Os 5 piores hacks e violações de 2016 e o ​​que eles significam para 2017

2016 não foi um ótimo ano para segurança, pelo menos no que diz respeito a violações, hacks e vazamentos de dados de alto perfil. O ano viu ainda outra lista de empresas de renome, organizações e sites de grande porte atingidos por ataques distribuídos de negação de serviço (DDoS), enormes caches de dados e senhas de clientes atingindo o mercado negro à venda pelo maior lance e todos maneira de invasões de malware e ransomware.

As empresas podem fazer muito para mitigar esses riscos. Obviamente, você pode investir em uma solução de segurança de terminal, mas também é importante seguir as práticas recomendadas de segurança de dados e fazer uso das estruturas e recursos de segurança disponíveis.

No entanto, em 2016, o LinkedIn, o Yahoo, o Comitê Nacional Democrata (DNC) e o Internal Revenue Service (IRS) foram destacados na sequência de ataques e violações cataclísmicas. Conversamos com Morey Haber, vice-presidente de tecnologia da BeyondTrust, provedor de gerenciamento de vulnerabilidades e identidades, sobre o que a empresa considera os cinco piores hacks do ano - e as lições críticas que as empresas podem aprender com cada uma delas.

1. Yahoo

A gigante da Internet caída teve um ano de segurança historicamente ruim para complementar suas finanças caídas, arrebatando a derrota das garras da vitória depois de uma série de divulgações de brechas de alto perfil e vazamentos de dados de clientes que deixaram a Verizon lutando para encontrar uma saída para sua aquisição de US $ 4, 8 bilhões. Haber disse que as violações do Yahoo podem ensinar às empresas três lições valiosas:

• Confie em suas equipes de segurança e não as isole.
• Não coloque todas as suas jóias da coroa em um banco de dados.
• Siga a lei e a ética para a divulgação adequada da violação.

"É a primeira vez que uma grande corporação, que está à venda, foi duplicada por uma violação em um ano e detém o título de maior violação de todos os tempos em uma única empresa", disse Haber. "O que torna isso ainda mais atraente como a pior violação de 2016 é a violação ocorrida três anos antes da divulgação pública e a segunda violação só foi descoberta devido à investigação forense da primeira violação. Mais de um bilhão de contas no total foram comprometidas, representando a todos empresas sobre como não gerenciar as melhores práticas de segurança em seus negócios ".

2. Comitê Nacional Democrata

Nas violações de segurança mais infames da temporada eleitoral, o Comitê Nacional Democrata (DNC) foi hackeado em mais de uma ocasião, resultando em e-mails de funcionários (incluindo a presidente da DNC, Debbie Wasserman Schultz e o gerente de campanha de Clinton, John Podesta) vazando pelo WikiLeaks. Em hacks que as autoridades americanas rastrearam até o governo russo, Haber apontou diretrizes e recomendações do Federal Bureau of Investigation (FBI), do Departamento de Segurança Interna (DHS) e do Instituto Nacional de Padrões e Tecnologia (NIST) que poderia ter atenuado as vulnerabilidades de segurança do DNC:

• As diretrizes para privilégios, avaliação de vulnerabilidade, aplicação de patches e teste de caneta existem em estruturas estabelecidas, como o NIST 800-53v4.
• As agências precisam fazer um trabalho melhor na implementação de estruturas estabelecidas (como a NIST Cybersecurity Framework) e medir seu sucesso.

"O FBI e o DHS divulgaram um documento descrevendo como duas ameaças persistentes avançadas usavam phishing e malware para se infiltrar no sistema político dos EUA e fornecer operações secretas para adulterar o processo eleitoral dos EUA", disse Haber. "A culpa é diretamente direcionada a um ataque de Estado-nação e recomenda medidas que todos os órgãos governamentais e políticos devem adotar para interromper esse tipo de invasão. O problema é que essas recomendações não são novidade e formam a base para as diretrizes de segurança já estabelecidas a partir de NIST ".

3. Mirai

2016 foi o ano em que finalmente testemunhamos a magnitude do ataque cibernético do qual uma botnet global é capaz. Milhões de dispositivos inseguros da Internet das Coisas (IoT) foram arrastados para a botnet Mirai e usados ​​para sobrecarregar massivamente o provedor de sistema de nomes de domínio (DNS) Dyn com um ataque DDoS. O ataque derrubou o Etsy, GitHub, Netflix, Shopify, SoundCloud, Spotify, Twitter e muitos outros sites importantes. Haber apontou para quatro lições simples de segurança que os negócios podem tirar do incidente:

• Os dispositivos que não podem ter seus softwares, senhas ou firmware atualizados nunca devem ser implementados.
• É recomendável alterar o nome de usuário e a senha padrão para a instalação de qualquer dispositivo na Internet.
• As senhas para dispositivos IoT devem ser únicas por dispositivo, especialmente quando estão conectadas à Internet.
• Sempre faça o patch de dispositivos IoT com o software e firmware mais recentes para reduzir vulnerabilidades.

"A Internet das Coisas assumiu nossas redes domésticas e corporativas, literalmente", disse Haber. "Com o lançamento público do código-fonte do malware Mirai, os atacantes criaram uma botnet que usa senhas padrão e vulnerabilidades sem patches para criar uma sofisticada botnet mundial que pode causar ataques DDoS maciços. Foi usada com sucesso várias vezes em 2016 para interromper a Internet nos EUA. via DDoS contra os serviços DNS fornecidos pela Dyn para telecomunicações na França e bancos na Rússia."

4. LinkedIn

Alterar suas senhas com frequência é sempre uma idéia inteligente e vale para as suas contas comerciais e pessoais. O LinkedIn foi vítima de um grande hack em 2012, que vazou publicamente no final do ano passado, além de um hack mais recente do seu site de aprendizado on-line Lynda.com, que afetou 55.000 usuários. Para os gerentes de TI que definem as políticas de segurança e senha dos negócios, Haber disse que o hack do LinkedIn se resume principalmente ao senso comum:

• Mude suas senhas com frequência; uma senha de quatro anos provavelmente está apenas causando problemas.
• Nunca reutilize suas senhas em outros sites. Essa violação de quatro anos de idade pode facilmente levar alguém a tentar a mesma senha em outro site de mídia social ou conta de e-mail e comprometer outras contas simplesmente porque a mesma senha foi usada em vários locais.

"Um ataque de mais de quatro anos atrás foi divulgado publicamente no início de 2016", disse Haber. "Os usuários que não haviam alterado suas senhas desde então encontraram seus nomes de usuário, endereços de email e senhas disponíveis publicamente na dark web. Escolhas fáceis para um hacker".

5. Receita Federal (IRS)

Por fim, Haber disse que não podemos esquecer os hacks do IRS. Isso aconteceu duas vezes, em 2015 e novamente no início de 2016, e afetou dados críticos, incluindo declarações fiscais e números de previdência social.

"O vetor de ataque era contra o serviço 'Get Transcript', usado para tudo, desde empréstimos para universidades até o compartilhamento de suas declarações fiscais com terceiros autorizados. Devido à simplicidade do sistema, um número de segurança social poderia ser usado para recuperar informações e criar declarações fiscais falsas, no valor de um reembolso e eletronicamente em uma conta bancária desonesta ", explicou Haber. "Isso é digno de nota porque o sistema, como o Yahoo, foi violado duas vezes, corrigido, mas ainda apresentava falhas graves que permitiam sua violação novamente. Além disso, o escopo da violação foi subestimado de maneira grosseira, desde contas anteriores de 100.000 usuários até mais 700.000 no final. Não se sabe se isso voltará à tona nos retornos de 2016 ".

Haber apontou duas lições principais que as empresas podem aprender com os hacks do IRS:

• Correções nos testes de penetração são cruciais; só porque você corrigiu uma falha não significa que o serviço é seguro.
• Forense é fundamental após um incidente ou violação. Ter uma magnitude de ordem sete vezes superior ao número de contas afetadas indica que ninguém realmente entendeu o escopo do problema.

"Para 2017, acho que esperaremos mais do mesmo. Estados-nação, dispositivos de IoT e empresas de alto perfil serão o foco dos relatórios de violação", disse Haber. "Acredito que haverá um aumento na cobertura das leis de privacidade que regem os dispositivos de IoT e no compartilhamento de informações contidas neles. Isso abrangerá tudo, desde dispositivos como o Amazon Echo a informações que fluem da EMEA nos EUA e da Ásia-Pacífico nas empresas".