В 2017 году Equifax, одно из крупнейших в мире агентств кредитной информации, пострадало от кибербезопасности беспрецедентного воздействия и масштаба. Киберпреступники украли более 145 миллионов записей с личной идентифицируемой информацией. Из-за характера этого нарушения генеральный директор Equifax подал в отставку, началось расследование Конгресса, акции Equifax пострадали, и был подан коллективный иск с участием 50 штатов.
Нарушение
В марте 2nd 2017 г., уязвимость в веб-приложение под названием Apache Tomcat Struts 2 был обнаружен исследователем безопасности и идентифицирован как уязвимость CVE-2017-5638. Это веб-приложение использовалось Equifax, чтобы позволить потребителям отправлять расхождения в кредитных отчетах. Через несколько дней после обнаружения уязвимости 7 марта 2017 г. был выпущен и обнародован программный патч. В течение 24 часов после установки исправления на веб-сайте появилось сообщение в блоге о том, как использовать эту уязвимость для получения удаленного доступа к компьютерам, на которых запущено неустановленное программное обеспечение. 10 мартаth В 2017 году эксплойт был выпущен как подключаемый модуль к популярному набору эксплойтов с открытым исходным кодом под названием Metasploit, и хакеры начали использовать этот инструмент для сканирования в Интернете серверов, на которых была обнаружена эта уязвимость. Где-то в середине мая 2017 года взломали хакеры, и сервер принадлежал Equifax. Был получен несанкционированный доступ, и хакеры оставались внутри сети Equifax, собирая данные, пока не были обнаружены 29 июля.th, 2017.
Почему произошел разрыв?
Можно было бы подумать, что организация размером с Equifax, отвечающая за защиту данных 145 миллионов американцев, смогла бы обнаружить эту утечку до того, как данные были украдены, не говоря уже о том, чтобы оставаться незамеченной в течение 2.5 месяцев. Так что случилось? Согласно сообщениям, Equifax был уведомлен об уязвимости, однако не предпринял никаких действий для исправления сервера. После того, как сервер не был исправлен и хакеры начали использовать уязвимость, сработали «подозрительные предупреждения», но Equifax не предпринял никаких действий. Перефразируя бывшего генерального директора Equifax, они получают тысячи предупреждений каждый год, и трудно определить количественно важные из не очень важных. Это ясно указывает на проблему инструментов безопасности и проблему людей. Инструментам, которые организации используют сегодня, трудно отличить критические события от не столь критических событий, и всегда будет человеческий фактор и нехватка людей для реагирования на угрозы.
Что можно было сделать?
Во-первых, человеческой ошибки можно было бы избежать, если бы Equifax обратила внимание на бюллетень уязвимостей с пометкой CVE-2017-5638 и быстро исправила свои серверы. Во-вторых, организациям необходимо прекратить использование устаревших инструментов, которые дают организациям ложное чувство безопасности для новых, которые решают современные проблемы. Такие инструменты, как системы обнаружения вторжений (IDS), менеджеры информации и событий безопасности (SIEM) и песочницы для вредоносных программ, которые работают независимо друг от друга и не повсеместно размещены в инфраструктуре, будут приводить только к шуму предупреждений, слепым зонам и ограниченной способности обнаружения. Что касается систем IDS, они в значительной степени разработаны для обнаружения на основе сигнатур, что означает, что они могут обнаруживать известные атаки. Системы IDS не подходят для обнаружения уязвимостей нулевого дня, когда нет доступных сигнатур для нового метода атаки. Инструменты SIEM стали свалкой журналов, журналов и других журналов. Эти инструменты SIEM, хотя и полезны, должны быть запрограммированы на выполнение запросов для поиска того, что вы хотите найти. Но опять же, как насчет неизвестных злонамеренных вещей, которые вы хотите найти.
Один из методов, который можно было бы использовать, - это иметь инфраструктуру видимости, широко развернутую по всей инфраструктуре Equifax, чтобы устранить слепые пятна, собрать несколько типов данных инфраструктуры, а затем запустить алгоритмы машинного обучения поверх набора данных для выявления отклонений. Эти новые фреймворки называются системами обнаружения нарушений и строятся на основе технологий больших данных и искусственного интеллекта.
ЗАКЛЮЧИТЕЛЬНЫЕ ЗАМЕЧАНИЯ
В индустрии кибербезопасности все мы узнали, что утечки данных неизбежны, сети постоянно меняются, 100% защиты никогда не будет, и с каждым годом число кибератак будет расти. Учитывая это, организациям необходимо постоянно искать новые способы защиты своих ценных данных. В Stellar Cyber мы уверены, что используемые сегодня инструменты обнаружения взломов, такие как IDS, APT и SIEM, в ближайшем будущем изменятся и будут выглядеть радикально иначе.
