Для защиты ваших данных на протяжении всего жизненного были создали новые UBA модели угроз (User Behavior Analytics – поведенческий анализ пользователей), которые основаны на основных этапах цепочки действий по проникновению в инфраструктуру.
Что же это означает? Давайте рассмотрим анатомию взлома.
Как произошел взлом Sony?
Точно мы знаем следующее: группа, называемая Guardians of Peace (GoP), утверждает, что смогла получить более 100 Терабайт данных компании. Чтобы стереть данные с серверов использовалось вредоносное ПО Wiper. Было опубликовано шокирующее количество неструктурированных данных: начиная от 47000 номеров социального страхования (SSN) до 170000 электронных писем и чатов между руководителями.
Давайте пройдёмся по цепочке действий по проникновению и выясним как это происходило шаг за шагом.
Разведка
Хакеры использовали почтовые сообщения с целью фишинга данных – в данном случае это была подмена сайта Apple ID. Таким образом злоумышленники получили доступ к персональной информации и паролям, которые в сочетании с публичной информацией из таких источников как LinkedIn и Facebook давали им достаточно информации для доступа в корпоративную сеть компании.
Вероятно, далее использовалось программное обеспечение по сканированию инфраструктуры. В конечном счёте у злоумышленников была детальная схема корпоративной сети, составленная по найденным документам.
Проникновение
На серверах было размещено вредоносное ПО Wiper (с использованием учетных данных сотрудника достаточных для запуска) – ПО Wiper уничтожает данные на Windows серверах одновременно распространяясь по сети для атаки других серверов. Согласно последним данным проникновение произошло более чем за год до его обнаружения.
Распространение
Злоумышленники сканировали сервера на предмет поиска файлов, содержащих учетные данные для дальнейшего распространения или повышения собственных привилегий. Позже они обнаружили огромное количество файлов (большая часть даже называлась «password»), содержащих имена пользователей и пароли для всего начиная от внутренних корпоративных систем и до аккаунтов Twitter: например, один документ из директории HR\Benefits содержал 402 строки по каждому сотруднику – номер социального страхования, внутренний адрес электронной почты, пароль и имя сотрудника.
Повышение привилегий
Благодаря проведенной разведке и распространению вредоносного ПО злоумышленники смогли обнаружить целые массивы паролей, что дало им достаточно доступа, чтобы завладеть инфраструктурой. Они даже были способны получать сертификаты безопасности и информацию RSA токенов, что значительно укрепило их позиции. Позже было обнаружено вредоносное ПО Destover, которое использовало украденные сертификаты Sony.
Утечка данных
Сотни Гигабайт критичных данных были опубликованы, большая часть это неструктурированные данные (PDF файлы, документы Word, таблицы Excel, презентации PowerPoint, текстовые файлы, видео файлы, сообщения электронной почты и т. д.) содержащие личную информацию знаменитостей и действующих/бывших сотрудников, конфиденциальные документы содержащие бюджеты, планы по развитию, будущие фильмы и внутреннюю переписку.
Что теперь?
До сих пор компании Sony приходится иметь дело с разрушительными последствиями взлома. Нарушен бизнес, репутация подпорчена и миллионы долларов выделены для урегулирования претензий по краже личных данных.
Причина заключается в том, что никто не следил за неструктурированными данными компании, когда хакеры попали в корпоративную сеть.
ссылка на оригинал статьи https://habrahabr.ru/post/281126/
Добавить комментарий