De 5 verste hacks og bruddene på 2016 og hva de betyr for 2017

2016 var ikke et stort år for sikkerhet, i det minste når det gjaldt høyprofilerte brudd, hacks og datalekkasjer. I løpet av året var det enda en klesvaskliste over store navnebedrifter, organisasjoner og nettsteder som ble truffet med angrep av distribuert denial-of-service (DDoS), enorme hurtigbuffer med kundedata og passord som slo det svarte markedet for salg til høystbydende, og alle måte å inntrenge malware og ransomware på.

Det er nok som virksomheter kan gjøre for å dempe disse risikoene. Du kan selvfølgelig investere i en endepunkt sikkerhetsløsning, men det er også viktig å følge beste praksis for datasikkerhet og benytte deg av tilgjengelige sikkerhetsrammer og ressurser.

Ikke desto mindre så 2016, LinkedIn, Yahoo, den demokratiske nasjonale komiteen (DNC) og Internal Revenue Service (IRS) skyte midt i blinken etter katastrofale angrep og brudd. Vi snakket med Morey Haber, visepresident for teknologi hos leverandøren av sårbarhet og identitetsadministrasjon BeyondTrust om hva selskapet anser som de fem verste hacks i året - og de kritiske lærdommene bedriftene kan lære av hver.

1. Yahoo

Den falne internettgiganten hadde et historisk dårlig sikkerhetsår for å utfylle det svekkede økonomien, og snappet nederlaget fra seierens clutches etter en rekke høyprofilerte avsløringer om brudd og kundedatasjelekkasjer forlot Verizon for å finne en vei ut av anskaffelsen på 4, 8 milliarder dollar. Haber sa at brudd på Yahoo kan lære virksomheter tre verdifulle leksjoner:

• Stol på sikkerhetsteamene dine og ikke isoler dem.
• Ikke legg alle kronjuvelene dine i en database.
• Følg loven og etikken for korrekt avsløring av brudd.

"Det er første gang et større selskap som er til salgs, ble dobbelt dyppet for et brudd på ett år, og har tittelen for det største bruddet noensinne for et enkelt selskap, " sa Haber. "Det som gjør dette enda mer overbevisende som det verste bruddet i 2016, er bruddet skjedde tre år før offentliggjøring, og det andre bruddet ble bare oppdaget på grunn av rettsmedisiner fra det første bruddet. Over en milliard kontoer totalt ble kompromittert, noe som representerer for alle selskaper om hvordan man ikke administrerer sikkerhetspraksis innen din virksomhet."

2. Demokratisk nasjonalkomité

I de mest beryktede sikkerhetsbruddene i valgsesongen ble den demokratiske nasjonale komiteen (DNC) hacket ved mer enn én anledning, noe som resulterte i e-post fra tjenestemenn (inkludert DNC-leder Debbie Wasserman Schultz og Clinton-kampanjesjef John Podesta) som lekket gjennom WikiLeaks. I hacks som amerikanske tjenestemenn har sporet tilbake til den russiske regjeringen, pekte Haber på retningslinjer og anbefalinger fra Federal Bureau of Investigation (FBI), Department of Homeland Security (DHS) og National Institute of Standards and Technology (NIST) som kunne ha dempet DNCs sikkerhetsproblemer:

• Retningslinjer for privilegier, sårbarhetsvurdering, lapping og pennprøving finnes i etablerte rammer som NIST 800-53v4.
• Byråer må gjøre en bedre jobb med å implementere etablerte rammer (for eksempel NIST Cybersecurity Framework) og måle suksessen.

"FBI og DHS har gitt ut et dokument som beskriver hvordan to avanserte vedvarende trusler brukte spydfisking og malware for å infiltrere det amerikanske politiske systemet og gi skjulte operasjoner for å tukle med den amerikanske valgprosessen, " sa Haber. "Skylden er rettet mot et nasjonalstatangrep, og anbefaler skritt alle myndigheter og politiske etater bør ta for å stoppe denne typen inntrenging. Problemet er at disse anbefalingene ikke er noe nytt, og danner grunnlaget for sikkerhetsretningslinjer som allerede er etablert NIST."

3. Mirai

2016 var året vi endelig var vitne til omfanget av cyberattack som et globalt botnet er i stand til. Millioner av usikre Internet of Things (IoT) -enheter ble feid inn i Mirai botnet og brukt til å overbelaste DNS-leverandøren av domenenavnsystemet (Dyn) med et DDoS-angrep. Angrepet slo ut Etsy, GitHub, Netflix, Shopify, SoundCloud, Spotify, Twitter og massevis av andre store nettsteder. Haber pekte på fire enkle sikkerhetsundervisninger som virksomheter kan ta fra hendelsen:

• Enheter som ikke kan oppdatere programvaren, passordene eller firmwareen deres, bør aldri implementeres.
• Det anbefales å endre standard brukernavn og passord for installasjon av alle enheter på internett.
• Passord for IoT-enheter skal være unike per enhet, spesielt når de er koblet til internett.
• Korriger alltid IoT-enheter med den nyeste programvaren og firmware for å dempe sikkerhetsproblemene.

"Tingenes internett har overtatt vårt hjemlige og bedriftsnettverk, bokstavelig talt, " sa Haber. "Med offentlig utgivelse av Mirai-kildekoden for skadelig programvare, opprettet angripere et botnet som standard passord og usagte sårbarheter for å lage et sofistikert verdensomspennende botnet som kan forårsake massive DDoS-angrep. Det ble brukt flere ganger i 2016 for å forstyrre internett i USA via DDoS mot DNS-tjenestene levert av Dyn til telekom i Frankrike og banker i Russland."

4. LinkedIn

Å bytte passord ofte er alltid en smart idé, og det gjelder for forretnings- og personkontoer. LinkedIn ble offer for et stort hack i 2012 som lekket offentlig sent i fjor, i tillegg til et nyere hack av nettlæringsnettstedet Lynda.com som berørte 55 000 brukere. For IT-sjefer som angir retningslinjer for virksomhetssikkerhet og passord, sa Haber at LinkedIn-hacket i stor grad kommer til sunn fornuft:

• Endre passordene dine ofte; et fire år gammelt passord ber sannsynligvis bare om problemer.
• Bruk aldri passordene dine på andre nettsteder. Det fire år gamle bruddet kan lett føre til at noen prøvde det samme passordet på et annet nettsted for sosiale medier eller e-postkonto og kan kompromittere andre kontoer ganske enkelt fordi det samme passordet ble brukt flere steder.

"Et angrep for over fire år siden ble offentlig lekket tidlig i 2016, " sa Haber. "Brukere som ikke hadde endret passord siden den gang, fant brukernavn, e-postadresser og passord offentlig tilgjengelig på det mørke nettet. Enkel valg for en hacker."

5. Internal Revenue Service (IRS)

Til slutt sa Haber at vi ikke kan glemme IRS-hacks. Disse skjedde to ganger, i 2015 og igjen tidlig i 2016, og påvirket kritiske data inkludert selvangivelse og personnummer.

"Angrepsvektoren var mot tjenesten 'Get Transcript', brukt til alt fra studielån til å dele selvangivelsen med autoriserte tredjeparter. På grunn av enkelhet i systemet, kunne et personnummer brukes til å hente informasjon og deretter opprette falske selvangivelser, beløp i refusjon og elektronisk til en useriøs bankkonto, "forklarte Haber. "Dette er bemerkelsesverdig fordi systemet, i likhet med Yahoo, ble brutt to ganger, løst, men fortsatt hadde alvorlige mangler som gjorde at det kunne bli brutt igjen. I tillegg ble omfanget av bruddet grovt undervurdert, fra tidlige kontoer på 100 000 brukere til over 700 000 til slutt. Det er ukjent om dette vil komme til syne for 2016 kommer tilbake."

Haber pekte på to kjernetimer som bedrifter kan lære av IRS-hacks:

• Inntrengingstesting er avgjørende; bare fordi du har løst en feil, betyr ikke at tjenesten er sikker.
• Rettsmedisiner er kritisk etter en hendelse eller brudd. Å ha en syvdoblet rekkefølge på antall berørte kontoer indikerer at ingen virkelig forsto omfanget av problemet.

"For 2017 tror jeg vi vil forvente mer av det samme. Nasjonalstater, IoT-enheter og høyprofilerte selskaper vil være fokus for rapportering om brudd, " sa Haber. "Jeg tror det vil være en uptick av dekning om personvernlover som regulerer IoT-enheter og deling av informasjonen i dem. Dette vil dekke alt fra enheter som Amazon Echo til informasjon som flyter fra EMEA USA og Asia-Pacific i selskaper."