5-те най-лоши хакове и пробиви за 2016 г. и какво означават за 2017 г.

2016 г. не беше страхотна година за сигурност, поне що се отнася до високопрофилни нарушения, хакове и течове на данни. През годината се появи още един списък за пране на големи компании, организации и уебсайтове, засегнати с разпространени атаки за отказ от обслужване (DDoS), огромни кеши на клиентски данни и пароли, удрящи черния пазар за продажба на най-високия участник в търга, и всички начин на натрапване на зловреден софтуер и откупи.

Има много неща, които бизнесът може да направи, за да смекчи тези рискове. Разбира се, можете да инвестирате в решение за сигурност в крайна точка, но също така е важно да следвате най-добрите практики за сигурност на данните и да използвате наличните рамки и ресурси за сигурност.

Независимо от това, през 2016 г. LinkedIn, Yahoo, Демократичният национален комитет (DNC) и Службата за вътрешни приходи (IRS) влязоха в светлината на прожекторите след катаклизматични атаки и нарушения. Разговаряхме с Морей Хабер, вицепрезидент по технологията в областта на уязвимостта и доставчик на управление на идентичността BeyondTrust, за това, което компанията счита за петте най-лоши хака през годината - и за критичните уроци, които бизнесът може да научи от всеки.

1. Yahoo

Падналият интернет гигант имаше исторически лоша година за сигурност, за да допълни провисналите си финансови средства, изтръгвайки поражение от лагерите на победата след поредица от оповестявания за пробиви в големи профили и течове на клиентски данни, оставиха Verizon да се измъкне, за да намери изход от своите 4, 8 милиарда долара придобиване. Хабер каза, че нарушенията на Yahoo могат да научат бизнеса на три ценни урока:

• Доверете се на екипите си за сигурност и не ги изолирайте.
• Не поставяйте всичките си бижута с корона в една база данни.
• Следвайте закона и етиката за правилно разкриване на нарушения.

„Това е първият път, когато голяма корпорация, която е продадена, е била двойно потапяна за нарушение за една година и притежава титлата за най-голямото нарушение някога за една компания“, каза Хабер. "Това, което прави това още по-завладяващо като най-тежкото нарушение за 2016 г., е нарушението настъпило три години преди публичното оповестяване, а второто нарушение беше открито само поради криминалистиката на първото нарушение. Общо над един милиард акаунти бяха компрометирани, представляващи всички компании за това как да не управлявате най-добрите практики за сигурност във вашия бизнес."

2. Демократичен национален комитет

При най-скандалните нарушения на сигурността на изборния сезон Демократичният национален комитет (DNC) бе хакнат повече от един път, което доведе до имейли от длъжностни лица (включително председателя на DNC Деби Васерман Шулц и ръководителя на кампанията на Клинтън Джон Подеста), изтичащи през WikiLeaks. В хакове, които американските служители са проследили до руското правителство, Хабер посочи насоки и препоръки от Федералното бюро за разследване (ФБР), Министерството на вътрешната сигурност (DHS) и Националния институт за стандарти и технологии (NIST), които можеше да смекчи уязвимостите на DNC за сигурност:

• Насоки за привилегии, оценка на уязвимостта, кръпка и тестване на писалки съществуват в установени рамки като NIST 800-53v4.
• Агенциите трябва да свършат по-добре работата по прилагането на установени рамки (като например NIST за киберсигурност) и да измерват своя успех.

"ФБР и DHS пуснаха документ, в който се очертава как две напреднали постоянни заплахи са използвали копие с фишинг и злонамерен софтуер, за да проникнат в политическата система на САЩ и да осигурят тайни операции, за да подправят изборен процес в САЩ", каза Хабер. "Вината е насочена пряко към нападение на национална държава и препоръчва стъпки, които всички правителствени и политически агенции трябва да предприемат, за да спрат този вид нахлуване. Проблемът е, че тези препоръки не са нищо ново и формират основата за вече установените насоки за сигурност от NIST."

3. Мираи

2016 беше годината, в която най-накрая станахме свидетели на величината на кибератаки, на които е способен глобален ботнет. Милиони несигурни устройства на Интернет на нещата (IoT) бяха пометени в ботнета на Mirai и бяха използвани за масово претоварване на доставчика Dyn на системата за домейни (DNS) Dyn с DDoS атака. Атаката нокаутира Etsy, GitHub, Netflix, Shopify, SoundCloud, Spotify, Twitter и още много големи уебсайтове. Хабер посочи четири прости урока по сигурността, които бизнесът може да извлече от инцидента:

• Устройства, които не могат да актуализират своя софтуер, пароли или фърмуер, никога не трябва да се прилагат.
• Промяната на потребителското име и паролата по подразбиране се препоръчва за инсталирането на всяко устройство в интернет.
• Паролите за IoT устройства трябва да са уникални за всяко устройство, особено когато са свързани към интернет.
• Винаги кръпка IoT устройства с най-новия софтуер и фърмуер, за да смекчите уязвимостите.

"Интернет на нещата превзе буквално нашите домашни и корпоративни мрежи", каза Хабер. "С публичното пускане на изходния код на зловреден софтуер Mirai, атакуващите създадоха ботнет, който използва пароли по подразбиране и незабележими уязвимости, за да създаде сложен световен ботнет, който може да причини масивни DDoS атаки. Той бе използван успешно многократно през 2016 г., за да прекъсне интернет в САЩ чрез DDoS срещу DNS услугите, предоставяни от Dyn на далекосъобщенията във Франция и банките в Русия."

4. LinkedIn

Честото променяне на паролите ви винаги е интелигентна идея и това важи за вашия бизнес и лични акаунти. LinkedIn стана жертва на голям хак през 2012 г., който излезе публично в края на миналата година, както и на по-скорошен хак на уебсайта му за онлайн обучение Lynda.com, който засегна 55 000 потребители. За ИТ мениджърите, определящи политики за бизнес сигурност и парола, Хабер каза, че хакът LinkedIn се свежда до голяма степен до здравия разум:

• Сменяйте паролите си често; четиригодишна парола вероятно просто иска проблеми.
• Никога не използвайте отново паролите си на други уебсайтове. Това нарушение на четири години може лесно да доведе до това, че някой опита същата парола в друг уебсайт на социалните медии или имейл акаунта и може да компрометира други акаунти, просто защото една и съща парола е използвана на много места.

"Атака преди четири години беше публично изтекла в началото на 2016 г.", каза Хабер. „Потребители, които не са променяли паролите си оттогава, са намерили своите потребителски имена, имейл адреси и пароли, публично достъпни в тъмната мрежа. Лесно избиране за хакер.“

5. Служба за вътрешни приходи (IRS)

И накрая, Хабер каза, че не можем да забравим хакерите на IRS. Те се случиха два пъти през 2015 г. и отново в началото на 2016 г. и засегнаха критичните данни, включително данъчните декларации и осигурителните номера.

„Векторът за атака беше срещу услугата„ Вземете препис “, използвана за всичко - от заеми в колежа до споделяне на вашите данъчни декларации с оторизирани трети страни. Поради простотата на системата, социалният осигурителен номер може да се използва за извличане на информация и след това създаване фалшиви данъчни декларации, възлизащи на възстановяване и електронно по банкова сметка “, обясни Хабер. „Това е забележително, тъй като системата, подобно на Yahoo, беше нарушена два пъти, поправена, но все пак имаше сериозни недостатъци, които позволиха да бъде нарушен отново. В допълнение, обхватът на нарушението беше грубо подценен, от ранни акаунти на 100 000 потребители до повече В крайна сметка 700 000. Не се знае дали това ще се появи отново за 2016 г."

Хабер посочи два основни урока, които бизнесът може да научи от хакове на IRS:

• Поправките за тестване на проникване са от решаващо значение; само защото сте поправили един недостатък не означава, че услугата е защитена.
• Криминалистиката е критична след инцидент или нарушение. Да имаш седем пъти по-голяма поръчка за броя на засегнатите акаунти означава, че никой всъщност не е разбрал обхвата на проблема.

„За 2017 г. смятам, че ще очакваме повече от едно и също. Нации, IoT устройства и компании с висок профил ще бъдат в центъра на отчитането на нарушения“, каза Хабер. „Вярвам, че ще има опасност за отразяването на законите за поверителност, които уреждат IoT устройствата и споделянето на информация, съдържаща се в тях. Това ще обхване всичко - от устройства като Amazon Echo до информация, постъпваща от EMEA в САЩ и Азиатско-Тихоокеанския регион в рамките на компаниите.“