Ang 5 pinakamasamang hack at paglabag sa 2016 at kung ano ang ibig sabihin ng para sa 2017

Ang 2016 ay hindi isang mahusay na taon para sa seguridad, hindi bababa sa kung saan nababahala ang mga high-profile na paglabag, hack, at mga pagtagas ng data. Nakita ng taon ang isa pang listahan ng paglalaba ng mga kumpanya na may malaking pangalan, samahan, at website na na-hit sa ipinamamahagi na pag-atake ng pagtanggi sa serbisyo (DDoS), malaking cache ng data ng customer at mga password na naghagupit sa itim na merkado para ibenta sa pinakamataas na bidder, at lahat paraan ng pag-agaw ng malware at ransomware.

Maraming magagawa ang mga negosyo upang mapagaan ang mga panganib na ito. Maaari mong, siyempre, mamuhunan sa isang solusyon sa seguridad ng endpoint, ngunit mahalaga din na sundin ang mga pinakamahusay na kasanayan sa seguridad ng data at gamitin ang mga magagamit na mga security frameworks at mga mapagkukunan.

Gayunpaman, ang 2016 ay nakita ang LinkedIn, Yahoo, ang Demokratikong Pambansang Komite (DNC), at ang Internal Revenue Service (IRS) na tuluyan nang masilayan sa pag-atake ng mga pag-atake ng cataclysmic at paglabag. Nakausap namin si Morey Haber, Bise Presidente ng Teknolohiya sa kahinaan at pamamahala ng pagkakakilanlan ng pamamahala na BeyondTrust tungkol sa kung ano ang isinasaalang-alang ng kumpanya ang limang pinakamasamang hacks ng taon - at ang mga kritikal na aralin na maaaring matutunan ng mga negosyong mula sa bawat isa.

1. Yahoo

Ang bumagsak na higanteng internet ay may isang hindi magandang kasaysayan sa seguridad na taon upang makadagdag sa napapanatiling mga pananalapi, nakakuha ng pagkatalo mula sa mga kalat ng tagumpay matapos ang isang string ng mga pagbubunyag ng paglabag sa mataas na profile at paglabas ng data ng customer ay umalis sa pag-scrambling ng Verizon upang makahanap ng isang paraan sa kanyang $ 4.8 bilyon na acquisition. Sinabi ni Haber na ang mga paglabag sa Yahoo ay maaaring magturo sa mga negosyo ng tatlong mahalagang mga aralin:

• Tiwala sa iyong mga pangkat ng seguridad at huwag ihiwalay ang mga ito.
• Huwag ilagay ang lahat ng iyong mga hiyas ng korona sa isang database.
• Sundin ang batas at etika para sa wastong pagsisiwalat ng paglabag.

"Ito ang unang pagkakataon na ang isang pangunahing korporasyon, na ipinagbibili, ay dobleng nalubog para sa isang paglabag sa isang taon, at humahawak ng pamagat para sa pinakamalaking paglabag sa kailanman para sa isang solong kumpanya, " sabi ni Haber. "Ang gumagawa nito kahit na mas nakaka-engganyo dahil ang pinakamasamang paglabag sa 2016 ay ang paglabag ay nangyari tatlong taon bago ang pagbubunyag ng publiko at ang pangalawang paglabag ay natuklasan lamang dahil sa forensics ng unang paglabag. Mahigit sa isang bilyong account ang kabuuang ay nakompromiso, na kumakatawan sa lahat mga kumpanya kung paano hindi pamahalaan ang pinakamahusay na kasanayan sa seguridad sa loob ng iyong negosyo. "

2. Komite ng Demokratikong Pambansa

Sa pinakapanghamong mga paglabag sa seguridad sa panahon ng halalan, ang Demokratikong Komite ng Pambansa (DNC) ay na-hack ng higit sa isang okasyon, na nagreresulta sa mga email mula sa mga opisyal (kasama ang DNC chairman na si Debbie Wasserman Schultz at manager ng kampanya ng Clinton na si John Podesta) na tumagas sa WikiLeaks. Sa mga hack na nasusubaybayan ng mga opisyal ng US ang gobyerno ng Russia, itinuro ni Haber ang mga alituntunin at rekomendasyon mula sa Federal Bureau of Investigation (FBI), Kagawaran ng Homeland Security (DHS), at National Institute of Standards and Technology (NIST) na maaaring mapagaan ang kahinaan ng seguridad ng DNC:

• Mga patnubay para sa mga pribilehiyo, pagtatasa ng kahinaan, pag-patch, at pagsubok sa panulat lahat ay mayroon sa mga itinatag na mga frameworks tulad ng NIST 800-53v4.
• Ang mga ahensya ay kailangang gumawa ng isang mas mahusay na trabaho sa pagpapatupad ng mga itinatag na mga balangkas (tulad ng NIST Cybersecurity Framework) at pagsukat ng kanilang tagumpay.

"Ang FBI at DHS ay naglabas ng isang dokumento na naglalarawan kung paano ginamit ng dalawang Advanced Persistent Threats ang sibat phishing at malware upang makapasok sa sistemang pampulitika ng US at magbigay ng mga operasyon ng covert upang maiwasang ang proseso ng halalan ng US, " sabi ni Haber. "Ang sisihin ay squarely na naglalayong atake sa isang bansa-estado, at inirerekomenda ang mga hakbang na dapat gawin ng lahat ng ahensya ng gobyerno at pampulitika upang matigil ang ganitong uri ng panghihimasok. Ang problema ay, ang mga rekomendasyong ito ay walang bago, at bumubuo ng batayan para sa mga alituntunin ng seguridad na naitatag mula sa NIST. "

3. Mirai

Ang 2016 ay ang taon na sa wakas ay nasaksihan namin ang kadakilaan ng cyberattack kung saan may kakayahang pandaigdigang botnet. Milyun-milyong mga hindi secure na Internet ng mga Bagay (IoT) na aparato ay naipasok sa Mirai botnet at ginamit upang malawak na labis na labis na karga ng domain name system (DNS) provider na Din na may atake ng DDoS. Ang pag-atake ay kumatok sa Etsy, GitHub, Netflix, Shopify, SoundCloud, Spotify, Twitter, at isang tonelada ng iba pang mga pangunahing website. Itinuro ni Haber ang apat na diretso na mga aralin sa seguridad ng loT na maaaring makuha ng mga negosyo mula sa insidente:

• Ang mga aparato na hindi maaaring magkaroon ng kanilang software, password, o firmware na na-update ay hindi dapat ipatupad.
• Ang pagpapalit ng default na username at password ay inirerekomenda para sa pag-install ng anumang aparato sa internet.
• Ang mga password para sa IoT aparato ay dapat na natatangi sa bawat aparato, lalo na kung sila ay konektado sa internet.
• Laging i-patch ang mga aparato ng IoT sa pinakabagong software at firmware upang mabawasan ang mga kahinaan.

"Ang Internet ng mga bagay ay kinuha sa aming mga network sa bahay at korporasyon, nang literal, " sabi ni Haber. "Sa pamamagitan ng pampublikong paglabas ng Mirai malware code ng mapagkukunan, ang mga umaatake ay lumikha ng isang botnet na default na mga password at hindi ipinadala na kahinaan upang lumikha ng isang sopistikadong buong mundo na botnet na maaaring magdulot ng napakalaking pag-atake ng DDoS. Matagumpay itong ginamit nang maraming beses sa 2016 upang guluhin ang internet sa US. sa pamamagitan ng DDoS laban sa mga serbisyo ng DNS na ibinigay ng Dyn sa telecom sa Pransya at mga bangko sa Russia. "

4. LinkedIn

Ang pagbabago ng iyong mga password ay madalas na isang matalinong ideya at napupunta para sa iyong negosyo at personal na account. Ang LinkedIn ay naging biktima ng isang pangunahing hack noong 2012 na lumantad sa publiko sa huling bahagi ng nakaraang taon, pati na rin ang isang mas kamakailang pag-hack ng website sa online na pag-aaral na Lynda.com na nakakaapekto sa 55, 000 mga gumagamit. Para sa mga tagapamahala ng IT na nagtatakda ng seguridad ng negosyo at mga patakaran sa password, sinabi ni Haber na ang hack hack ng LinkedIn ay higit sa lahat sa kamalayan:

• Palitan ang iyong mga password nang madalas; ang isang apat na taong gulang na password ay marahil ay humihingi lamang ng problema.
• Huwag ulit gamitin ang iyong mga password sa ibang mga website. Ang apat na taong gulang na paglabag ay madaling humantong sa isang tao na sinusubukan ang parehong password sa isa pang website ng social media o email account at maaaring makompromiso ang iba pang mga account dahil lamang ang parehong password ay ginamit sa maraming lugar.

"Isang pag-atake sa paglipas ng apat na taon na ang nakalilipas ay publikong naikalat noong unang bahagi ng 2016, " sabi ni Haber. "Ang mga gumagamit na hindi nagbago ng kanilang mga password mula noon ay natagpuan ang kanilang mga username, email address, at mga password na magagamit sa publiko sa madilim na web. Madaling pagpili para sa isang hacker."

5. Serbisyo sa Panloob na Kita (IRS)

Panghuli, sinabi ni Haber na hindi namin makalimutan ang tungkol sa mga hack ng IRS. Nangyari ito ng dalawang beses, noong 2015 at muli noong unang bahagi ng 2016, at naapektuhan ang mga kritikal na data kasama ang mga pagbabalik sa buwis at mga numero ng seguridad sa lipunan.

"Ang pag-atake ng vector ay laban sa serbisyo na 'Kumuha ng Transcript', na ginamit para sa lahat mula sa mga pautang sa kolehiyo upang maibahagi ang iyong mga buwis na ibalik sa awtorisadong mga ikatlong partido. Dahil sa pagiging simple ng system, maaaring magamit ang isang numero ng seguridad sa lipunan upang makuha ang impormasyon at pagkatapos ay lumikha pekeng pagbabalik ng buwis, na nagkakahalaga ng isang refund at elektroniko sa isang rogue bank account, "paliwanag ni Haber. "Kapansin-pansin ito dahil ang system, tulad ng Yahoo, ay nasira ng dalawang beses, naayos, ngunit mayroon pa ring malubhang mga bahid na nagpapahintulot na ito ay muling masira. Bilang karagdagan, ang saklaw ng paglabag ay labis na nasiraan ng loob, mula sa mga naunang account ng 100, 000 mga gumagamit hanggang sa higit 700, 000 sa wakas. Hindi alam kung ito ay babalik muli para sa 2016 na babalik. "

Itinuro ni Haber ang dalawang pangunahing mga aralin na maaaring malaman ng mga negosyo mula sa mga hack ng IRS:

• Ang mga pag-aayos ng pagsubok sa penetration ay mahalaga; dahil lamang sa naayos mo ang isang kapintasan ay hindi nangangahulugang ligtas ang serbisyo.
• Ang mga forensics ay kritikal pagkatapos ng isang insidente o paglabag. Ang pagkakaroon ng isang pitong-tiklop na kadahilanan ng pagkakasunud-sunod sa bilang ng mga account na apektado ay nagpapahiwatig na wala talagang nakakaintindi sa saklaw ng problema.

"Para sa 2017, sa palagay ko ay aasahan namin ang higit sa pareho. Ang mga bansa-estado, mga aparato ng IoT, at mga kumpanya na may mataas na profile ang magiging pokus ng pag-uulat ng paglabag, " sabi ni Haber. "Naniniwala ako na magkakaroon ng gulo ng saklaw sa mga batas sa privacy na namamahala sa mga aparato ng IoT at ang pagbabahagi ng impormasyon na nilalaman sa loob ng mga ito. Saklaw nito ang lahat mula sa mga aparato tulad ng Amazon Echo hanggang sa impormasyon na dumadaloy mula sa EMEA ang USA at Asia-Pacific sa loob ng mga kumpanya."