根据Verizon 2017数据违规摘要(DBD),数据泄露变得越来越复杂,不仅仅是一个组织中的每个部门,而不仅仅是它。
该报告称,数据违规是涉及法律顾问,人力资源,企业沟通和其他事件答复(IR)利益攸关方的企业问题。
DBD基于Verizon的案例文件,为其数据漏斗调查报告(DBIR)提供了大多数数据,并从IR利益相关者的角度列出了16个最常见或最致命的数据泄露情景。
每种情况都基于匿名的现实数据漏洞响应,旨在与IR利益相关者共鸣,以帮助他们提高其未来对数据泄露响应的贡献。
DBD还映射了事件模式,表明,住宿和食品服务行业需要专注于销售点(POS)入侵和分布式拒绝服务(DDOS)攻击,而公共行政应关注内幕威胁,特权滥用和克里摩尔。
“公司需要准备好在突破之前准备处理数据泄露,以便尽快恢复,否则违规可能导致企业范围的损坏,这可能具有毁灭性和持久的后果,例如客户信心的损失,” Bryan Sartin,Verizon计算机取证实践执行董事。
“DBD旨在帮助企业和政府组织了解如何识别数据泄露的迹象,迅速遏制和恢复调查的重要证据来源,遏制和恢复。”
该报告还突出了五项行动组织应该在违约之后采取:
保存证据,考虑所采取的每项行动的后果。灵活足以适应不断发展的情况。建立一致的沟通方法。知道您的局限性并在必要时与其他利益相关者合作。记录所有操作和调查结果,并准备好解释它们。“保存证据非常重要,但经常调查人员被告知受影响的机器被擦拭,因此他们几乎没有合作,”verizon企业解决方案的调查反应校长。
“除了保留证据和记录的一切外,如果组织可以给予调查人员为机器提供”金色的图像“,它也会非常有用,因为这使得可以轻松消除应该存在的一切,所以我们可以专注于任何遗迹,”他说。
例如,“绝对零”情景处理人类元素以不满的员工的安全风险和地图到人力资源部部门,而“熊猫奇会”处理导管设备,特别是互联网互联网的安全风险( IOT)设备和映射到事件响应指令。
每种情况都表明了复杂程度,从DBIR中汲取的相关事件模式,发现时间,遏制时间,行业通常是针对的,涉及的威胁演员,典型的动机,关键IR利益相关者和建议对策。
在熊猫纪录场景的情况下,涉及用于在组织进行DDOS攻击的组织内的IOT设备,复杂程度为2比3,事件模式是DDOS攻击以及特权滥用和攻击,时间要发现通常在几小时内测量,遏制的时间也在数小时内测量,威胁演员可能包括活动家和统计附属的演员,可能包括怨恨和意识形态,策略可能包括特权滥用和剥削漏洞,有针对性的行业可能包括教育和制造业,利益相关者包括事件指挥官以及法律顾问和公司沟通。
虽然这种攻击并不常见,但目前被归类为“致命”,因为它可以瘫痪组织,但在未来可能会变得更加常见。
verizon注意到安全性通常是涉及物联网设备的事后,这意味着这些设备通常很容易受到广泛的威胁。
DBB中包含的方案是关于一个大学,它遇到了越来越缓慢或无法访问的网络连接,最终与一系列拒绝服务(DOS)攻击有关,这些攻击使用了在大学网络上使用自动售货机和其他物联网设备进行域名系统(DNS)查找与海鲜有关的子域。
“这是一个不寻常的情况,因为大学自己的IoT基础架构被用来通过DNS查找来减慢网络,而不是在经典DDOS攻击中使用的外部物联网设备以通过在线请求轰击目标,”Dine表示。
防火墙分析确定了超过5,000个分立系统,每15分钟制作数百个DNS查找,几乎所有系统都在网络的段,专用于大学的IOT基础架构。
对请求的域的分析确定仅返回15个不同的IP地址,并且在最新的IOT BotNet中最近的指标列表中出现了四个不同的IP地址和靠近100个域。
虽然Verizon不愿意确认任何细节,但事件在过去一年中发生的事实,并且BotNet通过违反默认和弱密码通过Brute und和弱密码从设备传播到设备,使得方案可能基于攻击mirai僵尸网络或其其中一个变种。
密码已知后,DBB表示恶意软件已完全控制设备,并将使用命令基础架构进行更新,更改设备的密码,将调查员锁定在5,000个受影响的系统中。
对以前的恶意软件样本的分析显示,用于向受感染系统发出命令的控制密码也被用作新更新的设备密码。这些命令通常通过超文本传输协议(HTTP)接收,并且在许多情况下,不依赖于安全套接字层(SSL)来加密传输。
假设这也是大学攻击的情况,事件响应者设置了完整的数据包捕获能力,以检查网络流量并识别新设备密码。一旦捕获,信息将用于在下一个恶意软件更新之前执行密码更改,以重新获得所有IOT设备并删除恶意软件感染。
DBB建议以下减轻/对策:
为IOT系统创建单独的网络区域,因此它们是空气从其他关键系统堵波。不要允许直接入口或出口连接到Internet.implente在线内容过滤系统。在设备上处理默认凭据。使用强大和唯一密码对于设备帐户和Wi-Fi网络。详细信息监视事件和日志以寻找端点的威胁,并在网络级别进行威胁.Scan用于网络上的开放远程访问协议。可常用和无担保的功能和服务,如通用插头Play.Clude IT资产清单中的IOT设备。详细检查制造商网站进行固件更新。硬件和软件的安全配置.Limit和控制网络端口,协议和服务。网络设备(如路由器和交换机)的配置配置。DBB建议任何响应某事物安全事件的人应该:
开发和遵循预测的IR Playbook,以解决与IoT设备相关的事件。Sope并通过分离受影响的子网来分离受影响的子网来分配到/从受影响的子网中出口通信.Change管理员或控制器密码.USE网络取证,包括网络日志,Netflow数据和数据包捕获.Consider通知执法和政府计算机应急响应团队。DBB注意到物联网设备的快速增殖导致了与底层设备旨在解决的新问题。
“潜在的问题是许多物联网制造商主要设计其功能的功能,并且正确的安全测试通常需要后座,”报告说。“如果买方审查了他们使用的任何设备的安全性,则为IoT设备更为必要。”
根据Verizon的说法,由于IOT设备通常很少被修补或更新,因此,IOT Botnets迅速扩散,因为它们不面对传统僵尸网络的某些问题。
此外,IoT设备的制造商以及拥有和操作的用户以及不总是直接受到妥协的影响,甚至立即意识到他们的设备在网络安全事件中发挥了作用。报告称,在攻击中使用的IOT环境实际上是预期的受害者,而是一个不自愿的人,而是用于攻击无关的第三方目标的非自愿同罪。
“物联网威胁远远超出了典型的安全漏洞,涉及围绕机密数据盗窃。在这个新的IOT违规时代,我们在我的物理世界和人类生活中的影响以及甚至是一种不断变化的金融和法律责任景观,“报告称,这增加了这一点应该提示组织考虑IOT威胁建模,以通过设计融合安全和隐私。
“某种机构解决方案需要一个详细的和全面的安全和隐私框架 - 不幸的是,仍然需要大量的设计工作 - 以及IoT市场参与者对基础安全的主要动力,”报告说。
版权及免责声明:凡本网所属版权作品,转载时须获得授权并注明来源“科技金融网”,违者本网将保留追究其相关法律责任的权力。凡转载文章,不代表本网观点和立场,如有侵权,请联系我们删除。