськості до цієї марки.
За словами доктора Коула, розкриття інформації може бути важким для компаній. "З одного боку, ви хочете якнайшвидше повідомити зацікавлених сторін, що існує проблема. Однак іноді може бути гірше оголосити про порушення без ігрового плану", - сказав доктор Коул. "Якщо у вас немає запропонованого рішення, це може завдати великої шкоди вашій компанії."
Доктор Коул рекомендує дивитися на сценарій очима замовника та приймати рішення в рамках. "Після того, як атака буде перевірена, повідомте клієнту первинне повідомлення, повідомте йому про те, що сталося, що саме ви знаєте, що ви робите та коли надходить оновлення."
2. Тіньові брокери / WannaCry
Ми вперше дізналися про хакерську групу, відому як Shadow Brokers у 2016 році, коли вони опублікували зразок шпигунських інструментів, які вони викрали в Агенції національної безпеки (NSA). Навесні минулого року справи нагрілися, коли Shadow Brokers випустив низку інструментів, у тому числі тих, що експлуатували вразливості у більшості операційних систем Windows (ОС). Великі корпоративні мережі, які повільно встановлювали оновлення, стали жертвою нападу викупового програмного забезпечення, такого як інцидент WannaCry, а також важливі організації, такі як Національна служба охорони здоров'я Великобританії (NHS).
Доктор Коул радить компаніям розставляти пріоритети та орієнтуватися на свої системи з найвищим ризиком. "Дуже багато клієнтів мають внутрішні системи, які повністю виправлені та оновлені, але їхні сервери в Інтернеті не мають виправлених даних. Найбільш вразливі активи потребують найбільшої уваги".
3. Crash Override / Triton
Crash Override і Triton були парою цифрової зброї, виставленої в 2017 році, яка була унікальною для нападу на найважливіші інфраструктурні системи. Crash Override націлив на українську електромережу і спричинив її відключення, а Triton націлив на промисловий контроль на Близькому Сході. Зазвичай, коли ми думаємо про кібератаки, ми думаємо про економічний вплив інциденту. Ці два напади ввели нас у страшну нову реальність, коли сама громадська безпека наражалася на небезпеку.
За словами доктора Коула, ці напади можуть не бути настільки поширеними у 2018 році. "Це, звичайно, страшно, але більшість цих комунальних компаній роблять дійсно хорошу роботу, щоб тримати свої системи подалі від Інтернету. Інфраструктура завжди буде ціллю, але дивіться на це з точки зору хакерів: Вони хочуть грошей та інтелектуальної власності. Напади на інфраструктуру вважалися б актом війни, і це більше ризику, ніж вони хочуть. Нове покриття значною мірою перекрите цими нападами ".
4. Uber
Як і у Yahoo, відсутність чесності може бути настільки ж поганою, як і сам порушення. Наприкінці року генеральний директор Uber оголосив, що в 2016 році сталася атака, в якій були викрадені імена, електронні адреси та номери телефонів 57 мільйонів користувачів. Однак проблеми для компанії, яка ділиться їздою, насправді виникла з того, що Uber працював над тим, щоб приховати порушення, і навіть заплатив хакерам 100 000 доларів, щоб тримати його під загортанням. Це не тільки шкодить довірі зацікавлених сторін компанії, але й, ймовірно, порушує закони про розкриття даних про порушення в ряді держав.
"Велика проблема цих порушень полягає в тому, що ми часто маємо такий менталітет" ми не домовляємось ", - сказав доктор Коул. "У мене є більш практичний погляд на бізнес". Хоча іноді співпраця з нападниками є необхідним кроком для усунення проблеми, доктор Коул заявив, що компанії повинні зосередитися на тому, щоб вони більше ніколи не були поставлені на таке становище. "Я б порадив такій компанії, як Uber, що, якщо рішення має сенс, то добре, але переконайтеся, що ви вирішите основні проблеми та повідомте про це громадськість".
5. Рівномір
Фірма, що займається моніторингом кредитування, наприклад, Equifax, зберігає дуже чутливу інформацію про користувачів: номери кредитних карток, номери водійських посвідчень та номери соціального страхування, які можна використовувати для викрадення чиєїсь особистих даних та виправлення різного роду хаосу в їхньому житті. Коли було виявлено, що зловмисники отримали доступ до даних 145 мільйонів користувачів Equifax, люди були зрозумілі. Що ще гірше, реакція компанії на порушення була абсолютно непогана. На веб-сайті, який вони створили для жертв, були власні недоліки, і було також виявлено, що генеральний директор зустрічався з персоналом, що стосується безпеки, лише раз на квартал. Зрештою, генеральний директор відступив, і порушення було визнано одним з найгірших на сьогоднішній день.
За словами доктора Коула, Equifax непотрібно завдав шкоди їхній репутації. "З ними все стосувалося захисту компанії, що було їх найбільшою помилкою", - сказав він. Так само, як і у випадку з Uber, випереджаючий та ініціативний характер щодо порушення, врятував би Equifax багато горя.