Την περασμένη εβδομάδα, εμβαθύναμε στις λεπτομέρειες της παραβίασης δεδομένων της Target το 2013, η οποία είχε ως αποτέλεσμα να κλαπούν τα στοιχεία πιστωτικών και χρεωστικών καρτών 40 εκατομμυρίων πελατών, καθώς και προσωπικά δεδομένα άλλων 70 εκατομμυρίων. Τώρα, θα αναλύσουμε τι πήγε στραβά και θα δούμε τι μπορούμε να μάθουμε από αυτό.
Ανεπαρκής ασφάλεια στον προμηθευτή
Η αρχική παραβίαση στα συστήματα της Target προήλθε από έναν τρίτο προμηθευτή HVAC. Παρόλο που ο προμηθευτής ισχυρίστηκε ότι «το σύστημα IT και τα μέτρα ασφάλειας μας είναι πλήρως συμβατά με τις πρακτικές της βιομηχανίας», ο δημοσιογράφος κυβερνοασφάλειας Brian Krebs ανέφερε ότι η εταιρεία χρησιμοποιούσε μόνο τη δωρεάν έκδοση του Malwarebytes Anti-Malware. Αν και το Malwarebytes είναι ιδιαίτερα αξιόλογο, δεν προορίζεται για εταιρική χρήση, ούτε προσφέρει προστασία σε πραγματικό χρόνο. Εάν ο προμηθευτής χρησιμοποιούσε ένα πιο κατάλληλο εργαλείο με σάρωση σε πραγματικό χρόνο, είναι πιθανό το κακόβουλο λογισμικό να είχε εντοπιστεί και η επίθεση να είχε αποτραπεί πριν καν φτάσει στα συστήματα της Target.
Προβλήματα ασφάλειας στην εφοδιαστική αλυσίδα
Γενικά, θα πρέπει να επιλέγουμε προμηθευτές που μπορούν να ανταποκριθούν στις ανάγκες ασφάλειας και συμμόρφωσής μας. Αυτό πρέπει να υποστηρίζεται από ισχυρά συμβόλαια που καθορίζουν τους ελέγχους που πρέπει να υπάρχουν. Ωστόσο, τελικά δεν έχουμε πλήρη έλεγχο στους προμηθευτές μας και πρέπει να θυμόμαστε ότι οι αποτυχίες ασφαλείας τους μπορούν πολύ γρήγορα να γίνουν δικά μας προβλήματα.
Σίγουρα, ο προμηθευτής HVAC θα έπρεπε να είχε αναβαθμίσει την ασφάλειά του και να είχε παρακολούθηση κακόβουλου λογισμικού σε πραγματικό χρόνο, αλλά αυτό δεν σημαίνει ότι η Target είναι εντελώς αθώα σε αυτή την υπόθεση. Οι λεπτομέρειες δεν είναι σαφείς, αλλά φαίνεται ότι συνέβησαν δύο πιθανά λάθη: είτε η Target επέτρεψε υπερβολική πρόσβαση του προμηθευτή στα συστήματά της, είτε η Target δεν απομόνωσε επαρκώς τα συστήματα στα οποία είχε πρόσβαση ο προμηθευτής από τα συστήματα πληρωμών.
Αν ισχύει το πρώτο, πρόκειται για κακή διαχείριση εφοδιαστικής αλυσίδας. Είναι λογικό η Target να διαθέτει συστήματα για να διευκολύνει το έργο του προμηθευτή, αλλά θα έπρεπε να περιορίσει την πρόσβαση στο ελάχιστο απαραίτητο για να εκτελεί το έργο του. Ο προμηθευτής HVAC δεν θα έπρεπε να έχει καμία πρόσβαση στην υποδομή πληρωμών.
Αν ισχύει το δεύτερο, εξαιρετικά ευαίσθητα συστήματα, όπως αυτά που χρησιμοποιούνται για πληρωμές, θα πρέπει να είναι φυσικά απομονωμένα – φιλοξενούμενα σε δικό τους υλικό μακριά από οτιδήποτε άλλο. Παρόλο που η λογική απομόνωση μπορεί να είναι χρήσιμη σε πολλές περιπτώσεις, αν δεν έχει ρυθμιστεί σωστά, οι χάκερ μπορεί να αποκτήσουν πρόσβαση σε άλλα συστήματα που φιλοξενούνται στην ίδια φυσική συσκευή.
Αγνοώντας ειδοποιήσεις ασφαλείας
Για να πραγματοποιηθεί μια επίθεση τέτοιας κλίμακας, μπορεί να νομίζετε ότι οι επιτιθέμενοι ήταν ιδιοφυΐες που χρησιμοποιούσαν προηγμένες τεχνικές για να αποφύγουν τον εντοπισμό. Όχι. Οι επιθέσεις στην πραγματικότητα ανιχνεύθηκαν από δύο διαφορετικά συστήματα πριν τα δεδομένα εξαχθούν. Σύμφωνα με μια αναφορά του Bloomberg, ο πάροχος ασφαλείας FireEye έστειλε πολλές ειδοποιήσεις στην Target, υποδεικνύοντας ότι υπήρχε κακόβουλο λογισμικό στα συστήματά της. Το Symantec Endpoint Detection επίσης εντόπισε την παραβίαση.
Δεν είμαστε σίγουροι γιατί ακριβώς αγνοήθηκαν οι ειδοποιήσεις ασφαλείας, αλλά υπάρχουν δύο πιθανές εξηγήσεις. Πρώτον, θα μπορούσε να υπάρχει πρόβλημα επικοινωνίας – έφτασαν οι ειδοποιήσεις στα κατάλληλα άτομα που ήταν υπεύθυνα για την προστασία των διακομιστών;
Αν οι ειδοποιήσεις έφτασαν, ίσως οι αναλυτές υπέφεραν από «κόπωση ειδοποιήσεων». Η κόπωση ειδοποιήσεων συμβαίνει όταν οι αναλυτές κατακλύζονται από πάρα πολλές ειδοποιήσεις για να τις παρακολουθήσουν. Αυτό συχνά οφείλεται σε εργαλεία ασφαλείας που δεν είναι καλά ρυθμισμένα και παράγουν πάρα πολλές ψευδείς ειδοποιήσεις (false positive). Το πρόβλημα των ψευδών ειδοποιήσεων μπορεί να αντιμετωπιστεί με τη σωστή ρύθμιση των εργαλείων ασφαλείας ώστε να είναι λιγότερο ευαίσθητα. Ωστόσο, πρέπει να είστε προσεκτικοί να μην τα ρυθμίσετε τόσο χαμηλά ώστε να προκύψουν ψευδώς αρνητικά (false negative). Αυτό σημαίνει ότι η επίθεση είναι σε εξέλιξη, αλλά δεν στέλνεται καμία ειδοποίηση στους αναλυτές.
Όπως μπορείτε να δείτε, με μερικές απλές βελτιώσεις ασφάλειας, αυτή η μαζική παραβίαση θα μπορούσε να είχε αποφευχθεί εύκολα.
Ελπίζουμε να μάθετε από τα λάθη της Target και να διασφαλίσετε ότι οι δικοί σας οργανισμοί δεν θα έχουν τόσο μεγάλα κενά ασφαλείας.