5 nejhorších hacků a porušení 2016 a co znamenají pro rok 2017

Rok 2016 nebyl pro bezpečnost velkým rokem, přinejmenším pokud se jednalo o porušení profilu, hackování a úniky dat. V tomto roce došlo k dalšímu seznamu prádelen velkých společností, organizací a webových stránek zasažených útoky typu DDoS (Distribated Denial-of-Service), obrovských mezipamětí zákaznických dat a hesel, které zasáhly černý trh a nabídly nejvyššímu zájemci, a všem způsob vniknutí malwaru a ransomwaru.

Je tu spousta, že podniky mohou udělat pro zmírnění těchto rizik. Můžete samozřejmě investovat do řešení zabezpečení koncových bodů, ale je také důležité dodržovat osvědčené postupy zabezpečení dat a využívat dostupné rámce zabezpečení a zdroje.

V roce 2016 se však v důsledku kataklyzmatických útoků a porušení dostaly do centra pozornosti LinkedIn, Yahoo, Demokratický národní výbor (DNC) a Internal Revenue Service (IRS). Mluvili jsme s Morey Haberem, viceprezidentem pro technologii v oblasti zranitelnosti a poskytovatele správy identit BeyondTrust, o tom, co společnost považuje za pět nejhorších hacků roku - a o kritických lekcích, které se podniky od nich mohou poučit.

1. Yahoo

Padlý internetový gigant měl historicky špatný bezpečnostní rok, aby doplnil své prohloubené finance, vytrhl porážku ze spárů vítězství poté, co řada odhalení porušení profilů a úniky údajů o zákaznících opustily Verizon zakódování, aby našlo cestu ze svého získání 4, 8 miliardy dolarů. Haber řekl, že porušení Yahoo může podnikům naučit tři cenné lekce:

• Věřte svým bezpečnostním týmům a neizolujte je.
• Nedávejte všechny své korunovační klenoty do jedné databáze.
• Řiďte se zákonem a etikou pro řádné odhalení porušení.

"Je to poprvé, kdy byla velká společnost, která byla uvedena do prodeje, za jeden rok dvakrát ponořena za porušení a drží titul největšího porušení, jaké kdy dosáhla jedna společnost, " řekl Haber. „To je ještě přesvědčivější, protože nejhorším porušením v roce 2016 je porušení, ke kterému došlo tři roky před zveřejněním, a druhé porušení bylo objeveno pouze kvůli forenzním vyšetřením prvního porušení. Celkem bylo napadeno více než miliarda účtů, což představuje všechny společnosti o tom, jak nespravovat osvědčené postupy zabezpečení ve vaší firmě. “

2. Demokratický národní výbor

V nejznámějších bezpečnostních narušeních volebního období byl Demokratický národní výbor (DNC) hacknut více než jednou, což vedlo k úniku e-mailů od úředníků (včetně předsedy DNC Debbie Wassermana Schultze a manažera kampaně Clintona Johna Podestu) přes WikiLeaks. V hackech, které američtí úředníci vystopovali zpět k ruské vládě, Haber poukázal na pokyny a doporučení Federálního úřadu pro vyšetřování (FBI), Ministerstva vnitřní bezpečnosti (DHS) a Národního institutu pro standardy a technologie (NIST), které mohl zmírnit bezpečnostní chyby DNC:

• V zavedených rámcích, jako je NIST 800-53v4, existují pokyny pro oprávnění, hodnocení zranitelnosti, oprava a testování perem.
• Agentury musí udělat lepší práci při zavádění zavedených rámců (například NIST Cybersecurity Framework) a měření jejich úspěchu.

„FBI a DHS vydali dokument, který uvádí, jak dva pokročilé perzistentní hrozby používaly phishing a malware pomocí oštěpu a infiltrování do amerického politického systému a poskytovaly skryté operace, aby narušily americký volební proces, “ řekl Haber. „Vina je přímo zaměřena na útok na národní stát a doporučuje kroky, které by všechny vlády a politické agentury měly učinit, aby zastavily tento typ vniknutí. Problém je v tom, že tato doporučení nejsou ničím novým a tvoří základ pro bezpečnostní pokyny již stanovené z NIST. “

3. Mirai

Rok 2016 byl rokem, kdy jsme byli konečně svědky rozsahu kybernetického útoku, který je globální botnet schopen. Miliony nezabezpečených zařízení internetu věcí (IoT) byly zameteny do botnetu Mirai a použity k masivnímu přetížení poskytovatele systému názvů domén (DNS) Dyn útokem DDoS. Útok vyrazil Etsy, GitHub, Netflix, Shopify, SoundCloud, Spotify, Twitter a spoustu dalších významných webových stránek. Haber poukázal na čtyři jednoduché lekce bezpečnosti loT, které mohou podniky z incidentu vzít:

• Zařízení, která nemohou aktualizovat svůj software, hesla nebo firmware, by nikdy neměla být implementována.
• Při instalaci jakéhokoli zařízení na internetu se doporučuje změnit výchozí uživatelské jméno a heslo.
• Hesla pro zařízení IoT by měla být pro každé zařízení jedinečná, zejména pokud jsou připojena k internetu.
• Zařízení IoT vždy opravujte nejnovějším softwarem a firmwarem, abyste zmírnili zranitelnost.

"Internet věcí doslova převzal naše domácí a firemní sítě, " řekl Haber. „S veřejným vydáním zdrojového kódu malwaru Mirai útočníci vytvořili botnet, který pomocí výchozích hesel a neodstranitelných zranitelností vytvořil sofistikovaný celosvětový botnet, který může způsobit masivní útoky DDoS. V roce 2016 byl úspěšně použit několikrát k přerušení internetu v USA. prostřednictvím DDoS proti službám DNS poskytovaných společností Dyn telekomunikacím ve Francii a bankám v Rusku. ““

4. LinkedIn

Častá změna hesel je vždy chytrý nápad a to platí pro vaše obchodní i osobní účty. LinkedIn se stal v roce 2012 obětí významného hacku, který veřejně unikl koncem minulého roku, jakož i novějšího hacknutí svého internetového vzdělávacího webu Lynda.com, který ovlivnil 55 000 uživatelů. Pro manažery IT, kteří nastavují zásady zabezpečení podniků a hesel, Haber uvedl, že hacker LinkedIn přichází z velké části do rozumu:

• Často měňte svá hesla; čtyřleté heslo pravděpodobně požaduje jen potíže.
• Nikdy znovu nepoužívejte svá hesla na jiných webech. Toto čtyřleté porušení může snadno vést k tomu, že někdo zkusí stejné heslo na jiném webu sociálních médií nebo e-mailovém účtu a může ohrozit jiné účty jednoduše proto, že stejné heslo bylo použito na více místech.

"Útok před čtyřmi lety byl veřejně propuštěn začátkem roku 2016, " řekl Haber. „Uživatelé, kteří od té doby nezměnili svá hesla, našli na temném webu veřejně dostupná svá uživatelská jména, e-mailové adresy a hesla. Snadný výběr hackera.“

5. Služba interních příjmů (IRS)

Nakonec Haber řekl, že na IRS hacks nemůžeme zapomenout. K tomu došlo dvakrát, v roce 2015 a znovu na začátku roku 2016, a ovlivnily kritické údaje, včetně daňových přiznání a čísel sociálního zabezpečení.

„Vektor útoku byl proti službě„ Získat přepis “, která se používá pro všechno od půjček na vysoké školy až po sdílení daňových přiznání s autorizovanými třetími stranami. Kvůli jednoduchosti systému lze číslo sociálního zabezpečení použít k získání informací a poté k vytvoření falešná daňová přiznání, vrácení peněz a elektronicky na nepoctivý bankovní účet, “vysvětlil Haber. „Je to pozoruhodné, protože systém, stejně jako Yahoo, byl dvakrát porušen, opraven, ale stále měl závažné nedostatky, které umožňovaly jeho opětovné porušení. Kromě toho byl rozsah porušení hrubě podceňován, od časných účtů 100 000 uživatelů po více než 700 000 na konci. Není známo, zda se to znovu objeví pro návraty 2016. “

Haber poukázal na dvě základní lekce, které se podniky mohou poučit z hacků IRS:

• Opravy penetračního testování jsou zásadní; to, že jste opravili jednu vadu, neznamená, že služba je zabezpečená.
• Forensics je kritický po incidentu nebo porušení. Mít sedminásobnou velikost řádu na počtu dotčených účtů znamená, že nikdo opravdu nerozuměl rozsahu problému.

"Pro rok 2017 si myslím, že budeme očekávat více stejné. Na hlášení případů porušení se soustředí národní státy, zařízení IoT a společnosti s vysokým profilem, " řekl Haber. "Věřím, že dojde k rozšíření pokrytí zákonů o ochraně soukromí, které upravují zařízení internetu věcí a sdílení informací v nich obsažených. To bude zahrnovat vše od zařízení, jako je Amazon Echo, až po informace plynoucí z EMEA v USA a v Asii a Tichomoří v rámci společností."