Eh bien, 2017 a certainement été amusant (sarcasme certainement destiné) pour les agents de sécurité de l'information. Si vous êtes chargé d'assurer la sécurité des informations sensibles, il est probable que vous ne dormiez pas si bien ... ou pas du tout. Au cours des derniers mois, les histoires d'horreur liées à la sécurité sont apparues à la vitesse de l'éclair avec Equifax, Deloitte, la NFL et les récentes révélations de l'attaque de Yahoo (que nous avions toutes finies) nous montrant comment une faille juste dans les toilettes.
Qu'est-ce qu'une violation de données?
Une violation de données se produit lorsque des informations sensibles, privées ou confidentielles ont été volées, vues ou utilisées par une personne qui n'avait pas l'autorisation d'accéder à ces informations. En gros, quand un méchant vole des données. Ces données peuvent concerner plusieurs choses, notamment des secrets commerciaux, du matériel classifié, un contenu incriminant ou la propriété intellectuelle. Cependant, ces dernières années, les cybercriminels se sont concentrés sur le vol d'informations personnelles telles que les numéros de carte de crédit, les noms, les numéros de sécurité sociale, les adresses, les numéros de permis de conduire et les dates de naissance qui peuvent ensuite être utilisées pour voler l'identité d'une autre personne, qui à son tour , conduit généralement à la fraude par carte de crédit (c'est-à-dire que je ne me souviens certainement pas d'avoir acheté quatre iPad à Singapour.) En général, ceux qui volent les informations ne les utilisent pas pour eux-mêmes, mais choisissent plutôt de les vendre sur le dark web pour un bénéfice significatif.
Comment entrent-ils?
Les cybercriminels ont accès à l'information privée de diverses façons. Un exemple courant est l'utilisation du phishing, ou des courriels frauduleux conçus pour dérober des informations d'identification. Les courriels d'hameçonnage réussis imitent un service existant, tel que DropBox ou votre banque, et vous demandent de vous connecter via une page d'atterrissage pour une raison convaincante (Mon patron m'a envoyé un fichier DropBox, mieux vaut l'obtenir!) presque identique à l'actuel, les gens sont amenés à entrer leurs titres de compétences, qui sont ensuite volés et mis à la disposition des cybercriminels, souvent, sans même que vous sachiez que c'est arrivé.
Pourquoi maintenant?
Avec l'essor du cloud computing, de plus en plus d'entreprises stockent des informations personnelles accessibles depuis le Web. Les cybercriminels recherchent et exploitent les faiblesses du réseau d'une entreprise, comme une mauvaise configuration du serveur, une règle de pare-feu inutilisée, une mauvaise politique de mot de passe, ou à travers une variété d'autres exploits techniques.
Compte tenu de l'augmentation significative des violations de données, il est important de regarder des exemples du monde réel pour comprendre pourquoi cela s'est passé et comment cela aurait pu être évité. Vous trouverez ci-dessous la répartition de plusieurs violations de données récentes, y compris les leçons apprises.
La Ligue Nationale de Football (NFL)
Quand? Février 2017
Combien de personnes ont été touchées? 1135 NFL Joueurs
Qu'ont-ils obtenu? Numéros de téléphone cellulaire, noms, adresses, collèges, date de naissance, adresses de courriel et frais d'agent.
Qu'est-il arrivé? La NFL a récemment annoncé cette violation de données, qui a eu lieu à cause d'une mauvaise configuration du serveur sur le site Web de la NFL Players Association. Les pirates informatiques ont trouvé la base de données non protégée, l'ont verrouillée et ont demandé des dollars 438 en échange de ne pas divulguer les données au public. Non ce n'était pas une faute de frappe ... les dollars $ 438 voulus. Les demandes de ransomware sont souvent faibles car il est plus probable que les gens paieront juste pour pouvoir continuer leur vie.
Pourrait-il avoir été empêché? Oui. Une évaluation de la vulnérabilité par un cabinet de conseil tiers aurait probablement pris la mauvaise configuration et l'a fait remarquer à la NFL. Une organisation de sécurité a effectivement trouvé cette lacune de sécurité, mais pas avant que la violation de données ait eu lieu.
Qu'avons-nous appris? La revue. La revue. La revue. Mettre en place un périmètre de sécurité et l'ignorer est une très mauvaise pratique de sécurité. Les entreprises doivent souvent revoir leur empreinte de sécurité pour localiser les lacunes et lancer les activités de dépannage le plus rapidement possible. C'est là que Managed Security Services se démarque, car un fournisseur MSSP effectuera des évaluations de vulnérabilité régulières, des vérifications quotidiennes et vous fournira des rapports détaillés qui peuvent combler les trous avant que les pirates puissent les trouver.
Yahoo
Quand? 2013
Combien de personnes ont été touchées? 3 milliards (chaque compte Yahoo)
Qu'ont-ils obtenu? Noms d'utilisateur, mots de passe, anniversaires, numéros de téléphone et, dans certains cas, questions et réponses de sécurité.
Qu'est-il arrivé? Yikes. Alors que la violation de données s'est produite dans 2013, elle n'a pas été annoncée avant 2016. Tout récemment, cependant, Yahoo a annoncé que chaque compte Yahoo a été compromise, pas seulement le 500 millions qu'ils ont initialement rapporté. Si vous avez ou avez eu un compte Yahoo, vous devez absolument consultez cet article.
La violation de données a probablement été menée par le biais d'une attaque par cookie qui a permis aux cybercriminels de s'authentifier comme tout autre utilisateur sans le mot de passe.
Pourrait-il avoir été empêché? Tout d'abord, c'était la plus grande violation de sécurité dans l'histoire d'Internet. Et oui, cela aurait pu être évité. Selon un ancien employé de l'équipe de sécurité, l'équipe de direction de Yahoo ne voyait pas la sécurité comme une priorité absolue. Traitant avec d'autres géants de la technologie Internet, Yahoo a cherché à transformer son entreprise, laissant peu de budget, de ressources ou d'attention appropriée pour la sécurité.
Qu'avons-nous appris? Il est important que les cadres comprennent l'importance de la sécurité et que les équipes informatiques ne soient pas gênées par un budget de sécurité informatique limité. Être bon marché maintenant presque toujours rattrape avec vous à long terme.
Equifax
Quand? Découvert le juillet 29th 2017
Qu'ont-ils obtenu? Renseignements personnels pour plus de 143 millions d'Américains et de Canadiens
Qu'est-il arrivé? Celui-ci était particulièrement inquiétant puisque Equifax traite des renseignements personnels très sensibles, y compris les numéros de sécurité sociale, les dates de naissance, les adresses et les numéros de permis de conduire. La violation aurait été causée par une erreur d'employé seul. Apparemment, ce seul employé du département technique n'a pas implémenté de correctifs logiciels. En d'autres termes, ils n'avaient pas de processus de correction approprié et bien suivi.
Pourrait-il avoir été empêché? Oui. La correction est l'un des aspects les plus fondamentaux d'un programme de sécurité, en particulier pour une entreprise qui traite de ce niveau d'informations personnelles.
Qu'avons-nous appris? Beaucoup. Patch vos serveurs et mettre à jour votre logiciel pour un. De plus, lorsque les risques sont aussi élevés, la sécurité devrait être une priorité pour chaque employé, ce qui ne semble pas être le cas pour Equifax.
Hôtels Hyatt
Quand? Survenu à la mi-2017
Qu'ont-ils obtenu? Détails de la carte de paiement (numéros de carte, noms, dates d'expiration et codes de vérification.)
Qu'est-il arrivé? Un total de 41 propriétés dans les pays 11 ont été affectés dans cette violation. C'est la deuxième fois depuis 2015 que Hyatt fait voler ses informations de paiement, ce qui bien pire la première fois.
Aurait-il pu prévenir? La chose effrayante ici est combien de temps cette violation est restée inconnue. L'équipe de sécurité de Hyatt estime que la violation s'est produite entre mai et juillet. C'est un problème courant, car de nombreuses entreprises n'ont pas les moyens de détecter un problème en cours.
Qu'avons-nous appris? Une façon de détecter les problèmes en cours consiste à utiliser une plate-forme de gestion des informations et des événements de sécurité (SIEM). Un système SIEM corrèle les données de plusieurs systèmes aux problèmes d'identité et aux modèles. Avec une plate-forme SIEM en place et un centre d'opérations de sécurité (SOC) 24 / 7, il est possible que Hyatt ait pu le détecter beaucoup plus tôt.
En résumé, les violations de données sont généralement évitables, tant qu'une entreprise est disposée à s'engager dans une gestion et un entretien constants de la sécurité. Mettre du temps et de l'argent supplémentaires à l'avance n'est pas si mal quand on pense aux alternatives.
