ในปี 2017 Equifax ซึ่งเป็นหน่วยงานรายงานเครดิตที่ใหญ่ที่สุดแห่งหนึ่งของโลกได้รับผลกระทบและขนาดที่ไม่เคยมีมาก่อนในโลกไซเบอร์ ข้อมูลส่วนบุคคลที่สามารถระบุตัวตนได้มากกว่า 145 ล้านรายการถูกขโมยโดยอาชญากรไซเบอร์ เนื่องจากลักษณะของการละเมิดนี้ซีอีโอของ Equifax จึงลาออกการสอบสวนของรัฐสภาเริ่มต้นขึ้นหุ้นของ Equifax จึงได้รับผลกระทบและมีการฟ้องร้องดำเนินคดีระดับรัฐ 50 คดี
การละเมิด
ในเดือนมีนาคม 2nd 2017 จุดอ่อนในa โปรแกรมประยุกต์บนเว็บ เรียกว่า Apache Tomcat Struts 2 ถูกค้นพบโดยนักวิจัยด้านความปลอดภัยและระบุว่าเป็นช่องโหว่ CVE-2017-5638 เว็บแอปพลิเคชันนี้ถูกใช้โดย Equifax เพื่อให้ผู้บริโภคสามารถส่งรายงานความคลาดเคลื่อนของรายงานเครดิตได้ วันหลังจากพบช่องโหว่ แพตช์ซอฟต์แวร์ได้เผยแพร่ในวันที่ 7 มีนาคม 2017 และเผยแพร่สู่สาธารณะ ภายใน 24 ชั่วโมงหลังจากแพตช์ บล็อกโพสต์ก็ขึ้นบนเว็บไซต์เกี่ยวกับวิธีใช้ประโยชน์จากช่องโหว่นี้เพื่อเข้าถึงคอมพิวเตอร์ที่ใช้ซอฟต์แวร์ที่ไม่ได้รับการแก้ไขจากระยะไกล เมื่อวันที่ 10 มีนาคมth ของปี 2017 การใช้ประโยชน์ได้รับการเผยแพร่ในรูปแบบปลั๊กอินของชุดเครื่องมือหาประโยชน์จากโอเพนซอร์สที่เรียกว่า Metasploit และแฮกเกอร์เริ่มใช้เครื่องมือดังกล่าวเพื่อสแกนอินเทอร์เน็ตเพื่อหาเซิร์ฟเวอร์ที่มีช่องโหว่นี้ ในช่วงกลางเดือนพฤษภาคมของปี 2017 แฮกเกอร์ได้รับความนิยมและเซิร์ฟเวอร์ดังกล่าวเป็นของ Equifax ได้รับการเข้าถึงโดยไม่ได้รับอนุญาตและแฮกเกอร์ยังคงอยู่ในเครือข่ายของ Equifax โดยจะทำการขุดเจาะข้อมูลจนกว่าจะถูกค้นพบในวันที่ 29 กรกฎาคมth, 2017
ทำไมการละเมิดจึงเกิดขึ้น?
ใครจะคิดว่าองค์กรที่มีขนาดเท่ากับ Equifax และรับผิดชอบในการปกป้องข้อมูลของชาวอเมริกัน 145 ล้านคนจะสามารถตรวจจับการละเมิดนี้ได้ก่อนที่ข้อมูลจะถูกขโมยนับประสาอะไรกับการไม่รับรู้เป็นเวลา 2.5 เดือน แล้วเกิดอะไรขึ้น? ตามรายงาน Equifax ได้รับทราบถึงช่องโหว่อย่างไรก็ตามไม่ได้ดำเนินการแก้ไขเซิร์ฟเวอร์ เมื่อเซิร์ฟเวอร์ไม่ได้รับการแก้ไขและแฮกเกอร์เริ่มใช้ช่องโหว่ดังกล่าว "การแจ้งเตือนที่น่าสงสัย" ก็ปิดลง แต่ Equifax ไม่ดำเนินการใด ๆ ในการถอดความอดีต CEO ของ Equifax พวกเขาได้รับการแจ้งเตือนหลายพันครั้งทุกปีและเป็นการยากที่จะหาจำนวนสิ่งที่สำคัญจากสิ่งที่ไม่สำคัญ สิ่งนี้ชี้ให้เห็นอย่างชัดเจนถึงปัญหาเครื่องมือรักษาความปลอดภัยและปัญหาของผู้คน เครื่องมือที่องค์กรปรับใช้ในปัจจุบันมีช่วงเวลาที่ยากลำบากในการระบุเหตุการณ์ที่สำคัญจากเหตุการณ์ที่ไม่สำคัญและมักจะมีข้อผิดพลาดจากมนุษย์และมีคนไม่เพียงพอที่จะตอบสนองต่อภัยคุกคาม
สิ่งที่สามารถทำได้?
ประการแรก ความผิดพลาดของมนุษย์สามารถหลีกเลี่ยงได้หาก Equifax ให้ความสนใจกับประกาศเกี่ยวกับช่องโหว่ที่มีหมายเลข CVE-2017-5638 และทำการแก้ไขเซิร์ฟเวอร์ของตนอย่างรวดเร็ว ประการที่สอง องค์กรต่างๆ จำเป็นต้องเริ่มยกเลิกเครื่องมือที่ล้าสมัยซึ่งทำให้องค์กรมีความรู้สึกปลอดภัยที่ผิดพลาด และหันมาใช้เครื่องมือใหม่ๆ ที่แก้ไขปัญหาในยุคปัจจุบัน เครื่องมือต่างๆ เช่น ระบบตรวจจับการบุกรุก (IDS), ระบบจัดการข้อมูลและเหตุการณ์ด้านความปลอดภัย (Security Information & Event Managers)SIEMระบบ Sandbox สำหรับมัลแวร์ที่ทำงานแยกจากกันและวางไว้แบบไม่แทรกแซงในโครงสร้างพื้นฐาน จะนำไปสู่การแจ้งเตือนที่มากเกินไป จุดบอด และความสามารถในการตรวจจับที่จำกัด ส่วนระบบ IDS นั้น ส่วนใหญ่ได้รับการออกแบบมาเพื่อการตรวจจับโดยใช้ลายเซ็น ซึ่งหมายความว่าสามารถตรวจจับการโจมตีที่รู้จักได้ แต่ระบบ IDS นั้นไม่เพียงพอสำหรับการตรวจจับช่องโหว่ Zero-Day ซึ่งไม่มีลายเซ็นสำหรับวิธีการโจมตีใหม่ๆ SIEM เครื่องมือเหล่านี้กลายเป็นที่ทิ้งขยะสำหรับไฟล์บันทึกข้อมูล ไฟล์บันทึกข้อมูล และไฟล์บันทึกข้อมูลอีกมากมาย SIEM ถึงแม้ว่าเครื่องมือต่างๆ จะมีประโยชน์ แต่ก็ต้องตั้งโปรแกรมให้สามารถเรียกใช้คำสั่งเพื่อค้นหาสิ่งที่เราต้องการ แต่แล้วสิ่งที่ไม่รู้จักที่เป็นอันตรายที่เราต้องการค้นหาล่ะ?
วิธีการหนึ่งที่สามารถนำมาใช้ได้คือต้องมีการติดตั้งเฟรมเวิร์กการมองเห็นอย่างแพร่หลายทั่วโครงสร้างพื้นฐานของ Equifax เพื่อกำจัดจุดบอดรวบรวมข้อมูลโครงสร้างพื้นฐานหลายประเภทจากนั้นเรียกใช้อัลกอริทึมการเรียนรู้ของเครื่องที่ด้านบนของชุดข้อมูลเพื่อตรวจจับความผิดปกติ เฟรมเวิร์กใหม่เหล่านี้ถูกเรียกว่า Breach Detection Systems และถูกสร้างขึ้นจากเทคโนโลยีข้อมูลขนาดใหญ่และปัญญาประดิษฐ์
การปิดการแจ้งเตือน
สิ่งที่เราทุกคนได้เรียนรู้ในอุตสาหกรรมความปลอดภัยทางไซเบอร์คือ การรั่วไหลของข้อมูลเป็นสิ่งที่หลีกเลี่ยงไม่ได้ เครือข่ายมีการเปลี่ยนแปลงอยู่ตลอดเวลา จะไม่มีการป้องกันได้ 100% และในแต่ละปีเราจะเห็นการโจมตีทางไซเบอร์เพิ่มขึ้น ด้วยเหตุนี้ องค์กรต่างๆ จึงจำเป็นต้องมองหาวิธีใหม่ๆ ในการปกป้องข้อมูลอันมีค่าของตนอย่างต่อเนื่อง ที่ Stellar Cyber เราเชื่อว่าเครื่องมือตรวจจับการรั่วไหลของข้อมูลที่ใช้ในปัจจุบัน เช่น IDS, APT และ SIEMและจะเปลี่ยนแปลงและมีรูปลักษณ์ที่แตกต่างไปอย่างสิ้นเชิงในอนาคตอันใกล้นี้
