La violation d'Equifax 2017

En 2017, Equifax, l'une des plus grandes agences d'évaluation du crédit au monde, a subi une cyber-violation d'un impact et d'une ampleur sans précédent. Plus de 145 millions d'enregistrements d'informations personnelles identifiables ont été volés par des cybercriminels. En raison de la nature de cette violation, le PDG d'Equifax a démissionné, une enquête du Congrès a été ouverte, l'action d'Equifax a été touchée et un recours collectif de 50 États a été déposé.

La Brèche

Le 2 Marsnd 2017, une vulnérabilité dans un application web appelé Apache Tomcat Struts 2 a été découvert par un chercheur en sécurité et identifié comme la vulnérabilité CVE-2017-5638. Cette application Web a été utilisée par Equifax pour permettre aux consommateurs de soumettre des écarts de rapport de crédit. Quelques jours après la découverte de la vulnérabilité, un correctif logiciel a été mis à disposition le 7 mars 2017 et rendu public. Dans les 24 heures suivant le correctif, un article de blog a été publié sur un site Web sur la façon d'exploiter cette vulnérabilité pour accéder à distance aux ordinateurs exécutant le logiciel non corrigé. Le 10 marsth de 2017, l'exploit a été publié en tant que plug-in de la populaire boîte à outils d'exploitation open source appelée Metasploit et les pirates ont commencé à utiliser cet outil pour rechercher sur Internet des serveurs présentant cette vulnérabilité. À la mi-mai 2017, les pirates ont été touchés et le serveur appartenait à Equifax. Un accès non autorisé a été obtenu et les pirates sont restés à l'intérieur du réseau d'Equifax, exfiltrant les données jusqu'à leur découverte le 29 juillet.th2017.

Pourquoi la violation s'est-elle produite?

On pourrait penser qu'une organisation de la taille d'Equifax et chargée de protéger les données de 145 millions d'Américains, aurait pu détecter cette faille avant le vol de données, et encore moins être ignorante pendant 2.5 mois. Alors, qu'est-ce-qu'il s'est passé? Selon les rapports, Equifax a été mis au courant de la vulnérabilité, mais n'a pris aucune mesure pour corriger le serveur. Une fois que le serveur n'a pas été corrigé et que les pirates ont commencé à exploiter la vulnérabilité, des «alertes suspectes» se sont déclenchées, mais Equifax n'a pris aucune mesure. Pour paraphraser l'ancien PDG d'Equifax, ils reçoivent des milliers d'alertes chaque année et il est difficile de quantifier les plus importantes des moins importantes. Cela met clairement en évidence un problème d'outils de sécurité et un problème de personnes. Les outils que les organisations déploient aujourd'hui ont du mal à identifier les événements critiques des événements moins critiques et il y aura toujours une erreur humaine et pas assez de personnes pour répondre aux menaces.

 

Qu'est-ce qui aurait pu être fait?

Pour commencer, l'erreur humaine aurait pu être évitée si Equifax avait prêté attention au bulletin de vulnérabilité étiqueté CVE-2017-5638 et avait rapidement corrigé ses serveurs. Deuxièmement, les organisations doivent commencer à expirer des outils désuets qui donnent aux organisations un faux sentiment de sécurité pour les nouveaux qui résolvent le problème moderne. Des outils tels que les systèmes de détection d'intrusion (IDS), les gestionnaires d'événements et d'informations de sécurité (SIEM) et les bacs à sable contre les logiciels malveillants qui fonctionnent indépendamment les uns des autres et placés de manière non omniprésente dans l'infrastructure ne conduiront qu'à des bruits d'alerte, des angles morts et une capacité de détection limitée. Avec les systèmes IDS, ils sont en grande partie conçus autour de la détection basée sur les signatures, ce qui signifie qu'ils peuvent détecter les attaques connues. Les systèmes IDS sont inadéquats pour détecter les vulnérabilités Zero-Day, où aucune signature n'est disponible pour une nouvelle méthode d'attaque. Les outils SIEM sont devenus des dépotoirs pour les journaux, les journaux et plus de journaux. Ces outils SIEM, bien qu'utiles, doivent être programmés pour exécuter des requêtes pour rechercher ce que vous voulez trouver. Mais encore une fois, qu'en est-il des éléments inconnus malveillants que vous souhaitez trouver.

Une méthode qui aurait pu être adoptée consiste à disposer d'un cadre de visibilité déployé de manière omniprésente dans toute l'infrastructure d'Equifax pour éliminer les angles morts, collecter plusieurs types de données d'infrastructure, puis exécuter des algorithmes d'apprentissage automatique en plus de l'ensemble de données pour repérer les anomalies. Ces nouveaux frameworks s'appellent Breach Detection Systems et sont construits autour de la technologie du Big Data et de l'intelligence artificielle.

MOT DE CLÔTURE

Ce que nous avons tous appris dans l'industrie de la cybersécurité, c'est que les violations de données sont inévitables, les réseaux sont en constante évolution, il n'y aura jamais de protection à 100% et chaque année, nous verrons une augmentation des cyber-attaques. Compte tenu de cela, les entreprises doivent constamment rechercher de nouvelles façons de protéger leurs précieuses données. Chez Stellar Cyber, nous pensons que les outils de détection des violations utilisés aujourd'hui, tels que IDS, APT et SIEM, se transformeront et seront radicalement différents dans un proche avenir.