В 2017 году Equifax, одно из крупнейших в мире агентств кредитной информации, пострадало от кибербезопасности беспрецедентного воздействия и масштаба. Киберпреступники украли более 145 миллионов записей с личной идентифицируемой информацией. Из-за характера этого нарушения генеральный директор Equifax подал в отставку, началось расследование Конгресса, акции Equifax пострадали, и был подан коллективный иск с участием 50 штатов.
Нарушение
В марте 2nd 2017 г., уязвимость в веб-приложение под названием Apache Tomcat Struts 2 был обнаружен исследователем безопасности и идентифицирован как уязвимость CVE-2017-5638. Это веб-приложение использовалось Equifax, чтобы позволить потребителям отправлять расхождения в кредитных отчетах. Через несколько дней после обнаружения уязвимости 7 марта 2017 г. был выпущен и обнародован программный патч. В течение 24 часов после установки исправления на веб-сайте появилось сообщение в блоге о том, как использовать эту уязвимость для получения удаленного доступа к компьютерам, на которых запущено неустановленное программное обеспечение. 10 мартаth В 2017 году эксплойт был выпущен как подключаемый модуль к популярному набору эксплойтов с открытым исходным кодом под названием Metasploit, и хакеры начали использовать этот инструмент для сканирования в Интернете серверов, на которых была обнаружена эта уязвимость. Где-то в середине мая 2017 года взломали хакеры, и сервер принадлежал Equifax. Был получен несанкционированный доступ, и хакеры оставались внутри сети Equifax, собирая данные, пока не были обнаружены 29 июля.th, 2017.
Почему произошел разрыв?
Можно было бы подумать, что организация размером с Equifax, отвечающая за защиту данных 145 миллионов американцев, смогла бы обнаружить эту утечку до того, как данные были украдены, не говоря уже о том, чтобы оставаться незамеченной в течение 2.5 месяцев. Так что случилось? Согласно сообщениям, Equifax был уведомлен об уязвимости, однако не предпринял никаких действий для исправления сервера. После того, как сервер не был исправлен и хакеры начали использовать уязвимость, сработали «подозрительные предупреждения», но Equifax не предпринял никаких действий. Перефразируя бывшего генерального директора Equifax, они получают тысячи предупреждений каждый год, и трудно определить количественно важные из не очень важных. Это ясно указывает на проблему инструментов безопасности и проблему людей. Инструментам, которые организации используют сегодня, трудно отличить критические события от не столь критических событий, и всегда будет человеческий фактор и нехватка людей для реагирования на угрозы.
Что можно было сделать?
Во-первых, человеческой ошибки можно было бы избежать, если бы Equifax обратила внимание на бюллетень об уязвимости CVE-2017-5638 и оперативно обновила свои серверы. Во-вторых, организациям необходимо начать отказываться от устаревших инструментов, которые создают ложное чувство безопасности, в пользу новых, решающих современные проблемы. К таким инструментам относятся системы обнаружения вторжений (IDS), системы управления информацией и событиями безопасности (SIM-ORD).SIEMСистемы обнаружения вторжений (IDS) и песочницы для вредоносного ПО, работающие независимо друг от друга и не повсеместно размещенные в инфраструктуре, приведут лишь к шуму в системе оповещениях, слепым зонам и ограниченным возможностям обнаружения. Системы IDS в значительной степени основаны на обнаружении на основе сигнатур, что означает, что они могут обнаруживать известные атаки. Системы IDS не подходят для обнаружения уязвимостей нулевого дня, для которых отсутствует сигнатура нового метода атаки. SIEM Инструменты превратились в свалки для логов, логов и еще раз логов. Эти SIEM Инструменты, хотя и полезные, должны быть запрограммированы для выполнения запросов с целью поиска нужной информации. Но опять же, что делать с неизвестными вредоносными объектами, которые вы хотите обнаружить?
Один из методов, который можно было бы использовать, - это иметь инфраструктуру видимости, широко развернутую по всей инфраструктуре Equifax, чтобы устранить слепые пятна, собрать несколько типов данных инфраструктуры, а затем запустить алгоритмы машинного обучения поверх набора данных для выявления отклонений. Эти новые фреймворки называются системами обнаружения нарушений и строятся на основе технологий больших данных и искусственного интеллекта.
ЗАКЛЮЧИТЕЛЬНЫЕ ЗАМЕЧАНИЯ
В индустрии кибербезопасности мы все усвоили, что утечки данных неизбежны, сети постоянно меняются, 100% защиты никогда не будет, и каждый год мы будем наблюдать рост кибератак. Учитывая это, организациям необходимо постоянно искать новые способы защиты своих ценных данных. В Stellar Cyber мы считаем, что используемые сегодня инструменты обнаружения утечек, такие как IDS, APT и другие, являются эффективными. SIEMВ ближайшем будущем он преобразится и будет выглядеть совершенно иначе.
