Casa Negocis Els 5 pitjors embats i incompliments del 2016 i què signifiquen per al 2017

Els 5 pitjors embats i incompliments del 2016 i què signifiquen per al 2017

Taula de continguts:

Vídeo: The AMAZING SPIDER-MAN in Real Life - Parkour, Flips & Swings (De novembre 2024)

Vídeo: The AMAZING SPIDER-MAN in Real Life - Parkour, Flips & Swings (De novembre 2024)
Anonim

El 2016 no va ser un any excel·lent per a la seguretat, almenys pel que fa a incompliments, hacks i filtracions de dades. L’any va veure una altra llista de bugaderia d’empreses, organitzacions i llocs web de nom més gran amb atacs de denegació de servei (DDoS) distribuïts, enormes caché de dades de clients i contrasenyes que van assolir el mercat negre per a la venda a l’oferta més alta i tot. forma de programari maliciós i intrusions de ransomware.

Les empreses poden fer molt per mitigar aquests riscos. Per descomptat, podeu invertir en una solució de seguretat d'extrem, però també és important seguir les bones pràctiques de seguretat de dades i utilitzar els marcs i recursos de seguretat disponibles.

Tot i això, el 2016, LinkedIn, Yahoo, el Comitè Nacional Demòcrata (DNC) i el Servei d'Intervenció Interna (IRS) es van llançar al punt de mira arran d'atacs i violacions cataclísmiques. Hem parlat amb Morey Haber, vicepresident de Tecnologia del proveïdor de gestió de la vulnerabilitat i de la identitat BeyondTrust sobre el que la companyia considera els cinc pitjors problemes de l'any i les lliçons crítiques que les empreses poden obtenir de cadascun.

1. Yahoo

El gegant caigut a Internet va tenir un historial de seguretat històricament dolent per complementar la seva caiguda financera, arrabassant la derrota dels embuts de la victòria després que una sèrie de divulgacions d’incompliment d’alt perfil i filtracions de dades dels clients deixessin Verizon escorcollant per trobar una sortida de l’adquisició de 4.800 milions de dòlars. Haber va dir que els incompliments de Yahoo poden ensenyar a les empreses tres lliçons valuoses:

  • Confia en els teus equips de seguretat i no els aïlla.
  • No poseu totes les joies de la corona en una base de dades.
  • Seguiu la legislació i l'ètica per a la divulgació adequada de les infraccions.

"És la primera vegada que una gran corporació, posada a la venda, va ser doblegada per un incompliment en un any i ostenta el títol de la més gran falta que hagi existit en una sola empresa", va dir Haber. "El que fa que això sigui encara més convincent, ja que el pitjor incompliment del 2016 és l'incompliment es va produir tres anys abans de la divulgació pública i el segon incompliment només es va descobrir a causa dels forenses de la primera violació. Es van comprometre més de mil milions de comptes, representant a tots. empreses sobre com no gestionar les bones pràctiques de seguretat de la vostra empresa ".

2. Comitè Nacional Democràtic

En els incompliments de seguretat de la temporada electoral, el Comitè Nacional Democràtic (DNC) va ser piratejat en més d'una ocasió, donant lloc a correus electrònics de funcionaris (inclosa la presidenta del DNC, Debbie Wasserman Schultz i el director de campanya de Clinton, John Podesta), filtrant-se a través de WikiLeaks. En el cas que els oficials nord-americans han remuntat el govern rus, Haber va assenyalar directrius i recomanacions de la Oficina Federal d'Investigació (FBI), el Departament de Seguretat Nacional (DHS) i l'Institut Nacional de Normes i Tecnologia (NIST) que podria haver mitigat les vulnerabilitats de seguretat del DNC:

  • Les directrius per a privilegis, l’avaluació de la vulnerabilitat, el pegat i les proves de ploma existeixen en marcs establerts com NIST 800-53v4.
  • Les agències han de fer un millor treball per implementar marcs establerts (com el NIST Cybersecurity Framework) i mesurar el seu èxit.

"L'FBI i la DHS han publicat un document que explica com dues amenaces persistents avançades utilitzaven la pesca contra el llançament i el programari maliciós per infiltrar-se en el sistema polític dels Estats Units i oferir operacions encobertes per alterar el procés electoral dels Estats Units", va dir Haber. "La culpa està dirigida a un atac de l'estat nació i recomana les mesures que tots els governs i les agències polítiques haurien de fer per aturar aquest tipus d'intrusisme. El problema és que aquestes recomanacions no són res noves i constitueixen la base de les directrius de seguretat ja establertes. NIST."

3. Mirai

El 2016 va ser l'any que finalment vam ser testimonis de la magnitud del ciberataque de la qual és capaç un botnet global. Milions de dispositius d'Internet de les coses no segurs (IoT) van ser arrossegats a la botnet Mirai i s'utilitzaven per sobrecarregar massivament el proveïdor de sistemes de noms de domini (DNS) Dyn amb un atac DDoS. L'atac va fer fora Etsy, GitHub, Netflix, Shopify, SoundCloud, Spotify, Twitter i una multitud d'altres llocs web importants. Haber va assenyalar quatre lliçons senzilles de seguretat contra la seguretat intel·lectual que poden prendre les empreses de l'incident:

  • Els dispositius que no poden tenir actualitzats el seu programari, les seves contrasenyes o el firmware no s’han d’implementar.
  • Es recomana canviar el nom d’usuari i la contrasenya per defecte per a la instal·lació de qualsevol dispositiu a Internet.
  • Les contrasenyes dels dispositius IoT han de ser únics per dispositiu, sobretot quan estiguin connectats a Internet.
  • Sempre pegeu els dispositius IoT amb el programari i el firmware més moderns per mitigar les vulnerabilitats.

"Internet de les coses s'ha fet càrrec de les nostres xarxes domèstiques i corporatives, literalment", va dir Haber. "Amb el llançament públic del codi font del programari maliciós Mirai, els atacants van crear una botnet que contrasenya per defecte i vulnerabilitats no compatibles per crear un botnet sofisticat a tot el món que pot provocar atacs massius de DDoS. Es va utilitzar amb èxit diverses vegades el 2016 per interrompre Internet als EUA. via DDoS contra els serveis DNS que Dyn ofereix a les telecomunicacions a França i als bancs a Rússia."

4. LinkedIn

Canviar les contrasenyes amb freqüència és sempre una idea intel·ligent i és ideal per als vostres comptes de negoci i personals. LinkedIn va ser víctima d’un important hack el 2012 que es va filtrar públicament a finals de l’any passat, així com d’un hack més recent del seu lloc d’aprenentatge en línia Lynda.com que va afectar 55.000 usuaris. Per als gestors de TI que estableixen polítiques de seguretat i contrasenya empresarials, Haber va dir que el hack de LinkedIn es refereix en gran mesura al sentit comú:

  • Canvieu les contrasenyes amb freqüència; probablement una contrasenya de quatre anys només demana problemes.
  • No reutilitzeu la contrasenya en altres llocs web. Aquest incompliment de quatre anys podria conduir fàcilment a algú a provar la mateixa contrasenya en un altre lloc web de xarxes socials o en un compte de correu electrònic i podria comprometre altres comptes simplement perquè s’utilitzava la mateixa contrasenya en diversos llocs.

"Un atac fa més de quatre anys es va filtrar públicament a principis del 2016", va dir Haber. "Els usuaris que no havien canviat la seva contrasenya des de llavors van trobar el seu nom d'usuari, adreces de correu electrònic i contrasenyes disponibles públicament a la web fosca. Fàcil elecció per a un hacker."

5. Servei d'ingressos interns (IRS)

Finalment, Haber va dir que no ens podem oblidar dels hacks IRS. Això va succeir dues vegades, el 2015 i de nou a principis del 2016, i van afectar les dades crítiques, incloses les declaracions d’impostos i els números de seguretat social.

"El vector d'atac estava en contra del servei 'Obtenir transcripció', utilitzat per a tot, des de préstecs universitaris fins a compartir les declaracions d'impostos amb tercers autoritzats. A causa de la simplicitat del sistema, es podria utilitzar un número de seguretat social per recuperar informació i després crear declaracions d’impostos falsos, que comporten una devolució i de forma electrònica en un compte bancari malsonant ”, va explicar Haber. "Això és notori perquè el sistema, com Yahoo, es va incomplir dues vegades, es va solucionar, però encara tenia greus defectes que van permetre que es tornés a incomplir. A més, es va subestimar bruscament l'abast de l'incompliment, des dels comptes inicials de 100.000 usuaris fins a més. Al final, 700.000. No se sap si tornarà a sortir aquesta superfície durant els retorns del 2016 ".

Haber va assenyalar dues lliçons bàsiques que les empreses poden aprendre dels hacks IRS:

  • Les solucions de penetració són crucials; només perquè heu solucionat un defecte no vol dir que el servei sigui segur.
  • Els forenses són crítics després d’un incident o incompliment. Tenir una magnitud de set vegades en el nombre de comptes afectats indica que ningú no va entendre realment l'abast del problema.

"Per al 2017, crec que esperarem més del mateix. Els estats nació, els dispositius IoT i les empreses d'alt perfil seran el focus de la infracció d'informes", va dir Haber. "Crec que hi haurà una incidència de la cobertura de les lleis de privadesa que regulen els dispositius IoT i l'intercanvi d'informació continguda en ells. Això abastarà des dels dispositius com Amazon Echo fins a la informació procedent d'EMEA als Estats Units i Àsia-Pacífic en les empreses."

Els 5 pitjors embats i incompliments del 2016 i què signifiquen per al 2017