5 vụ hack và vi phạm tồi tệ nhất năm 2016 và ý nghĩa của năm 2017

Năm 2016 không phải là một năm tuyệt vời cho an ninh, ít nhất là khi các vi phạm, hack và rò rỉ dữ liệu cao cấp có liên quan. Năm nay đã chứng kiến ​​một danh sách giặt ủi khác của các công ty, tổ chức và trang web nổi tiếng bị tấn công từ chối dịch vụ phân tán (DDoS), bộ nhớ cache lớn của dữ liệu khách hàng và mật khẩu đánh vào thị trường chợ đen để bán cho người trả giá cao nhất và tất cả cách thức của phần mềm độc hại và ransomware.

Có rất nhiều doanh nghiệp có thể làm để giảm thiểu những rủi ro này. Tất nhiên, bạn có thể đầu tư vào một giải pháp bảo mật điểm cuối, nhưng điều quan trọng là phải tuân theo các thực tiễn tốt nhất về bảo mật dữ liệu và sử dụng các tài nguyên và khung bảo mật có sẵn.

Tuy nhiên, năm 2016 đã chứng kiến ​​LinkedIn, Yahoo, Ủy ban Quốc gia Dân chủ (DNC) và Dịch vụ Doanh thu Nội bộ (IRS) lọt vào tầm ngắm trong bối cảnh các cuộc tấn công và vi phạm thảm khốc. Chúng tôi đã nói chuyện với Morey Haber, Phó Chủ tịch Công nghệ về lỗ hổng và nhà cung cấp quản lý danh tính BeyondTrust về những gì công ty cho là năm vụ hack tồi tệ nhất trong năm và các bài học quan trọng mà các doanh nghiệp có thể học được từ mỗi người.

1. Yahoo

Gã khổng lồ internet đã có một năm bảo mật tồi tệ trong lịch sử để bổ sung cho tài chính đang bị sụt giảm của mình, giành lấy thất bại sau những chiến thắng sau khi một loạt các tiết lộ vi phạm cao cấp và rò rỉ dữ liệu khách hàng khiến Verizon phải vật lộn để tìm cách thoát khỏi vụ mua lại 4, 8 tỷ USD của mình. Haber cho biết vi phạm của Yahoo có thể dạy cho các doanh nghiệp ba bài học quý giá:

• Tin tưởng các nhóm bảo mật của bạn và không cô lập chúng.
• Không đặt tất cả đồ trang sức vương miện của bạn trong một cơ sở dữ liệu.
• Tuân theo luật pháp và đạo đức để tiết lộ vi phạm thích hợp.

"Đây là lần đầu tiên một tập đoàn lớn, được rao bán, đã bị nhúng hai lần vì vi phạm trong một năm và giữ danh hiệu vi phạm lớn nhất từ ​​trước đến nay đối với một công ty duy nhất", Haber nói. "Điều làm cho điều này thậm chí còn hấp dẫn hơn khi vi phạm tồi tệ nhất năm 2016 là vi phạm xảy ra ba năm trước khi tiết lộ công khai và vi phạm thứ hai chỉ được phát hiện do pháp y của vi phạm đầu tiên. Tổng cộng có hơn một tỷ tài khoản bị xâm phạm, đại diện cho tất cả các công ty về cách không quản lý các thực tiễn bảo mật tốt nhất trong doanh nghiệp của bạn. "

2. Ủy ban quốc gia dân chủ

Trong các vi phạm an ninh khét tiếng nhất của mùa bầu cử, Ủy ban Quốc gia Dân chủ (DNC) đã bị hack nhiều lần, dẫn đến email từ các quan chức (bao gồm cả chủ tịch DNC Debbie Wasserman Schultz và quản lý chiến dịch của Tổng thống Mỹ John Podesta) bị rò rỉ thông qua WikiLeaks. Trong các vụ tấn công mà các quan chức Mỹ truy tìm lại chính phủ Nga, Haber đã chỉ ra các hướng dẫn và khuyến nghị từ Cục Điều tra Liên bang (FBI), Bộ An ninh Nội địa (DHS) và Viện Tiêu chuẩn và Công nghệ Quốc gia (NIST) rằng có thể đã giảm thiểu các lỗ hổng bảo mật của DNC:

• Các hướng dẫn về đặc quyền, đánh giá lỗ hổng, vá lỗi và kiểm tra bút đều tồn tại trong các khung được thiết lập như NIST 800-53v4.
• Các cơ quan cần thực hiện công việc tốt hơn để triển khai các khung đã được thiết lập (như Khung bảo mật không gian mạng NIST) và đo lường sự thành công của họ.

"FBI và DHS đã phát hành một tài liệu phác thảo cách hai mối đe dọa liên tục nâng cao đã sử dụng lừa đảo giáo và phần mềm độc hại để xâm nhập hệ thống chính trị Hoa Kỳ và cung cấp các hoạt động bí mật để can thiệp vào quá trình bầu cử của Hoa Kỳ, " Haber nói. "Đổ lỗi là nhắm thẳng vào một cuộc tấn công quốc gia, và khuyến nghị các bước mà tất cả các cơ quan chính phủ và chính trị nên thực hiện để ngăn chặn loại xâm nhập này. Vấn đề là, những khuyến nghị này không có gì mới và là cơ sở cho các hướng dẫn an ninh đã được thiết lập từ NIST. "

3. Mirai

Năm 2016 là năm cuối cùng chúng ta chứng kiến ​​mức độ tấn công mạng mà mạng botnet toàn cầu có khả năng. Hàng triệu thiết bị Internet of Things (IoT) không an toàn đã bị cuốn vào botnet Mirai và được sử dụng để làm quá tải ồ ạt nhà cung cấp hệ thống tên miền (DNS) Dyn với một cuộc tấn công DDoS. Cuộc tấn công đã đánh gục Etsy, GitHub, Netflix, Shopify, SoundCloud, Spotify, Twitter và hàng tấn các trang web lớn khác. Haber đã chỉ ra bốn bài học bảo mật loT đơn giản mà các doanh nghiệp có thể rút ra từ vụ việc:

• Các thiết bị không thể cập nhật phần mềm, mật khẩu hoặc chương trình cơ sở.
• Nên thay đổi tên người dùng và mật khẩu mặc định để cài đặt bất kỳ thiết bị nào trên internet.
• Mật khẩu cho các thiết bị IoT phải là duy nhất cho mỗi thiết bị, đặc biệt là khi chúng được kết nối với internet.
• Luôn vá các thiết bị IoT bằng phần mềm và phần sụn mới nhất để giảm thiểu lỗ hổng.

"Internet of Things đã chiếm lĩnh các mạng gia đình và doanh nghiệp của chúng tôi, theo nghĩa đen, " Haber nói. "Với việc phát hành công khai mã nguồn phần mềm độc hại Mirai, những kẻ tấn công đã tạo ra một mạng botnet mật khẩu mặc định và các lỗ hổng chưa được vá để tạo ra một mạng botnet tinh vi trên toàn thế giới có thể gây ra các cuộc tấn công DDoS lớn. Nó đã được sử dụng thành công nhiều lần trong năm 2016 để phá vỡ mạng internet ở Mỹ. thông qua DDoS chống lại các dịch vụ DNS do Dyn cung cấp cho viễn thông ở Pháp và các ngân hàng ở Nga. "

4. LinkedIn

Thay đổi mật khẩu thường xuyên luôn là một ý tưởng thông minh và điều đó phù hợp với tài khoản cá nhân và doanh nghiệp của bạn. LinkedIn là nạn nhân của một vụ hack lớn vào năm 2012 đã bị rò rỉ công khai vào cuối năm ngoái, cũng như một vụ hack gần đây của trang web học tập trực tuyến Lynda.com đã ảnh hưởng đến 55.000 người dùng. Đối với các nhà quản lý CNTT thiết lập các chính sách mật khẩu và bảo mật kinh doanh, Haber cho biết vụ hack LinkedIn phần lớn theo lẽ thường:

• Thay đổi mật khẩu thường xuyên; một mật khẩu bốn tuổi có lẽ chỉ là vấn đề rắc rối.
• Không bao giờ sử dụng lại mật khẩu của bạn trên các trang web khác. Vi phạm bốn năm tuổi đó có thể dễ dàng dẫn đến việc ai đó thử cùng một mật khẩu trên một trang web truyền thông xã hội hoặc tài khoản email khác và có thể thỏa hiệp các tài khoản khác chỉ vì cùng một mật khẩu được sử dụng ở nhiều nơi.

"Một cuộc tấn công hơn bốn năm trước đã bị rò rỉ công khai vào đầu năm 2016, " Haber nói. "Người dùng đã không thay đổi mật khẩu của họ kể từ đó đã tìm thấy tên người dùng, địa chỉ email và mật khẩu của họ có sẵn công khai trên web tối. Lựa chọn dễ dàng cho tin tặc."

5. Dịch vụ doanh thu nội bộ (IRS)

Cuối cùng, Haber nói rằng chúng ta không thể quên các vụ hack IRS. Những điều này đã xảy ra hai lần, vào năm 2015 và một lần nữa vào đầu năm 2016, và ảnh hưởng đến dữ liệu quan trọng bao gồm khai thuế và số an sinh xã hội.

"Vectơ tấn công chống lại dịch vụ 'Nhận bảng điểm', được sử dụng cho tất cả mọi thứ từ các khoản vay đại học đến chia sẻ tờ khai thuế của bạn với các bên thứ ba được ủy quyền. Do tính đơn giản của hệ thống, số an sinh xã hội có thể được sử dụng để truy xuất thông tin và sau đó tạo Báo cáo thuế giả, số tiền hoàn lại và điện tử vào tài khoản ngân hàng giả mạo, "Haber giải thích. "Điều này rất đáng chú ý vì hệ thống, như Yahoo, đã bị vi phạm hai lần, đã được sửa, nhưng vẫn có những lỗi nghiêm trọng cho phép nó bị vi phạm một lần nữa. Ngoài ra, phạm vi vi phạm đã bị đánh giá thấp, từ các tài khoản ban đầu của 100.000 người dùng trở lên 700.000 cuối cùng. Không biết điều này sẽ xuất hiện trở lại cho năm 2016 trở lại. "

Haber đã chỉ ra hai bài học cốt lõi mà các doanh nghiệp có thể học được từ các vụ hack IRS:

• Sửa lỗi kiểm tra thâm nhập là rất quan trọng; chỉ vì bạn đã sửa một lỗi không có nghĩa là dịch vụ này an toàn.
• Pháp y là rất quan trọng sau một sự cố hoặc vi phạm. Để có một mức độ lớn gấp bảy lần về số lượng tài khoản bị ảnh hưởng cho thấy rằng không ai thực sự hiểu phạm vi của vấn đề.

"Trong năm 2017, tôi nghĩ chúng ta sẽ mong đợi nhiều hơn như vậy. Các quốc gia, thiết bị IoT và các công ty cao cấp sẽ là trọng tâm của báo cáo vi phạm", Haber nói. "Tôi tin rằng sẽ có sự gia tăng phạm vi bảo hiểm về luật riêng tư điều chỉnh các thiết bị IoT và chia sẻ thông tin trong đó. Điều này sẽ bao gồm mọi thứ từ các thiết bị như Amazon Echo đến thông tin từ EMEA Hoa Kỳ và Châu Á-Thái Bình Dương trong các công ty."