5 найгірших злому та порушення 2016 року та що вони означають для 2017 року

2016 рік не був чудовим роком для безпеки, принаймні, коли це стосувалося гучних порушень, злому та витоків даних. У цьому році з'явився черговий список великих компаній, організацій та веб-сайтів, що потрапили в поширені атаки відмови у наданні послуг (DDoS), величезні кеші даних клієнтів та паролів, що потрапляють на чорний ринок для продажу найвищому учаснику торгів, і все спосіб зловмисного програмного забезпечення та вторгнення в програмне забезпечення.

Бізнес може зробити для зменшення цих ризиків багато. Звичайно, ви можете інвестувати у рішення щодо безпеки кінцевої точки, але також важливо дотримуватися кращих практик безпеки даних та використовувати наявні рамки та ресурси безпеки.

Тим не менше, у 2016 році LinkedIn, Yahoo, Демократичний національний комітет (DNC) та Служба внутрішніх доходів (IRS) побачили світ у центрі уваги на тлі катаклізмів та порушень. Ми поговорили з Мореєм Хабером, віце-президентом із технологій з питань вразливості та управління ідентичністю BeyondTrust, про те, що компанія вважає п’ятьма найгіршими хаками за рік, і про критичні уроки, з якими бізнес може дізнатися кожен.

1. Yahoo

Упав інтернет-гігант, був історично поганий рік безпеки, щоб доповнити його високі фінансові показники, вирвавши поразку від лап перемоги після низки розкритих проривів про порушення та витоків даних про клієнтів, залишив Verizon намагатися знайти вихід із 4, 8 мільярда доларів США. Хабер сказав, що порушення Yahoo може навчити компанії три цінних уроки:

• Довіряйте своїм командам із безпеки та не ізолюйте їх.
• Не кладіть усі коштовності корони в одну базу даних.
• Дотримуйтесь закону та етики, щоб правильно розкрити порушення.

"Це перший раз, коли велика корпорація, яка продається, була двічі за порушення за один рік, і займає титул найбільшого порушення коли-небудь для однієї компанії", - сказав Хабер. "Це робить це ще більш переконливим, оскільки найгірше порушення 2016 року - це порушення, яке сталося за три роки до публічного розголошення, а друге порушення було виявлено лише завдяки криміналістиці першого порушення. Всього понад 1 мільярд рахунків було скомпрометовано, що представляло всіх компанії про те, як не керувати найкращими практиками безпеки у вашому бізнесі ".

2. Демократичний національний комітет

Під час найвідоміших порушень безпеки виборчого сезону Демократичний національний комітет (DNC) не раз був взламаний, внаслідок чого повідомлення електронної пошти від посадових осіб (у тому числі голови ДНС Деббі Вассерман Шульц та менеджера кампанії Клінтона Джона Подести) просочувалися через WikiLeaks. У хакерах, які американські чиновники простежили до російського уряду, Хабер вказав на вказівки та рекомендації Федерального бюро розслідувань (ФБР), Департаменту внутрішньої безпеки (DHS) та Національного інституту стандартів і технологій (NIST), що могли пом'якшити вразливості безпеки DNC:

• Вказівки щодо привілеїв, оцінки вразливості, виправлення та тестування ручками існують у встановлених рамках, таких як NIST 800-53v4.
• Агентства повинні виконати кращу роботу з впровадження встановлених рамок (таких як NIST Framework of Cybersecurity Framework) та вимірювання їх успіху.

"ФБР і DHS оприлюднили документ, в якому викладається, як два" Постійні стійкі загрози "використовували підводний фішинг і зловмисне програмне забезпечення для проникнення в політичну систему США та надання прихованих операцій з метою втручання в виборчий процес в США", - сказав Хабер. "Вина прямо спрямована на напад на національну державу, і рекомендує кроки, які повинні зробити всі урядові та політичні агенції, щоб зупинити цей тип вторгнення. Проблема полягає в тому, що ці рекомендації не є новим і складають основу для вже встановлених правил щодо безпеки. НІСТ ".

3. Мірай

2016 рік був роком, коли ми нарешті стали свідками масштабів кібератаки, на яку здатний глобальний ботнет. Мільйони небезпечних пристроїв Інтернету речей (IoT) були занесені в ботнет Mirai і використовувались для масового перевантаження постачальника системи Dynamic DNS Dyn при атаці DDoS. Атака знищила Etsy, GitHub, Netflix, Shopify, SoundCloud, Spotify, Twitter та багато інших основних веб-сайтів. Хабер вказав на чотири прямі уроки безпеки, які бізнес може взяти після інциденту:

• Пристрої, які не можуть оновлювати своє програмне забезпечення, паролі чи програмне забезпечення, ніколи не повинні реалізовуватися.
• Для встановлення будь-якого пристрою в Інтернеті рекомендується змінити стандартне ім'я користувача та пароль.
• Паролі для пристроїв IoT повинні бути унікальними для кожного пристрою, особливо коли вони підключені до Інтернету.
• Завжди виправляйте пристрої IoT найновішим програмним забезпеченням та мікропрограмним забезпеченням, щоб зменшити вразливості.

"Інтернет речей буквально перейняв наші домашні та корпоративні мережі", - сказав Хабер. "З відкритим випуском вихідного коду зловмисного програмного забезпечення Mirai, зловмисники створили ботнет, який використовує паролі за замовчуванням і невстановлені вразливості, щоб створити складний всесвітній ботнет, який може викликати масштабні DDoS-атаки. Він був успішно використаний кілька разів у 2016 році, щоб порушити Інтернет в США. через DDoS проти DNS-послуг, які надає Dyn телекомунікаціям у Франції та банкам Росії ".

4. LinkedIn

Часто змінювати паролі - це завжди розумна ідея, яка стосується вашого бізнесу та особистих облікових записів. LinkedIn став жертвою великого злому в 2012 році, який просочився публічно наприкінці минулого року, а також нещодавнього злому веб-сайту для навчання Lynda.com, який торкнувся 55 000 користувачів. Для ІТ-менеджерів, які встановлюють політику безпеки бізнесу та паролів, Хабер сказав, що хакер LinkedIn зводиться в основному до здорового глузду:

• Часто міняйте свої паролі; чотирирічний пароль, мабуть, просто задає проблеми.
• Ніколи не використовуйте повторно свої паролі на інших веб-сайтах. Це порушення чотирирічного віку може легко призвести до того, що хтось спробує той самий пароль на іншому веб-сайті соціальних медіа чи електронному обліковому записі, а також може скомпрометувати інші акаунти просто тому, що той самий пароль використовувався в декількох місцях.

"Напад більше чотирьох років тому публічно просочився на початку 2016 року", - сказав Хабер. "Користувачі, які з тих пір не змінювали свої паролі, знаходили свої імена користувачів, електронні адреси та паролі, загальнодоступні в темній мережі. Легкий вибір хакера."

5. Служба внутрішніх доходів (IRS)

Нарешті, Хабер сказав, що ми не можемо забути про хаки IRS. Це сталося двічі, у 2015 році та знову на початку 2016 року, і вплинуло на критичні дані, включаючи податкові декларації та номери соціального страхування.

"Вектор атаки був проти послуги" Отримати стенограму ", яка використовується для всього, починаючи від кредитів коледжу до обміну вашими податковими деклараціями з уповноваженими третіми особами. Завдяки простоті системи номер соціального страхування може бути використаний для отримання інформації, а потім створення підроблені податкові декларації, суми відшкодування та в електронному вигляді на банківському рахунку-шахраї ", - пояснив Хабер. "Це примітно, оскільки система, як і Yahoo, була порушена двічі, виправлена, але все-таки мала серйозні недоліки, які дозволили її знову порушити. Крім того, обсяг порушення був суттєво занижений, починаючи з ранніх рахунків 100 000 користувачів і більше Врешті-решт 700 000. Невідомо, чи знову це повернеться за 2016 рік ".

Хабер вказав на два основні уроки, які бізнес може навчитися з хакерів IRS:

• Виправлення випробувань на проникнення мають вирішальне значення; лише тому, що ви усунули один недолік, це не означає, що послуга захищена.
• Криміналістика є критичною після інциденту чи порушення. Надання порядку семикратного замовлення на кількість постраждалих облікових записів свідчить про те, що масштаб проблеми ніхто не зрозумів.

"Я думаю, що за 2017 рік ми очікуємо більше того ж. Національні штати, пристрої IoT та гучні компанії будуть зосереджені у звітах про порушення", - сказав Хабер. "Я вважаю, що буде висвітлено закони про конфіденційність, що регулюють пристрої IoT та обмін інформацією, що міститься в них. Це охоплюватиме все, починаючи від пристроїв, таких як Amazon Echo, до інформації, що надходить із країн EMEA в США та Азіатсько-Тихоокеанський регіон".