Naruszenie Equifax w 2017 roku

W 2017 roku Equifax, jedna z największych na świecie agencji informacji kredytowej, doznała cyberprzestrzeni o bezprecedensowym wpływie i skali. Ponad 145 milionów rekordów danych osobowych zostało skradzionych przez cyberprzestępców. Ze względu na charakter tego naruszenia dyrektor generalny Equifax złożył rezygnację, rozpoczęło się dochodzenie w Kongresie, akcje Equifax spadły i wniesiono pozew zbiorowy w 50 stanach.

Naruszenie

W marcu 2nd 2017, luka w a Aplikacja internetowa o nazwie Apache Tomcat Struts 2 został odkryty przez badacza bezpieczeństwa i zidentyfikowany jako luka CVE-2017-5638. Ta aplikacja internetowa została wykorzystana przez Equifax, aby umożliwić konsumentom przesyłanie rozbieżności w raporcie kredytowym. Kilka dni po wykryciu luki 7 marca 2017 r. udostępniono i upubliczniono łatkę oprogramowania. W ciągu 24 godzin od wprowadzenia poprawki na stronie internetowej pojawił się post na blogu, w którym opisano, jak wykorzystać tę lukę w celu uzyskania zdalnego dostępu do komputerów z niezałatanym oprogramowaniem. 10 marcath z 2017 r.Eksploit został wydany jako wtyczka do popularnego zestawu narzędzi do exploitów typu open source o nazwie Metasploit, a hakerzy zaczęli używać tego narzędzia do skanowania Internetu w poszukiwaniu serwerów, które mają tę lukę. Gdzieś w połowie maja 2017 r. Hakerzy dostali hit, a serwer należał do Equifax. Uzyskano nieautoryzowany dostęp, a hakerzy pozostawali w sieci Equifax, eksfiltrując dane, aż do ich odkrycia 29 lipcath, 2017.

Dlaczego nastąpiło naruszenie?

Można by pomyśleć, że organizacja wielkości Equifax i odpowiedzialna za ochronę danych 145 milionów Amerykanów byłaby w stanie wykryć to naruszenie, zanim dane zostałyby skradzione, nie mówiąc już o tym, że byłaby nieprofesjonalna przez 2.5 miesiąca. Więc co się stało? Według doniesień Equifax został poinformowany o luce w zabezpieczeniach, jednak nie podjął działań w celu załatania serwera. Gdy serwer nie został załatany, a hakerzy zaczęli wykorzystywać lukę, wyłączyły się „podejrzane alerty”, ale Equifax nie podjął żadnych działań. Parafrazując byłego dyrektora generalnego Equifax, co roku otrzymują tysiące alertów i trudno jest określić ilościowo te ważne od mniej ważnych. To wyraźnie wskazuje na problem z narzędziami bezpieczeństwa i problemem z ludźmi. Narzędzia, które organizacje wdrażają dzisiaj, mają trudności z identyfikacją krytycznych zdarzeń na podstawie mniej krytycznych zdarzeń i zawsze będzie istniał błąd ludzki i niewystarczająca liczba ludzi, aby zareagować na zagrożenia.

 

Co mogliśmy zrobić?

Po pierwsze, błędu ludzkiego można było uniknąć, gdyby Equifax zwrócił uwagę na biuletyn luk w zabezpieczeniach oznaczony jako CVE-2017-5638 i szybko załatał swoje serwery. Po drugie, organizacje muszą zacząć wygasać przestarzałe narzędzia, które dają organizacjom fałszywe poczucie bezpieczeństwa dla nowych, które rozwiązują współczesny problem. Narzędzia, takie jak systemy wykrywania włamań (IDS), menedżerowie informacji i zdarzeń bezpieczeństwa (SIEM) oraz piaskownice złośliwego oprogramowania, które działają niezależnie od siebie i nie są wszechobecne w infrastrukturze, doprowadzą jedynie do szumu ostrzegawczego, martwych punktów i ograniczonych możliwości wykrywania. W przypadku systemów IDS są one w dużej mierze zaprojektowane w oparciu o wykrywanie oparte na sygnaturach, co oznacza, że ​​mogą wykrywać znane ataki. Systemy IDS są nieodpowiednie do wykrywania luk typu zero-day, w przypadku których nie ma dostępnej sygnatury dla nowej metody ataku. Narzędzia SIEM stały się wysypiskiem dzienników, dzienników i innych dzienników. Te narzędzia SIEM, chociaż przydatne, muszą być zaprogramowane do uruchamiania zapytań w celu wyszukania rzeczy, które chcesz znaleźć. Ale znowu, co z nieznanymi, złośliwymi rzeczami, które chcesz znaleźć.

Jedną z metod, którą można było zastosować, jest wdrożenie struktury widoczności wszędzie w całej infrastrukturze Equifax, aby wyeliminować martwe punkty, zebrać wiele typów danych infrastruktury, a następnie uruchomić algorytmy uczenia maszynowego na szczycie zbioru danych w celu wykrycia nieprawidłowości. Te nowe ramy nazywane są systemami wykrywania naruszeń i są budowane w oparciu o technologię dużych zbiorów danych i sztuczną inteligencję.

UWAGI KOŃCOWE

W branży cyberbezpieczeństwa wszyscy nauczyliśmy się, że naruszenia bezpieczeństwa danych są nieuniknione, sieci podlegają ciągłym zmianom, nigdy nie będzie 100% ochrony i każdego roku będziemy obserwować wzrost cyberataków. W związku z tym organizacje muszą stale poszukiwać nowych sposobów ochrony cennych danych. W Stellar Cyber ​​wierzymy, że używane obecnie narzędzia do wykrywania włamań, takie jak IDS, APT i SIEM, zmienią się i będą wyglądać radykalnie inaczej w najbliższej przyszłości.