2017Equifax違反

2017年、世界最大の信用調査機関の145つであるEquifaxは、前例のない影響と規模のサイバー侵害に見舞われました。 サイバー犯罪者は、50億XNUMX万件を超える個人情報の記録を盗みました。 この違反の性質上、EquifaxのCEOは辞任し、議会の調査が開始され、Equifaxの株式は打撃を受け、XNUMX州の集団訴訟が提起されました。

違反

3月に2nd 2017年、の脆弱性 ウェブアプリケーション Apache Tomcat Struts 2と呼ばれるものがセキュリティ研究者によって発見され、脆弱性CVE-2017-5638として識別されました。 このWebアプリケーションは、消費者が信用報告書の不一致を送信できるようにするためにEquifaxによって使用されました。 脆弱性が発見されてから数日後、7年2017月24日にソフトウェアパッチが利用可能になり、公開されました。 パッチが適用されてから10時間以内に、この脆弱性を悪用してパッチが適用されていないソフトウェアを実行しているコンピューターにリモートアクセスする方法に関するブログ投稿がWebサイトに掲載されました。 XNUMX月XNUMX日th 2017年に、このエクスプロイトはMetasploitと呼ばれる人気のあるオープンソースエクスプロイトツールキットへのプラグインとしてリリースされ、ハッカーはこのツールを使用して、この脆弱性のあるサーバーをインターネットでスキャンし始めました。 2017年29月中旬にハッカーが攻撃を受け、サーバーはたまたまEquifaxに属していました。 不正アクセスが取得され、ハッカーはEquifaxのネットワーク内に留まり、XNUMX月XNUMX日に発見されるまでデータを盗み出しました。th、2017。

なぜ違反が発生したのですか?

Equifaxの規模で、145億2.5万人のアメリカ人のデータの保護を担当している組織は、データが盗まれる前にこの違反を検出できたはずです。 どうしたの? 報告によると、Equifaxは脆弱性を認識していましたが、サーバーにパッチを適用するための措置を講じていませんでした。 サーバーにパッチが適用されず、ハッカーが脆弱性を悪用し始めると、「疑わしいアラート」が鳴りましたが、Equifaxはアクションを実行しませんでした。 Equifaxの前CEOを言い換えると、彼らは毎年何千ものアラートを受け取り、それほど重要ではないものから重要なものを定量化することは困難です。 これは、セキュリティツールの問題と人の問題を明確に浮き彫りにします。 組織が今日展開しているツールは、それほど重要ではないイベントから重要なイベントを特定するのに苦労しており、常に人的エラーが発生し、脅威に対応するのに十分な人員が不足します。

 

何ができただろうか?

手始めに、EquifaxがCVE-2017-5638というラベルの付いた脆弱性速報に注意を払い、サーバーに迅速にパッチを適用すれば、人的エラーを回避できたはずです。 第二に、組織は、現代の問題に対処する新しいツールに対して誤った安心感を組織に与える時代遅れのツールの期限切れを開始する必要があります。 侵入検知システム(IDS)、セキュリティ情報およびイベントマネージャー(SIEM)、マルウェアサンドボックスなどのツールは、互いに独立して動作し、インフラストラクチャ内に非浸透的に配置されているため、アラートノイズ、死角、および限られた検出機能しか発生しません。 IDSシステムでは、主に署名ベースの検出を中心に設計されています。つまり、既知の攻撃を検出できます。 IDSシステムは、新しい攻撃方法に使用できるシグニチャがないゼロデイ脆弱性の検出には不十分です。 SIEMツールは、ログ、ログ、その他のログのダンプの場になっています。 これらのSIEMツールは便利ですが、検索したいものを探すためにクエリを実行するようにプログラムする必要があります。 しかし、繰り返しになりますが、あなたが見つけたい悪意のある未知のものについてはどうでしょうか。

採用された可能性のあるXNUMXつの方法は、Equifaxインフラストラクチャ全体に可視性フレームワークを広く展開して、死角を排除し、複数のタイプのインフラストラクチャデータを収集し、データセットに対して機械学習アルゴリズムを実行して異常を発見することです。 これらの新しいフレームワークは違反検出システムと呼ばれ、ビッグデータテクノロジーと人工知能を中心に構築されています。

閉会の辞

サイバーセキュリティの業界で私たち全員が学んだことは、データ侵害は避けられず、ネットワークは常に変化し、100%の保護は決してなく、毎年サイバー攻撃が増加するということです。 このため、組織は貴重なデータを保護するための新しい方法を常に模索する必要があります。 Stellar Cyber​​では、IDS、APT、SIEMなど、現在使用されている侵害検出ツールが変化し、近い将来に根本的に異なるように見えると考えています。