أسوأ خمسة اختراقات وخروقات لعام 2016 وماذا تعني لعام 2017

لم يكن عام 2016 عامًا رائعًا للأمان ، على الأقل فيما يتعلق بانتهاكات الاختراقات والخارقة وتسريبات البيانات. شهد العام قائمة غسيل أخرى لشركات كبرى ، ومواقع ، ومواقع إلكترونية ، تعرضت لهجمات موزعة لرفض الخدمة (DDoS) ، ومخابئ ضخمة لبيانات العملاء وكلمات المرور التي تضرب السوق السوداء للبيع لأعلى مزايد ، وجميعها طريقة الاختراقات الخبيثة والفدية.

هناك الكثير الذي يمكن أن تفعله الشركات لتخفيف هذه المخاطر. يمكنك بالطبع الاستثمار في حل أمان نقطة النهاية ، ولكن من المهم أيضًا اتباع أفضل ممارسات أمان البيانات والاستفادة من أطر وموارد الأمان المتاحة.

ومع ذلك ، فقد شهد عام 2016 دخول LinkedIn و Yahoo و اللجنة الوطنية الديمقراطية (DNC) وخدمة الإيرادات الداخلية (IRS) إلى دائرة الضوء في أعقاب الهجمات والانتهاكات المأساوية. لقد تحدثنا إلى موري هابر ، نائب رئيس التقنية في شركة مزود الضعف وإدارة الهوية BeyondTrust حول ما تعتبره الشركة أسوأ خمسة متسللين خلال العام - والدروس المهمة التي يمكن أن تتعلمها الشركات من كل منها.

1. ياهو

كان لدى شركة الإنترنت العملاقة التي سقطت عامًا سيئًا من الناحية الأمنية سيئًا من الناحية التاريخية لاستكمال بياناتها المالية الهائلة ، حيث انتزعت الهزيمة من براثن النصر بعد سلسلة من عمليات الكشف عن الاختراق البارزة وتسريبات بيانات العملاء تركت شركة Verizon تسعى جاهدة لإيجاد مخرج من استحواذها البالغ 4.8 مليار دولار. قال هابر إن خروقات Yahoo يمكن أن تعلم الشركات ثلاثة دروس قيمة:

• ثق بفرق الأمان الخاصة بك ولا تعزلها.
• لا تضع كل جواهر التاج في قاعدة بيانات واحدة.
• اتبع القانون والأخلاق للكشف عن خرق المناسبة.

وقال هابر: "هذه هي المرة الأولى التي يتم فيها تخفيض شركة كبرى للبيع ، حيث تم اختراقها مرتين في عام واحد ، وتملك لقب أكبر اختراق على الإطلاق لشركة واحدة". "ما يجعل هذا الأمر أكثر إلحاحًا لأن أسوأ انتهاك لعام 2016 هو حدوث الخرق قبل ثلاث سنوات من الإفصاح العلني ولم يتم اكتشاف الخرق الثاني إلا بسبب الطب الشرعي للاختراق الأول. تم اختراق أكثر من مليار حساب في المجموع ، مما يمثل الجميع الشركات حول كيفية عدم إدارة أفضل الممارسات الأمنية في عملك ".

2. اللجنة الوطنية الديمقراطية

في أكثر الانتهاكات الأمنية السيئة السمعة في موسم الانتخابات ، تم اختراق اللجنة الوطنية الديمقراطية (DNC) في أكثر من مناسبة ، مما أدى إلى تسرب رسائل بريد إلكتروني من مسؤولين (بمن فيهم ديبي فاسرمان شولتز رئيس DNC ومدير حملة كلينتون جون بوديستا) عبر ويكيليكس. في اختراقات قام المسؤولون الأمريكيون بتتبعها إلى الحكومة الروسية ، أشار هابر إلى إرشادات وتوصيات من مكتب التحقيقات الفيدرالي (FBI) ، ووزارة الأمن الداخلي (DHS) ، والمعهد الوطني للمعايير والتكنولوجيا (NIST) يمكن أن تخفف من ثغرات أمنية DNC:

• توجد إرشادات للامتيازات وتقييم الثغرات الأمنية والتصحيح واختبار القلم في الأطر الثابتة مثل NIST 800-53v4.
• تحتاج الوكالات إلى القيام بعمل أفضل في تنفيذ الأطر القائمة (مثل إطار الأمن السيبراني NIST) وقياس نجاحها.

وقال هابر: "أصدر مكتب التحقيقات الفيدرالي ووزارة الأمن الوطني وثيقة توضح كيف استخدم اثنان من التهديدات المستمرة الثابتة عمليات التصيد العشوائي والبرمجيات الخبيثة للتسلل إلى النظام السياسي الأمريكي وتوفير عمليات سرية للعبث بعملية الانتخابات الأمريكية". "إن اللوم موجه بشكل مباشر إلى هجوم على الدولة القومية ، ويوصي بالخطوات التي يجب على جميع الهيئات الحكومية والسياسية اتخاذها لوقف هذا النوع من الاقتحام. المشكلة هي أن هذه التوصيات ليست جديدة ، وتشكل الأساس لمبادئ توجيهية أمنية تم وضعها بالفعل من NIST ".

3. ميراي

كان عام 2016 هو العام الذي شهدنا أخيرًا حجم الهجوم الإلكتروني الذي تمكن الروبوتات العالمية منه. تم سحب ملايين الأجهزة غير الآمنة لإنترنت الأشياء (IoT) في الروبوتات Mirai واستخدمت بشكل كبير في تحميل Dyn (مزود) نظام اسم المجال (DNS) مع هجوم DDoS. لقد تسبب الهجوم في تدمير Etsy و GitHub و Netflix و Shopify و SoundCloud و Spotify و Twitter والعديد من المواقع الرئيسية الأخرى. أشار هابر إلى أربعة دروس أمنية بسيطة يمكن للشركات أخذها من الحادث:

• لا ينبغي أبدًا تنفيذ الأجهزة التي لا يمكن تحديث برامجها أو كلمات المرور الخاصة بها أو البرامج الثابتة.
• يوصى بتغيير اسم المستخدم وكلمة المرور الافتراضية لتثبيت أي جهاز على الإنترنت.
• يجب أن تكون كلمات مرور أجهزة إنترنت الأشياء فريدة لكل جهاز ، خاصةً عندما تكون متصلة بالإنترنت.
• قم دائمًا بتصحيح أجهزة إنترنت الأشياء باستخدام أحدث البرامج والبرامج الثابتة لتخفيف نقاط الضعف.

وقال هابر: "استحوذت إنترنت الأشياء على شبكاتنا المنزلية والشركات ، حرفيًا". "مع الإصدار العلني من شفرة مصدر البرمجيات الخبيثة في Mirai ، أنشأ المهاجمون شبكة روبوت افتراضية لكلمات المرور ونقاط الضعف غير المسبوقة لإنشاء شبكة روبوت متطورة في جميع أنحاء العالم يمكن أن تسبب هجمات واسعة النطاق DDoS. تم استخدامه بنجاح عدة مرات في عام 2016 لتعطيل الإنترنت في الولايات المتحدة عبر DDoS ضد خدمات DNS التي توفرها Dyn للاتصالات في فرنسا والبنوك في روسيا."

4. ينكدين

يعد تغيير كلمات مرورك دائمًا فكرة ذكية وينطبق ذلك على أعمالك وحساباتك الشخصية. تعرضت LinkedIn إلى ضحية أحد المتطفلين الرئيسيين في عام 2012 والذي تم تسريبه علنًا في أواخر العام الماضي ، بالإضافة إلى أحدث اختراق لموقع التعلم عبر الإنترنت Lynda.com والذي أثر على 55000 مستخدم. بالنسبة لمديري تقنية المعلومات الذين يضعون سياسات لأمان الأعمال وكلمات المرور الخاصة بهم ، قال هابر إن اختراق موقع LinkedIn ينقسم إلى حد كبير إلى المنطق:

• تغيير كلمات السر الخاصة بك في كثير من الأحيان. ربما تطلب كلمة مرور عمرها أربع سنوات مشكلة.
• عدم إعادة استخدام كلمات المرور الخاصة بك على مواقع الويب الأخرى. يمكن أن يؤدي الاختراق الذي دام أربعة أعوام بسهولة إلى محاولة شخص ما لنفس كلمة المرور هذه على موقع ويب آخر خاص بوسائل التواصل الاجتماعي أو حساب بريد إلكتروني ويمكن أن يعرض حسابات أخرى لمجرد أنه تم استخدام نفس كلمة المرور في أماكن متعددة.

وقال هابر "لقد تم تسريب أي هجوم منذ أكثر من أربع سنوات علنا ​​في أوائل عام 2016". "المستخدمون الذين لم يغيروا كلمات المرور الخاصة بهم منذ ذلك الحين عثروا على أسماء المستخدمين وعناوين البريد الإلكتروني وكلمات المرور المتاحة للجمهور على الويب المظلم. عمليات اختيار سهلة للمتسلل."

5. خدمة الإيرادات الداخلية (مصلحة الضرائب)

وأخيرا ، قال هابر لا يمكننا أن ننسى خارقة مصلحة الضرائب. وقد حدث ذلك مرتين ، في عام 2015 ومرة ​​أخرى في أوائل عام 2016 ، وأثر على البيانات الهامة بما في ذلك الإقرارات الضريبية وأرقام الضمان الاجتماعي.

"كان موجه الهجوم ضد خدمة" Get Transcript "، التي تستخدم في كل شيء بدءًا من القروض الجامعية إلى مشاركة الإقرارات الضريبية الخاصة بك مع أطراف ثالثة مصرح بها. نظرًا لبساطة النظام ، يمكن استخدام رقم الضمان الاجتماعي لاسترداد المعلومات ثم إنشاء وأوضح هابر: "الإقرارات الضريبية المزيفة ، والتي تصل إلى مبلغ معاد إلكترونياً إلى حساب مصرفي مارق". "هذا أمر جدير بالملاحظة لأن النظام ، مثل Yahoo ، قد تم اختراقه مرتين ، تم إصلاحه ، ولكن لا يزال لديه عيوب شديدة سمحت له بالخرق مرة أخرى. بالإضافة إلى ذلك ، تم التقليل بشكل كبير من نطاق الانتهاك ، من الحسابات المبكرة التي تضم 100000 مستخدم إلى أكثر من 700000 في النهاية ، ومن غير المعروف ما إذا كان هذا سيعود إلى السطح مرة أخرى لعام 2016 ".

أشار هابر إلى درسين أساسيين يمكن للشركات تعلهما من اختراقات مصلحة الضرائب:

• إصلاحات اختبار الاختراق حاسمة. لمجرد أنك إصلاح عيب واحد لا يعني أن الخدمة آمنة.
• الطب الشرعي أمر بالغ الأهمية بعد وقوع حادث أو خرق. أن يكون حجم الطلب سبعة أضعاف على عدد الحسابات المتأثرة يشير إلى أنه لا أحد يفهم حقًا نطاق المشكلة.

وقال هابر "في عام 2017 ، أعتقد أننا سنتوقع المزيد من الشيء نفسه. الدول القومية وأجهزة إنترنت الأشياء والشركات البارزة ستكون محور الإبلاغ عن الاختراق". "أعتقد أنه سيكون هناك زيادة في تغطية قوانين الخصوصية التي تحكم أجهزة إنترنت الأشياء وتبادل المعلومات الواردة فيها. وسيغطي هذا كل شيء من الأجهزة مثل Amazon Echo إلى المعلومات التي تتدفق من أوروبا والشرق الأوسط وإفريقيا والولايات المتحدة وآسيا والمحيط الهادئ داخل الشركات."