Im Jahr 2017 erlitt Equifax, eine der weltweit größten Kreditauskunfteien, einen Cyber-Verstoß von beispielloser Bedeutung und Größe. Mehr als 145 Millionen Datensätze mit personenbezogenen Daten wurden von Cyberkriminellen gestohlen. Aufgrund der Art dieses Verstoßes trat der CEO von Equifax zurück, eine Untersuchung des Kongresses wurde eingeleitet, die Aktien von Equifax wurden getroffen und eine Sammelklage in 50 Bundesstaaten wurde eingereicht.
The Breach
Im März 2nd 2017, eine Schwachstelle in a Web-Anwendung namens Apache Tomcat Struts 2 wurde von einem Sicherheitsforscher entdeckt und als Schwachstelle CVE-2017-5638 identifiziert. Diese Webanwendung wurde von Equifax verwendet, um es Verbrauchern zu ermöglichen, Unstimmigkeiten in der Kreditauskunft zu melden. Tage nach Entdeckung der Schwachstelle wurde am 7. März 2017 ein Software-Patch zur Verfügung gestellt und veröffentlicht. Innerhalb von 24 Stunden nach dem Patch tauchte auf einer Website ein Blogbeitrag auf, in dem erläutert wurde, wie diese Sicherheitsanfälligkeit ausgenutzt werden kann, um Remotezugriff auf Computer zu erhalten, auf denen die ungepatchte Software ausgeführt wird. Am 10. Märzth 2017 wurde der Exploit als Plug-In für das beliebte Open-Source-Exploit-Toolkit Metasploit veröffentlicht, und Hacker verwendeten dieses Tool, um das Internet nach Servern mit dieser Sicherheitsanfälligkeit zu durchsuchen. Irgendwann Mitte Mai 2017 hatten Hacker einen Treffer und der Server gehörte zufällig Equifax. Es wurde ein nicht autorisierter Zugriff erhalten, und die Hacker blieben im Netzwerk von Equifax und filterten Daten heraus, bis sie am 29. Juli entdeckt wurdenth 2017.
Warum ist der Verstoß aufgetreten?
Man könnte meinen, dass eine Organisation von der Größe von Equifax, die für den Schutz der Daten von 145 Millionen Amerikanern zuständig ist, diesen Verstoß hätte erkennen können, bevor Daten gestohlen wurden, geschweige denn 2.5 Monate lang unbewusst waren. Also was ist passiert? Berichten zufolge wurde Equifax auf die Sicherheitsanfälligkeit aufmerksam gemacht, ergriff jedoch keine Maßnahmen, um den Server zu patchen. Sobald der Server nicht mehr gepatcht war und Hacker die Sicherheitsanfälligkeit ausnutzten, wurden "verdächtige Warnungen" ausgelöst, aber Equifax ergriff keine Maßnahmen. Um den ehemaligen CEO von Equifax zu paraphrasieren: Sie erhalten jedes Jahr Tausende von Warnungen, und es ist schwierig, die wichtigen von den weniger wichtigen zu quantifizieren. Dies zeigt deutlich ein Problem mit Sicherheitstools und ein Problem mit Personen. Die Tools, die Unternehmen heute bereitstellen, haben Schwierigkeiten, kritische Ereignisse anhand der weniger kritischen Ereignisse zu identifizieren, und es wird immer menschliches Versagen geben und nicht genügend Personen, um auf Bedrohungen zu reagieren.
Was hätte getan werden können?
Für den Anfang hätte menschliches Versagen vermieden werden können, wenn Equifax das Schwachstellenbulletin mit der Bezeichnung CVE-2017-5638 beachtet und seine Server schnell gepatcht hätte. Zweitens müssen Unternehmen damit beginnen, veraltete Tools abzulaufen, die Unternehmen ein falsches Sicherheitsgefühl für neue Tools geben, die sich mit dem heutigen Problem befassen. Tools wie Intrusion Detection Systems (IDS), Sicherheitsinformations- und Ereignismanager (SIEM) und Malware-Sandboxen, die unabhängig voneinander arbeiten und nicht allgegenwärtig in der Infrastruktur platziert sind, führen nur zu Alarmgeräuschen, toten Winkeln und eingeschränkten Erkennungsmöglichkeiten. Bei IDS-Systemen sind sie weitgehend auf signaturbasierte Erkennung ausgelegt, sodass sie bekannte Angriffe erkennen können. IDS-Systeme sind nicht geeignet, um Zero-Day-Schwachstellen zu erkennen, für die keine Signatur für eine neue Angriffsmethode verfügbar ist. SIEM-Tools sind zu Abladeplätzen für Protokolle, Protokolle und weitere Protokolle geworden. Obwohl diese SIEM-Tools nützlich sind, müssen sie programmiert werden, um Abfragen auszuführen und nach Dingen zu suchen, die Sie finden möchten. Aber was ist mit den unbekannten Dingen, die bösartig sind und die Sie finden möchten?
Eine Methode, die hätte angewendet werden können, besteht darin, ein Sichtbarkeits-Framework in der gesamten Equifax-Infrastruktur bereitzustellen, um blinde Flecken zu beseitigen, mehrere Arten von Infrastrukturdaten zu erfassen und dann Algorithmen für maschinelles Lernen über dem Datensatz auszuführen, um Anomalien zu erkennen. Diese neuen Frameworks werden als Breach Detection Systems bezeichnet und basieren auf Big-Data-Technologie und künstlicher Intelligenz.
SCHLUSSBEMERKUNGEN
Was wir alle in der Branche der Cybersicherheit gelernt haben, ist, dass Datenverletzungen unvermeidlich sind, Netzwerke sich ständig ändern, es niemals 100% igen Schutz geben wird und jedes Jahr eine Zunahme von Cyber-Angriffen zu verzeichnen ist. Vor diesem Hintergrund müssen Unternehmen ständig nach neuen Möglichkeiten suchen, um ihre wertvollen Daten zu schützen. Wir bei Stellar Cyber glauben, dass sich die heute verwendeten Tools zur Erkennung von Sicherheitsverletzungen wie IDS, APT und SIEM in naher Zukunft grundlegend ändern und radikal anders aussehen werden.