การละเมิด Equifax ประจำปี 2017

ในปี 2017 Equifax ซึ่งเป็นหน่วยงานรายงานเครดิตที่ใหญ่ที่สุดแห่งหนึ่งของโลกได้รับผลกระทบและขนาดที่ไม่เคยมีมาก่อนในโลกไซเบอร์ ข้อมูลส่วนบุคคลที่สามารถระบุตัวตนได้มากกว่า 145 ล้านรายการถูกขโมยโดยอาชญากรไซเบอร์ เนื่องจากลักษณะของการละเมิดนี้ซีอีโอของ Equifax จึงลาออกการสอบสวนของรัฐสภาเริ่มต้นขึ้นหุ้นของ Equifax จึงได้รับผลกระทบและมีการฟ้องร้องดำเนินคดีระดับรัฐ 50 คดี

การละเมิด

ในเดือนมีนาคม 2nd 2017 จุดอ่อนในa โปรแกรมประยุกต์บนเว็บ เรียกว่า Apache Tomcat Struts 2 ถูกค้นพบโดยนักวิจัยด้านความปลอดภัยและระบุว่าเป็นช่องโหว่ CVE-2017-5638 เว็บแอปพลิเคชันนี้ถูกใช้โดย Equifax เพื่อให้ผู้บริโภคสามารถส่งรายงานความคลาดเคลื่อนของรายงานเครดิตได้ วันหลังจากพบช่องโหว่ แพตช์ซอฟต์แวร์ได้เผยแพร่ในวันที่ 7 มีนาคม 2017 และเผยแพร่สู่สาธารณะ ภายใน 24 ชั่วโมงหลังจากแพตช์ บล็อกโพสต์ก็ขึ้นบนเว็บไซต์เกี่ยวกับวิธีใช้ประโยชน์จากช่องโหว่นี้เพื่อเข้าถึงคอมพิวเตอร์ที่ใช้ซอฟต์แวร์ที่ไม่ได้รับการแก้ไขจากระยะไกล เมื่อวันที่ 10 มีนาคมth ของปี 2017 การใช้ประโยชน์ได้รับการเผยแพร่ในรูปแบบปลั๊กอินของชุดเครื่องมือหาประโยชน์จากโอเพนซอร์สที่เรียกว่า Metasploit และแฮกเกอร์เริ่มใช้เครื่องมือดังกล่าวเพื่อสแกนอินเทอร์เน็ตเพื่อหาเซิร์ฟเวอร์ที่มีช่องโหว่นี้ ในช่วงกลางเดือนพฤษภาคมของปี 2017 แฮกเกอร์ได้รับความนิยมและเซิร์ฟเวอร์ดังกล่าวเป็นของ Equifax ได้รับการเข้าถึงโดยไม่ได้รับอนุญาตและแฮกเกอร์ยังคงอยู่ในเครือข่ายของ Equifax โดยจะทำการขุดเจาะข้อมูลจนกว่าจะถูกค้นพบในวันที่ 29 กรกฎาคมth, 2017

ทำไมการละเมิดจึงเกิดขึ้น?

ใครจะคิดว่าองค์กรที่มีขนาดเท่ากับ Equifax และรับผิดชอบในการปกป้องข้อมูลของชาวอเมริกัน 145 ล้านคนจะสามารถตรวจจับการละเมิดนี้ได้ก่อนที่ข้อมูลจะถูกขโมยนับประสาอะไรกับการไม่รับรู้เป็นเวลา 2.5 เดือน แล้วเกิดอะไรขึ้น? ตามรายงาน Equifax ได้รับทราบถึงช่องโหว่อย่างไรก็ตามไม่ได้ดำเนินการแก้ไขเซิร์ฟเวอร์ เมื่อเซิร์ฟเวอร์ไม่ได้รับการแก้ไขและแฮกเกอร์เริ่มใช้ช่องโหว่ดังกล่าว "การแจ้งเตือนที่น่าสงสัย" ก็ปิดลง แต่ Equifax ไม่ดำเนินการใด ๆ ในการถอดความอดีต CEO ของ Equifax พวกเขาได้รับการแจ้งเตือนหลายพันครั้งทุกปีและเป็นการยากที่จะหาจำนวนสิ่งที่สำคัญจากสิ่งที่ไม่สำคัญ สิ่งนี้ชี้ให้เห็นอย่างชัดเจนถึงปัญหาเครื่องมือรักษาความปลอดภัยและปัญหาของผู้คน เครื่องมือที่องค์กรปรับใช้ในปัจจุบันมีช่วงเวลาที่ยากลำบากในการระบุเหตุการณ์ที่สำคัญจากเหตุการณ์ที่ไม่สำคัญและมักจะมีข้อผิดพลาดจากมนุษย์และมีคนไม่เพียงพอที่จะตอบสนองต่อภัยคุกคาม

 

สิ่งที่สามารถทำได้?

สำหรับผู้เริ่มต้นอาจหลีกเลี่ยงข้อผิดพลาดของมนุษย์ได้หาก Equifax ให้ความสนใจกับกระดานข่าวช่องโหว่ที่มีข้อความ CVE-2017-5638 และติดตั้งเซิร์ฟเวอร์ของตนอย่างรวดเร็ว ประการที่สององค์กรต่างๆจำเป็นต้องเริ่มใช้เครื่องมือเก่า ๆ ที่หมดอายุซึ่งทำให้องค์กรมีความรู้สึกผิด ๆ เกี่ยวกับความปลอดภัยสำหรับเครื่องมือใหม่ ๆ ที่จัดการกับปัญหาในยุคปัจจุบัน เครื่องมือเช่นระบบตรวจจับการบุกรุก (IDS) ข้อมูลความปลอดภัยและผู้จัดการเหตุการณ์ (SIEM) และมัลแวร์แซนด์บ็อกซ์ที่ทำงานเป็นอิสระจากกันและวางไว้ไม่แพร่หลายภายในโครงสร้างพื้นฐานจะทำให้เกิดเสียงเตือนจุดบอดและความสามารถในการตรวจจับที่ จำกัด เท่านั้น ด้วยระบบ IDS พวกเขาได้รับการออกแบบมาโดยส่วนใหญ่เกี่ยวกับการตรวจจับตามลายเซ็นซึ่งหมายความว่าสามารถตรวจจับการโจมตีที่รู้จักได้ ระบบ IDS ไม่เพียงพอสำหรับการตรวจจับช่องโหว่ Zero-Day ซึ่งไม่มีลายเซ็นสำหรับวิธีการโจมตีใหม่ เครื่องมือ SIEM กลายเป็นพื้นที่ทิ้งสำหรับบันทึกบันทึกและบันทึกอื่น ๆ เครื่องมือ SIEM เหล่านี้แม้ว่าจะมีประโยชน์ แต่ต้องมีการตั้งโปรแกรมเพื่อเรียกใช้แบบสอบถามเพื่อค้นหาสิ่งที่คุณต้องการค้นหา แต่อีกครั้งสิ่งที่เกี่ยวกับสิ่งที่ไม่ทราบที่เป็นอันตรายที่คุณต้องการค้นหา

วิธีการหนึ่งที่สามารถนำมาใช้ได้คือต้องมีการติดตั้งเฟรมเวิร์กการมองเห็นอย่างแพร่หลายทั่วโครงสร้างพื้นฐานของ Equifax เพื่อกำจัดจุดบอดรวบรวมข้อมูลโครงสร้างพื้นฐานหลายประเภทจากนั้นเรียกใช้อัลกอริทึมการเรียนรู้ของเครื่องที่ด้านบนของชุดข้อมูลเพื่อตรวจจับความผิดปกติ เฟรมเวิร์กใหม่เหล่านี้ถูกเรียกว่า Breach Detection Systems และถูกสร้างขึ้นจากเทคโนโลยีข้อมูลขนาดใหญ่และปัญญาประดิษฐ์

การปิดการแจ้งเตือน

สิ่งที่เราได้เรียนรู้ทั้งหมดในอุตสาหกรรมการรักษาความปลอดภัยทางไซเบอร์ก็คือการละเมิดข้อมูลเป็นสิ่งที่หลีกเลี่ยงไม่ได้เครือข่ายมีการเปลี่ยนแปลงตลอดเวลาจะไม่มีการป้องกัน 100% และในแต่ละปีเราจะเห็นการโจมตีทางไซเบอร์เพิ่มขึ้น ด้วยเหตุนี้องค์กรจึงจำเป็นต้องมองหาวิธีการใหม่ ๆ ในการปกป้องข้อมูลที่มีค่าอยู่เสมอ ที่ Stellar Cyber ​​เราเชื่อว่าเครื่องมือตรวจจับการละเมิดที่ใช้อยู่ในปัจจุบันเช่น IDS, APT และ SIEM จะเปลี่ยนแปลงและดูแตกต่างอย่างสิ้นเชิงในอนาคตอันใกล้นี้