חמשת הפריצות והפרצות הגרועות ביותר של 2016 ולמה שהם מתכוונים לשנת 2017

2016 לא הייתה שנה נהדרת לביטחון, לפחות בכל הנוגע לפריצות פרופיל, פריצות ודליפות נתונים. השנה ראתה רשימת כביסה נוספת של חברות ענק, ארגונים ואתרי שם גדולים שנפגעו בהתקפות של מניעת שירות (DDoS), מטמון ענק של נתוני לקוחות וסיסמאות שפגעו בשוק השחור למכירה לכל המרבה במחיר, וכל דרך של חדירות זדוניות ותוכנות כופר.

עסקים רבים יכולים לעשות בכדי למתן סיכונים אלה. אתה יכול, כמובן, להשקיע בפתרון אבטחת נקודות קצה, אך חשוב גם לעקוב אחר שיטות העבודה המומלצות בנושא אבטחת מידע ולהשתמש במסגרות ובמשאבים זמינים לאבטחה.

עם זאת, 2016 ראו את לינקדאין, יאהו, הוועדה הלאומית הדמוקרטית (DNC) ושירות הכנסות הפנימיות (IRS) זרקו לאור הזרקורים בעקבות התקפות ופרצות קטקוממיות. שוחחנו עם מורי הבר, סמנכ"ל טכנולוגיה בספקית ניהול הפגיעות BeyondTrust על מה שהחברה מחשיבה את חמשת ההאקים הגרועים ביותר של השנה - והשיעורים הקריטיים שעסקים יכולים ללמוד מכל אחד מהם.

1. יאהו

ענקית האינטרנט שנפלה עברה שנת אבטחה גרועה מבחינה היסטורית כדי להשלים את הכספים השקעים שלה, ותפסה את התבוסה ממצמדי הניצחון לאחר שלב של גילויים על הפרות פרופיל גבוה והדלפות נתוני לקוחות הותירו את ורייזון מתרוצצת כדי למצוא את הדרך לצאת מהרכישה של 4.8 מיליארד דולר. הבר אמר כי הפרות של יאהו יכולות ללמד עסקים שלושה שיעורים חשובים:

• סמוך על צוותי האבטחה שלך ואל תבודד אותם.
• אל תכניסו את כל תכשיטי הכתר שלכם למסד נתונים אחד.
• עקוב אחר החוק והמוסר לקבלת גילוי נאות של הפרות.

"זו הפעם הראשונה שתאגיד גדול שנמצא למכירה הוטבל פעמיים בגין הפרה בשנה אחת, ומחזיק בתואר ההפרה הגדולה ביותר אי פעם בחברה יחידה", אמר הבר. "מה שהופך את זה ליותר משכנע ככל שהפרה החמור ביותר של 2016 הוא ההפרה התרחשה שלוש שנים לפני הגילוי בפומבי וההפרה השנייה התגלתה רק בגלל פלילי החוק של ההפרה הראשונה. למעלה ממיליארד חשבונות בסך הכל נפגעו, מה שמייצג את כולם חברות כיצד לא לנהל את שיטות העבודה המומלצות בתחום האבטחה בעסק שלך."

2. הוועדה הלאומית הדמוקרטית

בפרצות הביטחוניות הידועות לשמצה ביותר בעונת הבחירות, הוועדה הלאומית הדמוקרטית (DNC) נפרצה לא פעם, מה שגרם להודעות דוא"ל של גורמים רשמיים (כולל יו"ר ה- DNC, דבי וסרמן שולץ ומנהל קמפיין קלינטון ג'ון פודסטה), שדלפו דרך WikiLeaks. בהאקרים שגורמים רשמיים בארה"ב עקבו אחר ממשלת רוסיה, הצביע הבר על הנחיות והמלצות של הלשכה הפדראלית (FBI), המחלקה לביטחון פנים (DHS) והמכון הלאומי לתקנים וטכנולוגיה (NIST) לפיהם יכול היה להקל על פגיעויות האבטחה של DNC:

• הנחיות להרשאות, הערכת פגיעות, טלאי ובדיקת עט כולן קיימות במסגרות מבוססות כגון NIST 800-53v4.
• סוכנויות צריכות לבצע עבודה טובה יותר ביישום מסגרות מבוססות (כמו מסגרת אבטחת הסייבר של NIST) ומדידת ההצלחה שלהן.

"ה- FBI ו- DHS פרסמו מסמך המציג כיצד שני איומים מתמשכים מתקדמים השתמשו בדיוג חנית ותוכנות זדוניות כדי לחדור למערכת הפוליטית בארה"ב ולספק פעולות סמויות כדי להתמודד עם תהליך הבחירות בארה"ב, " אמר הבר. "האשמה מכוונת באופן עקבי למתקפה של מדינת לאום, וממליצה על הצעדים שעל כל הגורמים הממשלתיים והפוליטיים לנקוט כדי לעצור פריצה מסוג זה. הבעיה היא שהמלצות אלה אינן דבר חדש, והן מהוות בסיס להנחיות הביטחון שכבר נקבעו מ NIST."

3. מיראי

שנת 2016 הייתה השנה בה אנו עדים סוף סוף להיקף ההתקפה הסיברית שבה בוטנט עולמי מסוגל. מיליוני מכשירי אינטרנט של דברים חסרי ביטחון (IoT) נסחפו לבוטנט Mirai והשתמשו בהעמסה עצומה על ספק מערכת שמות דומיינים (Dyn) עם Dyn באמצעות מתקפת DDoS. ההתקפה הפילה את אטסי, GitHub, נטפליקס, Shopify, SoundCloud, Spotify, Twitter וטון של אתרים גדולים אחרים. הבר הצביע על ארבעה שיעורי אבטחה פשוטים שעסקים יכולים לקחת מהאירוע:

• לעולם אין ליישם התקנים שלא ניתן לעדכן את התוכנה, הסיסמאות או הקושחה שלהם.
• מומלץ לשנות את שם המשתמש והסיסמה המוגדרים כברירת מחדל להתקנת מכשיר כלשהו באינטרנט.
• סיסמאות למכשירי IoT צריכות להיות ייחודיות לכל מכשיר, במיוחד כאשר הן מחוברות לאינטרנט.
• טלא תמיד התקני IoT עם התוכנה והקושחה העדכניים ביותר כדי להפחית את הפגיעויות.

"האינטרנט של הדברים השתלט על הרשתות הביתיות והחברתיות שלנו, תרתי משמע, " אמר הבר. "עם השחרור הציבורי של קוד המקור של תוכנות זדוניות מיראי, התוקפים יצרו botnet שברירת המחדל לסיסמאות ולפגיעויות שלא נשלחו כדי ליצור בוטנט מתוחכם ברחבי העולם שיכול לגרום לתקיפות DDoS מאסיביות. הוא שימש בהצלחה מספר פעמים בשנת 2016 כדי לשבש את האינטרנט בארה"ב. באמצעות DDoS כנגד שירותי ה- DNS שמספקת Dyn לטלקום בצרפת ובבנקים ברוסיה."

4. לינקדאין

שינוי סיסמאות לעיתים קרובות הוא תמיד רעיון חכם וזה נכון לחשבונות העסקיים והאישיים שלך. לינקדאין הייתה קורבן של גרזן גדול בשנת 2012 שהדלף בפומבי בסוף השנה שעברה, כמו גם פריצה אחרונה יותר של אתר הלמידה המקוון שלה Lynda.com שהשפיע על 55, 000 משתמשים. עבור מנהלי IT שקובעים מדיניות אבטחה וסיסמאות עסקיות, אמר הבר כי הפריצה של לינקדאין מסתכמת בעיקר בשכל הישר:

• שנה את הסיסמאות שלך לעתים קרובות; סיסמא בת ארבע היא כנראה רק מבקשת צרות.
• לעולם אל תשתמש שוב בסיסמאות שלך באתרים אחרים. הפרה זו של ארבע שנים יכולה בקלות להוביל לכך שמישהו ינסה את אותה סיסמא באתר אחר של מדיה חברתית או חשבון דוא"ל ויכול היה לפגוע בחשבונות אחרים פשוט מכיוון שאותה סיסמה שימשה במספר מקומות.

"התקפה לפני למעלה מארבע שנים הודלפה בפומבי בתחילת 2016, " אמרה הבר. "משתמשים שלא שינו את הסיסמאות שלהם מאז, מצאו את שמות המשתמש, כתובות הדואר האלקטרוני והסיסמאות שלהם זמינים באופן ציבורי באינטרנט האפל. בחירות נוחות להאקר."

5. שירות הכנסות פנימיות (IRS)

לבסוף, הבר אמר שאנחנו לא יכולים לשכוח את פריצות מס הכנסה. אלה התרחשו פעמיים, בשנת 2015 ושוב בתחילת 2016, והשפיעו על נתונים קריטיים כולל החזרי מסים ומספרי ביטוח לאומי.

"וקטור ההתקפה היה נגד שירות 'קבל תמלול', המשמש לכל דבר, החל מהלוואות מכללות וכלה בשיתוף החזרי המס שלך עם צדדים שלישיים מורשים. בגלל הפשטות של המערכת, ניתן להשתמש במספר תעודת זהות כדי לאחזר מידע ואז ליצור זיוף החזרי מס, בסכום של החזר כספי ובאופן אלקטרוני לחשבון בנק נוכל, "הסביר הבר. "זה ראוי לציון מכיוון שהמערכת, כמו יאהו, נפרצה פעמיים, תוקנה, אך בכל זאת היו לה ליקויים קשים שאפשרו להפר אותה שוב. בנוסף, היקף ההפרה הוערך באופן גס, מחשבונות מוקדמים של 100, 000 משתמשים ועד יותר מדי 700, 000 בסופו של דבר. לא ידוע אם זה יופיע שוב לקראת 2016 יחזור."

הבר הצביע על שני שיעורי ליבה שעסקים יכולים ללמוד מפריצי מס הכנסה:

• תיקוני בדיקת חדירה הם מכריעים; רק בגלל שתקנת פגם אחד לא אומר שהשירות מאובטח.
• משפטי משפטי הם קריטיים לאחר אירוע או הפרה. לקבוע סדר גודל של פי שבעה על מספר החשבונות שהושפעו מעיד על כך שאיש לא הבין באמת את היקף הבעיה.

"לשנת 2017 אני חושב שנצפה ליותר מאותו דבר. מדינות לאום, מכשירי IoT וחברות בעלות פרופיל גבוה יהיו במוקד הדיווח על הפרות", אמר הבר. "אני מאמין שיהיה uptick של הכיסוי בחוקי הפרטיות הנוגעים למכשירי IoT ושיתוף המידע הכלול בתוכם. זה יכסה את הכל, החל ממכשירים כמו אמזון אקו ועד מידע שזורם מ- EMEA, ארה"ב ואסיה-פסיפיק בתוך חברות."