De 5 ergste hacks en inbreuken op 2016 en wat ze voor 2017 betekenen

2016 was geen geweldig jaar voor beveiliging, althans als het ging om spraakmakende inbreuken, hacks en datalekken. Het jaar zag weer een nieuwe waslijst van grote bedrijven, organisaties en websites die werden getroffen met gedistribueerde denial-of-service (DDoS) aanvallen, enorme hoeveelheden klantgegevens en wachtwoorden die de zwarte markt bereikten voor de hoogste bieder, en alle wijze van indringers van malware en ransomware.

Bedrijven kunnen veel doen om deze risico's te beperken. U kunt natuurlijk investeren in een oplossing voor eindpuntbeveiliging, maar het is ook belangrijk om best practices voor gegevensbeveiliging te volgen en gebruik te maken van beschikbare beveiligingskaders en -bronnen.

In 2016 werden LinkedIn, Yahoo, het Democratic National Committee (DNC) en de Internal Revenue Service (IRS) echter in de schijnwerpers gezet na catastrofale aanvallen en inbreuken. We spraken met Morey Haber, vice-president van technologie bij BeyondTrust, een aanbieder van kwetsbaarheden en identiteitsbeheer, over wat het bedrijf beschouwt als de vijf slechtste hacks van het jaar - en de cruciale lessen die bedrijven van elk kunnen leren.

1. Yahoo

De gevallen internetreus had een historisch slecht beveiligingsjaar als aanvulling op zijn slappe financiële cijfers, het weggooien van de overwinning uit de klauwen van de overwinning na een reeks spraakmakende openbaringen van inbreuken en het lekken van klantgegevens liet Verizon op zoek naar een uitweg uit zijn acquisitie van $ 4, 8 miljard. Haber zei dat Yahoo-inbreuken bedrijven drie waardevolle lessen kunnen leren:

• Vertrouw op uw beveiligingsteams en isoleer ze niet.
• Plaats niet al uw kroonjuwelen in één database.
• Volg de wet en ethiek voor de juiste openbaarmaking van inbreuken.

"Het is de eerste keer dat een groot bedrijf, dat te koop wordt aangeboden, in één jaar dubbel is ondergedompeld voor een schending en het bezit van de titel voor de grootste schending ooit voor een enkel bedrijf, " zei Haber. "Wat dit nog dwingender maakt als de ergste schending van 2016 is dat de schending drie jaar voorafgaand aan de openbaarmaking plaatsvond en de tweede schending alleen werd ontdekt vanwege forensisch onderzoek van de eerste schending. In totaal werden meer dan een miljard accounts aangetast, wat neerkomt op iedereen bedrijven over het niet beheren van best practices voor beveiliging binnen uw bedrijf."

2. Democratisch Nationaal Comité

In de meest beruchte inbreuken op de verkiezingen tijdens het verkiezingsseizoen werd het Democratic National Committee (DNC) meer dan eens gehackt, waardoor e-mails van ambtenaren (waaronder DNC-voorzitter Debbie Wasserman Schultz en Clinton-campagneleider John Podesta) lekten via WikiLeaks. In hacks die Amerikaanse functionarissen hebben herleid tot de Russische regering, wees Haber op richtlijnen en aanbevelingen van het Federal Bureau of Investigation (FBI), het Department of Homeland Security (DHS) en het National Institute of Standards and Technology (NIST) dat had de beveiligingslekken van de DNC kunnen verminderen:

• Richtlijnen voor rechten, kwetsbaarheidsbeoordeling, patchen en pentests bestaan ​​allemaal in gevestigde kaders zoals NIST 800-53v4.
• Bureaus moeten beter werk maken van het implementeren van gevestigde kaders (zoals het NIST Cybersecurity Framework) en het meten van hun succes.

"De FBI en DHS hebben een document uitgegeven waarin wordt beschreven hoe twee Advanced Persistent Threats spear phishing en malware gebruikten om het Amerikaanse politieke systeem te infiltreren en geheime operaties te bieden om te knoeien met het Amerikaanse verkiezingsproces", aldus Haber. "De schuld is volledig gericht op een aanval door een nationale staat en beveelt stappen aan die alle regerings- en politieke instanties moeten nemen om dit soort indringers te stoppen. Het probleem is dat deze aanbevelingen niets nieuws zijn en de basis vormen voor veiligheidsrichtlijnen die al zijn opgesteld door NIST."

3. Mirai

2016 was het jaar waarin we eindelijk getuige waren van de omvang van cyberaanvallen waartoe een wereldwijd botnet in staat is. Miljoenen onveilige IoT-apparaten (Internet of Things) werden in het Mirai-botnet geveegd en gebruikt om de DNS-provider Dyn massaal te overbelasten met een DDoS-aanval. De aanval sloeg Etsy, GitHub, Netflix, Shopify, SoundCloud, Spotify, Twitter en een heleboel andere grote websites ten val. Haber wees op vier eenvoudige lessen over beveiliging op locatie die bedrijven uit het incident kunnen trekken:

• Apparaten waarvan de software, wachtwoorden of firmware niet kunnen worden bijgewerkt, mogen nooit worden geïmplementeerd.
• Het wordt aanbevolen de standaardgebruikersnaam en het standaardwachtwoord te wijzigen voor de installatie van elk apparaat op internet.
• Wachtwoorden voor IoT-apparaten moeten uniek zijn per apparaat, vooral wanneer ze zijn verbonden met internet.
• Patch IoT-apparaten altijd met de nieuwste software en firmware om kwetsbaarheden te verminderen.

"Het internet der dingen heeft letterlijk onze thuis- en bedrijfsnetwerken overgenomen", zei Haber. "Met de openbare release van de Mirai-malwarebroncode hebben aanvallers een botnet gemaakt dat standaardwachtwoorden en niet-gepatchte kwetsbaarheden creëert om een ​​geavanceerd wereldwijd botnet te creëren dat enorme DDoS-aanvallen kan veroorzaken. Het werd in 2016 meerdere keren met succes gebruikt om het internet in de VS te verstoren. via DDoS tegen de DNS-diensten van Dyn aan telecombedrijven in Frankrijk en banken in Rusland."

4. LinkedIn

Regelmatig uw wachtwoorden wijzigen is altijd een slim idee en dat geldt ook voor uw zakelijke en persoonlijke accounts. LinkedIn was het slachtoffer van een grote hack in 2012 die eind vorig jaar publiek lekte, evenals een recentere hack van de online leerwebsite Lynda.com die 55.000 gebruikers trof. Voor de IT-managers die bedrijfsbeveiliging en wachtwoordbeleid instellen, zei Haber dat de LinkedIn-hack grotendeels op gezond verstand neerkomt:

• Wijzig uw wachtwoorden regelmatig; een vierjarig wachtwoord vraagt ​​waarschijnlijk alleen om problemen.
• Gebruik uw wachtwoorden nooit opnieuw op andere websites. Die vier jaar oude inbreuk kan er gemakkelijk toe leiden dat iemand datzelfde wachtwoord op een andere sociale media-website of e-mailaccount probeert en andere accounts in gevaar kan brengen simpelweg omdat hetzelfde wachtwoord op meerdere plaatsen werd gebruikt.

"Een aanval van meer dan vier jaar geleden werd begin 2016 publiek gelekt", zei Haber. "Gebruikers die sindsdien hun wachtwoord niet meer hadden gewijzigd, vonden hun gebruikersnamen, e-mailadressen en wachtwoorden publiekelijk beschikbaar op het dark web. Gemakkelijk kiezen voor een hacker."

5. Internal Revenue Service (IRS)

Ten slotte zei Haber dat we de IRS-hacks niet mogen vergeten. Deze gebeurden twee keer, in 2015 en opnieuw begin 2016, en hadden invloed op kritieke gegevens, waaronder belastingaangiften en sofinummers.

"De aanvalsvector was tegen de 'Get Transcript'-service, die wordt gebruikt voor alles, van studieleningen tot het delen van uw belastingaangifte met geautoriseerde derden. Door de eenvoud van het systeem kon een sofinummer worden gebruikt om informatie op te halen en vervolgens nep belastingaangiften, wat neerkomt op een terugbetaling en elektronisch op een malafide bankrekening ", aldus Haber. "Dit is opmerkelijk omdat het systeem, net als Yahoo, tweemaal werd overtreden, verholpen, maar nog steeds ernstige gebreken had waardoor het opnieuw kon worden overtreden. Bovendien werd de reikwijdte van de inbreuk ernstig onderschat, van vroege accounts van 100.000 gebruikers tot meer dan Op het einde 700.000. Het is onbekend of dit voor 2016 weer aan de oppervlakte zal komen."

Haber wees op twee kernlessen die bedrijven kunnen leren van de IRS-hacks:

• Fixes voor penetratietesten zijn cruciaal; alleen omdat u een fout hebt verholpen, betekent niet dat de service veilig is.
• Forensisch onderzoek is van cruciaal belang na een incident of inbreuk. Een zevenvoudige orde van grootte van het aantal betrokken accounts geeft aan dat niemand de omvang van het probleem echt begreep.

"Voor 2017 denk ik dat we meer van hetzelfde verwachten. Natie-staten, IoT-apparaten en spraakmakende bedrijven zullen de focus zijn van inbreukmeldingen, " zei Haber. "Ik geloof dat de dekking van de privacywetgeving voor IoT-apparaten en het delen van informatie daarin zal toenemen. Dit zal van alles omvatten, van apparaten zoals Amazon Echo tot informatie die stroomt vanuit EMEA de VS en Azië-Pacific binnen bedrijven."