Die 5 schlimmsten Hacks und Breaches von 2016 und was sie für 2017 bedeuten

2016 war kein großartiges Jahr für die Sicherheit, zumindest in Bezug auf wichtige Sicherheitslücken, Hacks und Datenlecks. In diesem Jahr gab es eine weitere Liste von namhaften Unternehmen, Organisationen und Websites, die von verteilten Denial-of-Service-Angriffen (DDoS), riesigen Caches von Kundendaten und Passwörtern heimgesucht wurden, die den Schwarzmarkt zum Verkauf an den Meistbietenden erschütterten Art und Weise von Malware und Ransomware Eindringen.

Unternehmen können viel tun, um diese Risiken zu mindern. Sie können natürlich in eine Endpoint-Sicherheitslösung investieren, aber es ist auch wichtig, die Best Practices für die Datensicherheit zu befolgen und die verfügbaren Sicherheitsrahmen und -ressourcen zu nutzen.

Nichtsdestotrotz rückten LinkedIn, Yahoo, das Democratic National Committee (DNC) und der Internal Revenue Service (IRS) nach katastrophalen Angriffen und Verstößen ins Rampenlicht. Wir sprachen mit Morey Haber, Vice President of Technology bei BeyondTrust, einem Anbieter für Schwachstellen- und Identitätsmanagement, darüber, was das Unternehmen als die fünf schlimmsten Hacks des Jahres ansieht - und welche wichtigen Lehren Unternehmen daraus ziehen können.

1. Yahoo

Der gestürzte Internetgigant hatte ein historisch schlechtes Sicherheitsjahr, um seine schwindenden Finanzdaten zu ergänzen. Er hat sich die Niederlage aus den Fängen des Sieges gerissen, nachdem Verizon nach einer Reihe von bekannt gewordenen Sicherheitsmängeln und Datenlecks von Kunden versucht hatte, einen Ausweg aus seiner 4, 8-Milliarden-Dollar-Akquisition zu finden. Laut Haber können Yahoo-Verstöße Unternehmen drei wertvolle Lektionen beibringen:

• Vertrauen Sie Ihren Sicherheitsteams und isolieren Sie sie nicht.
• Legen Sie nicht alle Ihre Kronjuwelen in einer Datenbank ab.
• Befolgen Sie das Gesetz und die Ethik für die ordnungsgemäße Offenlegung von Verstößen.

"Es ist das erste Mal, dass ein zum Verkauf stehendes Großunternehmen nach einem Jahr wegen eines Verstoßes doppelt getaucht wurde und den Titel des größten Verstoßes aller Zeiten für ein einzelnes Unternehmen trägt", sagte Haber. "Was dies als den schlimmsten Verstoß des Jahres 2016 noch zwingender macht, ist der Verstoß, der drei Jahre vor der Veröffentlichung stattgefunden hat, und der zweite Verstoß wurde nur aufgrund der Forensik des ersten Verstoßes entdeckt. Insgesamt wurden über eine Milliarde Konten kompromittiert, die für alle repräsentativ waren Unternehmen erfahren, wie Sie die besten Sicherheitsmethoden in Ihrem Unternehmen nicht verwalten können."

2. Demokratisches Nationalkomitee

In den berüchtigtsten Sicherheitsverletzungen der Wahlsaison wurde das Democratic National Committee (DNC) mehr als einmal gehackt, was dazu führte, dass E-Mails von Beamten (einschließlich der DNC-Vorsitzenden Debbie Wasserman Schultz und Clinton-Kampagnenleiter John Podesta) durch WikiLeaks durchsickerten. In Hacks, die US-Beamte auf die russische Regierung zurückgeführt haben, verwies Haber auf Richtlinien und Empfehlungen des Federal Bureau of Investigation (FBI), des Department of Homeland Security (DHS) und des National Institute of Standards and Technology (NIST) könnte die Sicherheitslücken der DNC gemindert haben:

• Richtlinien für Berechtigungen, Schwachstellenbewertung, Patches und Stifttests sind in etablierten Frameworks wie NIST 800-53v4 enthalten.
• Die Agenturen müssen etablierte Frameworks (wie das NIST Cybersecurity Framework) besser implementieren und ihren Erfolg messen können.

"Das FBI und das DHS haben ein Dokument veröffentlicht, in dem dargelegt wird, wie zwei Advanced Persistent Threats mit Spear Phishing und Malware das politische System der USA infiltrieren und verdeckte Operationen zur Manipulation des US-Wahlprozesses durchführen", sagte Haber. "Die Schuld richtet sich eindeutig gegen einen Angriff des Nationalstaats und empfiehlt Maßnahmen, die alle Regierungen und politischen Behörden ergreifen sollten, um diese Art von Eingriff zu stoppen. Das Problem ist, dass diese Empfehlungen nichts Neues sind und die Grundlage für Sicherheitsrichtlinien bilden, die bereits festgelegt wurden." NIST."

3. Mirai

2016 war das Jahr, in dem wir endlich Zeuge des Ausmaßes von Cyberangriffen wurden, zu denen ein globales Botnetz fähig ist. Millionen unsicherer Internet-of-Things-Geräte (IoT) wurden in das Mirai-Botnetz gewischt und dazu verwendet, den DNS-Anbieter (Domain Name System) Dyn mit einem DDoS-Angriff massiv zu überlasten. Der Angriff schlug Etsy, GitHub, Netflix, Shopify, SoundCloud, Spotify, Twitter und eine Menge anderer wichtiger Websites aus. Haber wies auf vier einfache Lektionen zum Thema Sicherheit hin, die Unternehmen aus dem Vorfall ziehen können:

• Geräte, deren Software, Kennwörter oder Firmware nicht aktualisiert werden kann, sollten niemals implementiert werden.
• Das Ändern des Standardbenutzernamens und -kennworts wird für die Installation von Geräten im Internet empfohlen.
• Kennwörter für IoT-Geräte sollten pro Gerät eindeutig sein, insbesondere wenn sie mit dem Internet verbunden sind.
• Patchen Sie IoT-Geräte immer mit der neuesten Software und Firmware, um Sicherheitslücken zu schließen.

"Das Internet der Dinge hat buchstäblich unser Heim- und Firmennetzwerk übernommen", sagte Haber. "Mit der Veröffentlichung des Mirai-Malware-Quellcodes haben Angreifer ein Botnetz mit Standardkennwörtern und ungepatchten Sicherheitslücken erstellt, um ein hoch entwickeltes weltweites Botnetz zu erstellen, das massive DDoS-Angriffe auslösen kann. Es wurde 2016 mehrmals erfolgreich eingesetzt, um das Internet in den USA zu stören." über DDoS gegen die DNS-Dienste von Dyn für Telekommunikation in Frankreich und Banken in Russland."

4. LinkedIn

Das häufige Ändern Ihrer Passwörter ist immer eine kluge Idee, und dies gilt auch für Ihre geschäftlichen und privaten Konten. LinkedIn war das Opfer eines großen Hacks im Jahr 2012, der Ende letzten Jahres öffentlich bekannt wurde, sowie eines neueren Hacks der Online-Lernwebsite Lynda.com, von dem 55.000 Benutzer betroffen waren. Für die IT-Manager, die Richtlinien für Unternehmenssicherheit und Kennwort festlegen, ist der LinkedIn-Hack weitgehend auf den gesunden Menschenverstand zurückzuführen:

• Ändern Sie Ihre Passwörter häufig. ein vier Jahre altes Passwort fragt wahrscheinlich nur nach Ärger.
• Verwenden Sie Ihre Passwörter niemals auf anderen Websites. Dieser vier Jahre alte Verstoß könnte leicht dazu führen, dass jemand dasselbe Passwort auf einer anderen Social-Media-Website oder einem anderen E-Mail-Konto versucht und andere Konten kompromittiert, einfach weil dasselbe Passwort an mehreren Stellen verwendet wurde.

"Ein Angriff vor über vier Jahren wurde Anfang 2016 öffentlich durchgesickert", sagte Haber. "Benutzer, die ihre Passwörter seitdem nicht geändert hatten, fanden ihre Benutzernamen, E-Mail-Adressen und Passwörter öffentlich im dunklen Internet. Einfache Auswahl für einen Hacker."

5. Internal Revenue Service (IRS)

Schließlich sagte Haber, wir könnten die IRS-Hacks nicht vergessen. Dies geschah zweimal, 2015 und erneut Anfang 2016, und betraf wichtige Daten wie Steuererklärungen und Sozialversicherungsnummern.

"Der Angriffsvektor war gegen den" Get Transcript "-Dienst gerichtet, der von College-Darlehen bis zur Weitergabe Ihrer Steuererklärungen an autorisierte Dritte verwendet wurde. Aufgrund der Einfachheit des Systems konnte eine Sozialversicherungsnummer verwendet werden, um Informationen abzurufen und dann zu erstellen gefälschte Steuererklärungen, die in Form einer Rückerstattung und elektronisch auf ein unechtes Bankkonto eingehen ", erklärte Haber. "Dies ist insofern bemerkenswert, als das System, wie Yahoo, zweimal verletzt und behoben wurde, aber immer noch schwerwiegende Mängel aufwies, die es ermöglichten, erneut gegen das System zu verstoßen. Darüber hinaus wurde der Umfang der Verletzung von frühen Konten mit 100.000 Benutzern bis zu mehr als unterschätzt Es ist nicht bekannt, ob dies 2016 erneut der Fall sein wird."

Haber wies auf zwei zentrale Lektionen hin, die Unternehmen aus den IRS-Hacks lernen können:

• Korrekturen für Penetrationstests sind von entscheidender Bedeutung. Nur weil Sie einen Fehler behoben haben, bedeutet dies nicht, dass der Service sicher ist.
• Forensik ist nach einem Vorfall oder einer Verletzung von entscheidender Bedeutung. Die siebenfache Größenordnung der Anzahl der betroffenen Konten weist darauf hin, dass niemand den Umfang des Problems wirklich verstanden hat.

"Ich denke, wir werden für 2017 mehr davon erwarten. Nationalstaaten, IoT-Geräte und hochkarätige Unternehmen werden im Mittelpunkt der Meldung von Verstößen stehen", sagte Haber. "Ich glaube, dass die Datenschutzgesetze für IoT-Geräte und die Weitergabe der darin enthaltenen Informationen weiter zunehmen werden. Dies wird alles abdecken, von Geräten wie Amazon Echo bis zu Informationen, die von EMEA in den USA und im asiatisch-pazifischen Raum innerhalb von Unternehmen fließen."