5 hack dan pelanggaran terburuk pada tahun 2016 dan apa artinya untuk 2017

2016 bukanlah tahun yang hebat untuk keamanan, setidaknya terkait dengan pelanggaran profil tinggi, peretasan, dan kebocoran data. Tahun ini melihat daftar laundry lain dari perusahaan besar, organisasi, dan situs web dengan serangan penolakan layanan (DDoS) terdistribusi, cache besar data pelanggan dan kata sandi yang mengenai pasar gelap untuk dijual kepada penawar tertinggi, dan semua cara intrusi malware dan ransomware.

Ada banyak hal yang dapat dilakukan bisnis untuk mengurangi risiko ini. Anda dapat, tentu saja, berinvestasi dalam solusi keamanan titik akhir, tetapi juga penting untuk mengikuti praktik terbaik keamanan data dan memanfaatkan kerangka kerja dan sumber daya keamanan yang tersedia.

Meskipun demikian, 2016 melihat LinkedIn, Yahoo, Komite Nasional Demokrat (DNC), dan Internal Revenue Service (IRS) menjadi sorotan setelah serangan dan pelanggaran besar-besaran. Kami berbicara dengan Morey Haber, Wakil Presiden Teknologi di penyedia kerentanan dan manajemen identitas BeyondTrust tentang apa yang dianggap perusahaan sebagai lima peretasan terburuk tahun ini - dan pelajaran penting yang dapat dipetik bisnis dari masing-masing.

1. Yahoo

Raksasa internet yang jatuh itu memiliki tahun keamanan yang buruk secara historis untuk melengkapi keuangannya yang merosot, merebut kekalahan dari cengkeraman kemenangan setelah serangkaian pengungkapan pelanggaran profil tinggi dan kebocoran data pelanggan membuat Verizon bergegas mencari jalan keluar dari akuisisi senilai $ 4, 8 miliar. Haber mengatakan pelanggaran Yahoo dapat mengajarkan bisnis tiga pelajaran berharga:

• Percayai tim keamanan Anda dan jangan mengisolasi mereka.
• Jangan menaruh semua perhiasan mahkota Anda di satu basis data.
• Ikuti hukum dan etika untuk pengungkapan pelanggaran yang tepat.

"Ini pertama kalinya sebuah perusahaan besar, untuk dijual, dicelupkan ganda untuk pelanggaran dalam satu tahun, dan memegang gelar sebagai pelanggaran terbesar yang pernah ada untuk satu perusahaan, " kata Haber. "Apa yang membuat ini lebih menarik sebagai pelanggaran terburuk 2016 adalah pelanggaran terjadi tiga tahun sebelum pengungkapan publik dan pelanggaran kedua hanya ditemukan karena forensik dari pelanggaran pertama. Lebih dari satu miliar akun secara total dikompromikan, mewakili semua perusahaan tentang bagaimana tidak mengelola praktik terbaik keamanan dalam bisnis Anda."

2. Komite Nasional Demokrat

Dalam pelanggaran keamanan musim pemilu yang paling terkenal, Komite Nasional Demokrat (DNC) diretas lebih dari satu kali, menghasilkan email dari para pejabat (termasuk ketua DNC Debbie Wasserman Schultz dan manajer kampanye Clinton John Podesta) bocor melalui WikiLeaks. Dalam peretasan yang telah ditelusuri oleh pejabat AS ke pemerintah Rusia, Haber menunjuk pedoman dan rekomendasi dari Biro Investigasi Federal (FBI), Departemen Keamanan Dalam Negeri (DHS), dan Institut Nasional Standar dan Teknologi (NIST) yang bisa mengurangi kerentanan keamanan DNC:

• Pedoman untuk keistimewaan, penilaian kerentanan, penambalan, dan pengujian pena semuanya ada dalam kerangka kerja yang sudah ada seperti NIST 800-53v4.
• Agensi perlu melakukan pekerjaan yang lebih baik dalam mengimplementasikan kerangka kerja yang sudah ada (seperti Kerangka Keamanan Cybers NIST) dan mengukur keberhasilannya.

"FBI dan DHS telah merilis dokumen yang menguraikan bagaimana dua Advanced Persistent Threats menggunakan tombak phishing dan malware untuk menyusup ke sistem politik AS dan menyediakan operasi rahasia untuk merusak proses pemilihan AS, " kata Haber. "Kesalahannya adalah ditujukan langsung pada serangan negara-bangsa, dan merekomendasikan langkah-langkah yang harus diambil semua pemerintah dan lembaga politik untuk menghentikan jenis intrusi ini. Masalahnya adalah, rekomendasi ini bukanlah hal yang baru, dan membentuk dasar untuk pedoman keamanan yang telah ditetapkan dari NIST."

3. Mirai

2016 adalah tahun di mana kami akhirnya menyaksikan besarnya serangan siber yang mampu dilakukan oleh botnet global. Jutaan perangkat Internet of Things (IoT) yang tidak aman tersapu ke botnet Mirai dan digunakan untuk secara berlebihan membebani penyedia sistem nama domain (DNS) Dyn dengan serangan DDoS. Serangan itu menghancurkan Etsy, GitHub, Netflix, Shopify, SoundCloud, Spotify, Twitter, dan satu ton situs web utama lainnya. Haber menunjuk pada empat pelajaran keamanan langsung yang dapat diambil oleh bisnis dari insiden tersebut:

• Perangkat yang tidak dapat memperbarui perangkat lunak, kata sandi, atau firmware tidak boleh diimplementasikan.
• Mengubah nama pengguna dan kata sandi default direkomendasikan untuk instalasi perangkat apa pun di internet.
• Kata sandi untuk perangkat IoT harus unik untuk setiap perangkat, terutama ketika mereka terhubung ke internet.
• Selalu tambal perangkat IoT dengan perangkat lunak dan firmware terbaru untuk mengurangi kerentanan.

"Internet of Things telah mengambil alih jaringan rumah dan perusahaan kami, secara harfiah, " kata Haber. "Dengan rilis publik dari kode sumber malware Mirai, penyerang menciptakan botnet yang memasukkan kata sandi default dan kerentanan yang belum ditambal untuk menciptakan botnet canggih di seluruh dunia yang dapat menyebabkan serangan DDoS besar-besaran. Itu digunakan dengan sukses beberapa kali pada tahun 2016 untuk mengganggu internet di AS. melalui DDoS terhadap layanan DNS yang disediakan oleh Dyn ke telekomunikasi di Perancis dan bank-bank di Rusia."

4. LinkedIn

Mengubah kata sandi Anda sering kali selalu merupakan ide yang cerdas dan itu berlaku untuk akun bisnis dan pribadi Anda. LinkedIn adalah korban dari peretasan besar pada tahun 2012 yang bocor ke publik akhir tahun lalu, serta peretasan yang lebih baru dari situs pembelajaran online Lynda.com yang memengaruhi 55.000 pengguna. Untuk manajer TI yang menetapkan kebijakan keamanan dan kata sandi bisnis, Haber mengatakan peretasan LinkedIn sebagian besar masuk akal:

• Ubah kata sandi Anda sesering mungkin; kata sandi berusia empat tahun mungkin hanya meminta masalah.
• Jangan pernah menggunakan kembali kata sandi Anda di situs web lain. Pelanggaran empat tahun itu dapat dengan mudah menyebabkan seseorang mencoba kata sandi yang sama di situs web media sosial atau akun email lain dan dapat membahayakan akun lain hanya karena kata sandi yang sama digunakan di banyak tempat.

"Sebuah serangan lebih dari empat tahun yang lalu secara publik bocor pada awal 2016, " kata Haber. "Pengguna yang tidak mengubah kata sandi mereka sejak saat itu menemukan nama pengguna, alamat email, dan kata sandi mereka tersedia untuk umum di web gelap. Pilihan mudah untuk seorang hacker."

5. Internal Revenue Service (IRS)

Terakhir, Haber berkata kita tidak bisa melupakan peretasan IRS. Ini terjadi dua kali, pada 2015 dan sekali lagi pada awal 2016, dan memengaruhi data penting termasuk pengembalian pajak dan nomor jaminan sosial.

"Vektor serangan itu bertentangan dengan layanan 'Dapatkan Transkrip', digunakan untuk segala hal mulai dari pinjaman kuliah hingga berbagi pengembalian pajak Anda dengan pihak ketiga yang berwenang. Karena kesederhanaan sistem, nomor jaminan sosial dapat digunakan untuk mengambil informasi dan kemudian membuat pengembalian pajak palsu, sebesar pengembalian uang dan secara elektronik ke rekening bank nakal, "jelas Haber. "Ini patut diperhatikan karena sistem, seperti Yahoo, dilanggar dua kali, diperbaiki, tetapi masih memiliki kelemahan parah yang memungkinkannya dilanggar lagi. Selain itu, ruang lingkup pelanggaran terlalu diremehkan, dari akun awal yang terdiri dari 100.000 pengguna hingga lebih 700.000 pada akhirnya. Tidak diketahui apakah ini akan muncul lagi untuk pengembalian tahun 2016."

Haber menunjuk dua pelajaran inti yang bisa dipelajari bisnis dari peretasan IRS:

• Perbaikan pengujian penetrasi sangat penting; hanya karena Anda memperbaiki satu cacat tidak berarti layanan aman.
• Forensik sangat penting setelah insiden atau pelanggaran. Untuk memiliki urutan tujuh kali lipat pada jumlah akun yang terpengaruh menunjukkan bahwa tidak ada yang benar-benar memahami ruang lingkup masalah.

"Untuk 2017, saya pikir kita akan mengharapkan lebih banyak hal yang sama. Negara-bangsa, perangkat IoT, dan perusahaan-perusahaan terkenal akan menjadi fokus pelaporan pelanggaran, " kata Haber. "Saya percaya akan ada peningkatan cakupan pada undang-undang privasi yang mengatur perangkat IOT dan berbagi informasi yang terkandung di dalamnya. Ini akan mencakup segalanya mulai dari perangkat seperti Amazon Echo hingga informasi yang mengalir dari EMEA AS dan Asia-Pasifik di dalam perusahaan."