In 2017 kreeg Equifax, een van 's werelds grootste kredietbeoordelingsbureaus, te maken met een cyberinbreuk van ongekende impact en schaal. Meer dan 145 miljoen records met persoonlijk identificeerbare informatie werden gestolen door cybercriminelen. Vanwege de aard van deze inbreuk nam de CEO van Equifax ontslag, werd een congresonderzoek ingesteld, de aandelen van Equifax werden getroffen en werd een class action-rechtszaak van 50 staten aangespannen.
The Breach
Op maart 2nd 2017, een kwetsbaarheid in een webapplicatie genaamd Apache Tomcat Struts 2 werd ontdekt door een beveiligingsonderzoeker en geïdentificeerd als kwetsbaarheid CVE-2017-5638. Deze webapplicatie werd door Equifax gebruikt om consumenten in staat te stellen discrepanties in kredietrapporten in te dienen. Dagen nadat de kwetsbaarheid werd ontdekt, werd op 7 maart 2017 een softwarepatch beschikbaar gesteld en openbaar gemaakt. Binnen 24 uur na de patch verscheen er een blogpost op een website over hoe deze kwetsbaarheid kon worden misbruikt om op afstand toegang te krijgen tot computers waarop de niet-gepatchte software werd uitgevoerd. Op 10 maartth van 2017 werd de exploit vrijgegeven als een plug-in voor de populaire open source exploit toolkit genaamd Metasploit en hackers begonnen die tool te gebruiken om het internet te scannen op servers met deze kwetsbaarheid. Ergens midden mei 2017 kregen hackers een hit en de server behoorde toevallig toe aan Equifax. Er werd ongeautoriseerde toegang verkregen en de hackers bleven binnen het netwerk van Equifax en exfiltreerden gegevens totdat ze op 29 juli werden ontdektth2017.
Waarom vond de schending plaats?
Je zou denken dat een organisatie met de grootte van Equifax en die verantwoordelijk is voor de bescherming van de gegevens van 145 miljoen Amerikanen, deze inbreuk had kunnen detecteren voordat de gegevens werden gestolen, laat staan dat ze 2.5 maand lang niet op de hoogte waren. Dus wat gebeurde er? Volgens rapporten werd Equifax op de hoogte gebracht van de kwetsbaarheid, maar ondernam het geen actie om de server te patchen. Toen de server eenmaal niet gepatcht was en hackers misbruik begonnen te maken van de kwetsbaarheid, gingen "verdachte waarschuwingen" af, maar Equifax ondernam geen actie. Om de voormalige CEO van Equifax te parafraseren, ze ontvangen elk jaar duizenden waarschuwingen en het is moeilijk om de belangrijkste te kwantificeren van de niet zo belangrijke. Dit benadrukt duidelijk een probleem met beveiligingshulpmiddelen en een mensenprobleem. De tools die organisaties tegenwoordig inzetten, hebben het moeilijk om kritieke gebeurtenissen te identificeren van de niet zo kritieke gebeurtenissen en er zullen altijd menselijke fouten zijn en niet genoeg mensen om op bedreigingen te reageren.
Wat had er kunnen gebeuren?
Ten eerste had menselijke fouten voorkomen kunnen worden als Equifax aandacht had besteed aan het beveiligingsbulletin met label CVE-2017-5638 en hun servers snel had gepatcht. Ten tweede moeten organisaties verouderde tools die een vals gevoel van veiligheid geven, gaan vervangen door nieuwe tools die de hedendaagse problemen aanpakken. Denk hierbij aan Intrusion Detection Systems (IDS) en Security Information & Event Managers (SIEM's).SIEMMalware-sandboxes die onafhankelijk van elkaar werken en niet alomtegenwoordig in de infrastructuur zijn geplaatst, leiden alleen maar tot een overvloed aan waarschuwingen, blinde vlekken en beperkte detectiemogelijkheden. IDS-systemen zijn grotendeels ontworpen rond op signaturen gebaseerde detectie, wat betekent dat ze bekende aanvallen kunnen detecteren. IDS-systemen zijn echter ontoereikend voor het detecteren van zero-day kwetsbaarheden, waarvoor geen signature beschikbaar is voor een nieuwe aanvalsmethode. SIEM De tools zijn veranderd in stortplaatsen voor logbestanden, logbestanden en nog meer logbestanden. Deze SIEM Hoewel tools nuttig zijn, moeten ze wel geprogrammeerd worden om zoekopdrachten uit te voeren naar de dingen die je wilt vinden. Maar wat als je dan juist de onbekende, kwaadaardige dingen opspoort die je wilt vinden?
Een methode die had kunnen worden gebruikt, is om een zichtbaarheidsraamwerk overal in de Equifax-infrastructuur te hebben geïmplementeerd om blinde vlekken te elimineren, meerdere soorten infrastructuurgegevens te verzamelen en vervolgens machine learning-algoritmen uit te voeren bovenop de dataset om afwijkingen op te sporen. Deze nieuwe frameworks worden Breach Detection Systems genoemd en worden gebouwd rond big data-technologie en kunstmatige intelligentie.
SLOTOPMERKINGEN
Wat we allemaal hebben geleerd in de cybersecurity-industrie is dat datalekken onvermijdelijk zijn, netwerken voortdurend veranderen, er nooit 100% bescherming zal zijn en dat we elk jaar een toename van cyberaanvallen zullen zien. Daarom moeten organisaties constant op zoek naar nieuwe manieren om hun waardevolle data te beschermen. Bij Stellar Cyber geloven we dat de huidige tools voor het detecteren van datalekken, zoals IDS, APT en SIEMzal in de nabije toekomst transformeren en er radicaal anders uitzien.
