目次:
2016年は、少なくとも有名な侵害、ハッキング、データリークが懸念されるセキュリティにとって、素晴らしい年ではありませんでした。 今年は、分散型サービス拒否(DDoS)攻撃、顧客データとパスワードの巨大なキャッシュが落札者に販売する闇市場にヒットするなど、大手企業、組織、ウェブサイトの別のランドリーリストがありました。マルウェアやランサムウェアの侵入方法。
これらのリスクを軽減するために企業ができることはたくさんあります。 もちろん、エンドポイントセキュリティソリューションに投資することもできますが、データセキュリティのベストプラクティスに従って、利用可能なセキュリティフレームワークとリソースを利用することも重要です。
それにもかかわらず、2016年には、LinkedIn、Yahoo、Democratic National Committee(DNC)、および内国歳入庁(IRS)が、激変の攻撃と違反をきっかけにスポットライトを浴びました。 脆弱性のテクノロジー担当バイスプレジデントであり、ID管理プロバイダーのBeyondTrustであるMorey Haberに、同社が今年の5つの最悪のハックと見なすものと、企業がそれぞれから学べる重要な教訓について話を聞きました。
1.ヤフー
倒れたインターネットの巨人は、金融市場の低迷を補うために歴史的に悪いセキュリティ年を迎えました。一連の著名な情報漏えいや顧客データ漏洩により、Verizonが48億ドルの買収から逃げ出すために急いで立ち去った後、勝利のクラッチからの敗北を奪いました。 ハーバー氏は、ヤフーの違反は企業に3つの貴重な教訓を教えることができると述べました。
- セキュリティチームを信頼し、隔離しないでください。
- すべての王冠の宝石を1つのデータベースに入れないでください。
- 適切な違反開示については、法律と倫理に従ってください。
「売りに出されている大手企業が1年間で2倍の侵害を受けたのは初めてであり、単一の企業にとって史上最大の侵害のタイトルを保持しています」とHaber氏は言います。 「2016年の最悪の違反としてこれをさらに説得するのは、公開の3年前に違反が発生し、2回目の違反は最初の違反の法医学のために発見されただけです。合計で10億を超えるアカウントが侵害されました。企業内でセキュリティのベストプラクティスを管理しない方法に関する企業。」
2.民主党全国委員会
選挙シーズンの最も悪名高いセキュリティ違反で、民主党全国委員会(DNC)が複数回ハッキングされ、その結果、当局(DNC議長のDebbie Wasserman SchultzとクリントンキャンペーンマネージャーのJohn Podestaを含む)からのメールがWikiLeaksを通じて漏れました。 米国当局者がロシア政府にまでさかのぼるハッキングにおいて、ハーバーは連邦捜査局(FBI)、国土安全保障省(DHS)、および米国標準技術局(NIST)からのガイドラインと推奨事項を指摘しました。 DNCのセキュリティの脆弱性を軽減できた可能性があります。
- 特権、脆弱性評価、パッチ適用、およびペンテストのガイドラインはすべて、NIST 800-53v4などの確立されたフレームワークに存在します。
- 機関は、確立されたフレームワーク(NIST Cybersecurity Frameworkなど)を実装し、その成功を測定するより良い仕事をする必要があります。
「FBIとDHSは、2つのAdvanced Persistent Threatsがスピアフィッシングとマルウェアを使用して米国の政治システムに侵入し、米国の選挙プロセスを改ざんするための秘密作戦を提供する方法を概説した文書をリリースしました。」 「非難は国民国家攻撃に向けられており、この種の侵入を阻止するためにすべての政府および政治機関がとるべき措置を推奨しています。問題は、これらの勧告は新しいものではなく、すでに確立されたセキュリティガイドラインの基盤を形成していることです。 NIST。」
3.みらい
2016年は、ついにグローバルボットネットが可能なサイバー攻撃の規模を目撃した年でした。 何百万もの安全でないモノのインターネット(IoT)デバイスがMiraiボットネットに流され、ドメインネームシステム(DNS)プロバイダーのDynをDDoS攻撃で過負荷にするために使用されました。 この攻撃により、Etsy、GitHub、Netflix、Shopify、SoundCloud、Spotify、Twitter、その他多数の主要Webサイトがノックアウトされました。 Haberは、企業がこのインシデントから受けることができる4つの簡単なloTセキュリティレッスンを指摘しました。
- ソフトウェア、パスワード、またはファームウェアを更新できないデバイスは実装しないでください。
- インターネット上のデバイスをインストールする場合は、デフォルトのユーザー名とパスワードを変更することをお勧めします。
- IoTデバイスのパスワードは、特にインターネットに接続されている場合、デバイスごとに一意である必要があります。
- 常に脆弱性を軽減するために、IoTデバイスに最新のソフトウェアとファームウェアをパッチします。
「モノのインターネットが、私たちのホームネットワークおよび企業ネットワークを文字通り引き継いでいます」とハーバー氏は述べています。 「Miraiマルウェアソースコードの公開リリースにより、攻撃者はデフォルトのパスワードとパッチ未適用の脆弱性を備えたボットネットを作成し、大規模なDDoS攻撃を引き起こす可能性のある洗練された世界的なボットネットを作成しました。2016年に複数回使用され、米国のインターネットを混乱させましたDynがフランスの通信会社やロシアの銀行に提供するDNSサービスに対するDDoS経由。」
4. LinkedIn
パスワードを頻繁に変更することは常に賢明なアイデアであり、ビジネスアカウントや個人アカウントにも当てはまります。 LinkedInは、昨年末に公開された2012年の大規模なハックの被害者であり、55, 000人のユーザーに影響を与えた最近のオンライン学習サイトLynda.comのハックの被害者でもありました。 Haber氏は、ビジネスセキュリティとパスワードポリシーを設定するITマネージャーにとって、LinkedInのハッキングは主に常識に基づいていると述べています。
- パスワードを頻繁に変更します。 4年前のパスワードは、おそらく単に問題を求めているだけです。
- 他のウェブサイトでパスワードを再利用しないでください。 4年前の違反は、誰かが別のソーシャルメディアWebサイトまたは電子メールアカウントで同じパスワードを簡単に試行し、同じパスワードが複数の場所で使用されているという理由だけで他のアカウントを侵害する可能性があります。
「4年以上前の攻撃は、2016年初頭に公表されました」とHaber氏は述べています。 「その後、パスワードを変更しなかったユーザーは、ユーザー名、メールアドレス、パスワードをダークウェブで公開していることがわかりました。ハッカーが簡単に選ぶことができます。」
5.内国歳入庁(IRS)
最後に、Haberは、IRSハッキングを忘れることはできないと述べました。 これらは2015年と2016年初頭に2回発生し、納税申告書や社会保障番号などの重要なデータに影響を与えました。
「攻撃ベクトルは、大学のローンから認定された第三者と納税申告書を共有することまで、すべてに使用される「Get Transcript」サービスに対するものでした。システムがシンプルであるため、社会保障番号を使用して情報を取得し、作成することができます偽の納税申告書で、払い戻し額と電子的に不正な銀行口座に振り分けられます」とハーバー氏は説明します。 「これは、Yahooのようにシステムが2回侵害され、修正されたものの、再び侵害される重大な欠陥があるため、注目に値します。さらに、100, 000ユーザーの初期アカウントから最終的には700, 000。2016年のリターンでこれが再び浮上するかどうかは不明です。」
Haberは、企業がIRSハックから学べる2つのコアレッスンを指摘しました。
- 侵入テストの修正は重要です。 1つの欠陥を修正したからといって、サービスが安全であるとは限りません。
- フォレンジックは、インシデントまたは違反の後に重要です。 影響を受けるアカウントの数の順序を7倍にすることは、誰も問題の範囲を実際に理解していないことを示します。
「2017年については、さらに多くのことを期待すると思います。国家、IoTデバイス、有名企業が侵害レポートの焦点になるでしょう」とHaber氏は述べています。 「IoTデバイスとその中に含まれる情報の共有を管理するプライバシー法の適用範囲が増えると思います。これは、Amazon Echoのようなデバイスから、企業内のEMEA、米国およびアジア太平洋から流れる情報まですべてをカバーします」
