Hvordan unngå feilene som er gjort i FNs datainnbrudd

Video: Hva skjer hos regjeringen når en cybersecurity-trussel blir identifisert? Paul Rosen, tidligere stabssjef ved Department of Homeland Security og partner i Crowell & Moring, beskriver leksjonene selskaper og regulatorer skal lære av regjeringens datainnbrudd.

I juli 2019 ble FN utsatt for et datainnbrudd, ifølge en fortrolig FN-rapport innhentet av The New Humanitarian. Angriperen, som var målrettet mot FN-nettverk i Genève og Wien, var i stand til å kompromittere kontoer og data på flere titalls servere, og fikk en ledende FN-IT-tjenestemann til å kalle det en "stor sammenbrudd, " sa New Humanitarian.

Serverne ved FNs menneskerettighetskontorer og personalavdeling ble fanget opp i nettangrepet da noen administratorkontoer ble brutt, opplyser New Humanitarian. FN-ansatte ble bedt om å endre passord, men ble ikke fortalt om bruddet. FN besluttet også å ikke offentliggjøre hva som hadde skjedd.

Hackeren infiltrerte FN-serverne ved å dra nytte av en sårbarhet i Microsoft SharePoint. Men Microsoft hadde gitt ut en oppdatering for den sårbarheten i februar og april 2019, flere måneder før angrepet skjedde.

De ti viktigste cyberattackene i tiåret (gratis PDF)

I en uttalelse som ble delt på hjemmesiden sin, erkjente FN at hackere hadde tilgang til flere av serverne. FN sa imidlertid at de aktuelle serverne var selvstendige utviklingssystemer som ikke inneholdt noen sensitive data eller konfidensiell informasjon.

"Hackerne klarte å få tilgang til vår aktive brukerkatalog, som inneholder bruker-ID-ene for våre ansatte og enheter, " sa FN. "Imidlertid lyktes de ikke med tilgang til passord. De fikk heller ikke tilgang til andre deler av systemet. Når vi ble klar over angrepet, tok vi grep for å legge ned de berørte utviklingsserverne."

I en orientering onsdag svarte FN-talsmann Stephane Dujarric De La Riviere på spørsmål fra reportere om hendelsen.

"Dette spesielle angrepet som kollegaene dine rapporterte om, er ikke et landemerke, " sa Dujarric. "Disse tingene ... forsøk på å angripe FNs IT-infrastruktur skjer ofte. Tilskuddet til ethvert IT-angrep er ... er fortsatt veldig uklar og usikker. Så vi er ikke i stand til å finne noen spesifikke potensielle angriper, men det var fra alle kontoer, et godt ressursangrep. "

Én reporter spurte hvorfor FN ikke klarte å avsløre angrepet ved å stille følgende spørsmål:

"Men hvorfor dekket FN opp dette angrepet? Gitt at det var et hack på datamaskiner som hadde sensitive humanitære og menneskerettighetsdata, data som kan involvere partnerorganisasjoner og hjelpeorganisasjoner, trengte de ikke å vite at du hadde vært hacket?"

Som svar forsøkte Dujarric å forklare årsaken til ikke å dele informasjonen offentlig:

"Det var ikke ... som sagt, vi er under konstant ... som noen, du vet, der ... forsøk blir gjort jevnlig. Serveren i Genève som du viser til var en del av et utviklingsmiljø og inneholdt ikke-sensitive testdata fra to utviklingsservere som ble brukt til webapplikasjon. Folk som trengte å bli varslet ble varslet. "

Retningslinjer for patch management (TechRepublic Premium)

Selv om hackeren bare traff utviklingsservere og kanskje ikke har kompromittert sensitiv informasjon, peker angrepet på to feil eller feilfeil fra FN. For det første klarte ikke organisasjonen å korrigere systemene og serverne sine på forhånd. Dette kan ha vært utviklingsservere, men de var tydelig tilgjengelige for eksterne hackingforsøk, noe som betyr at de burde vært ordentlig oppdatert.

For det andre klarte ikke FN å avsløre bruddet, og beskyttet til og med informasjonen fra sine egne ansatte. Selv om organisasjonen sa at den informerte de nødvendige menneskene, kan et angrep av denne art ha påvirket enkeltpersoner ikke bare innenfor men utenfor FN.

Sikkerhetseksperter tilbyr råd

Mens FN sliter med avsløringen av dette angrepet, tjener saken som en advarsel til andre organisasjoner om hvordan man kan forhindre og håndtere datainnbrudd. For å fordype seg mer i angrepet og potensielle erfaringer, gjennomførte TechRepublic en e-post samtale med Dr. Richard Gold, leder for sikkerhetsteknikk i Digital Shadows, en San Francisco-basert leverandør av digitale risikobeskyttelsesløsninger; og Rui Lopes, teknisk og teknisk support direktør i Panda Security.

TechRepublic: Hvordan kunne hackeren få tilgang til FN-servere? Jeg vet at det var gjennom en feil i SharePoint, men kan du forklare nøyaktig hvordan feilen ble utnyttet?

Gull: Feilen var en RCE-feil (Remote Code Execution) som, når den ble utnyttet vellykket, ville tillate en angriper å utføre sin egen kode, for eksempel malware, på FN-serveren.

Lopes : Vi vet hva som nå er i det offentlige. En sårbarhet ble utnyttet for å kompromittere SharePoint-distribusjoner på et europeisk nettsted, hvorfra lateral bevegelse i det meste av FN-nettverket var mulig med privilegert opptrapping.

TechRepublic: Har du noen tanker om hvorfor FN ikke klarte å lappe disse serverne ordentlig?

Gull: Det antas at SharePoint-feilen allerede var lappet (angrepene ble rapportert i juli 2019, sårbarheten ble lappet i februar-april 2019). Mangel på investeringer i IT-tjenester fører vanligvis til dårlig sikkerhetshygiene, ellers kjent som "sikkerhetsgjeld" der oppdateringer ikke er brukt og sikre konfigurasjoner ikke er gjort.

Lopes: Den tilsynelatende synderen, sårbarheten CVE-2019-0604, ble oppdatert av Microsoft i februar 2019. Noe åpenbart mislyktes i FNs strategi for endepunkthåndtering, som selvfølgelig ikke er en triviell oppgave.

TechRepublic: Har du noen tanker om hvorfor FN holdt disse dataene brudd på en hemmelighet?

Gull: Taushetsplikt opprettholdes ofte i frykt for å varsle angripere, skaper panikk blant ansatte og noen ganger av forlegenhet.

Lopes : Det er sannsynlig at FN kan ha vært bekymret for ytterligere copycat-angrep hvis de avslørte bruddet, spesielt hvis nettverket ikke var herdet i tilstrekkelig grad. I tillegg er det lett å forestille seg et scenario der dataene som ble filtrert ut var så følsomme at det kan skade verdensomspennende diplomatiske forbindelser, eller svekke FNs posisjon på verdensbasis.

TechRepublic: Hvilke råd har du til organisasjoner når det gjelder å beskytte seg mot brudd som dette?

Gull : Selv om rettidig lapping er av største betydning, bør en organisasjons sikkerhetsarkitektur ikke være en sårbarhet borte fra total kompromiss. Forsvar i dybden, det vil si flere delvis overlappende sikkerhetskontroller, sikkerhetsovervåking / logging og en robust og godt testet Incident Response (IR) -prosess er også nødvendig.

Lopes: Store og små organisasjoner må ha en sterk beskyttelse av endepunktet i 2020, inkludert overvåking og kontroll av datatilgang, samt trusseljaktfunksjoner for å oppdage ondsinnet oppførsel i nettverket deres. Dagene med forenklede, reaktive cybersecurity er i fortiden.

TechRepublic: Og hvilke råd har du til selskaper om beste fremgangsmåter for å avsløre brudd på data?

Gull: Ærlighet og åpenhet er avgjørende for å opprettholde tillit. Rettidig oppdatering og avsløring er også nødvendig.

Lopes: Når det er mulig, er åpenhet best. Arbeid med de lokale myndighetene for å finne den beste handlingen når det gjelder bevissthet om ondsinnet aktivitet i nettverket ditt, og når trusselen er utbedret, kan du koordinere et svar som fokuserer på virkningen for sluttbrukere og publikum. For å sikre at du har de riktige prosessene på plass for å håndtere en sikkerhetshendelse, er det viktig for alle virksomheter å ha en grundig og oppdatert responsplan for hendelser.

Cybersecurity Insider Nyhetsbrev

Styrke organisasjonens IT-sikkerhetsforsvar ved å holde deg oppdatert om de siste nettbaserte sikkerhetsnyhetene, løsningene og beste praksis. Leveres tirsdager og torsdager

Registrer deg i dag

© Copyright 2020 | mobilegn.com