Làm thế nào để tránh những sai lầm trong vi phạm dữ liệu của Liên Hợp Quốc

Video: Điều gì xảy ra tại chính phủ khi mối đe dọa an ninh mạng được xác định? Paul Rosen, cựu Tham mưu trưởng Bộ An ninh Nội địa và là đối tác của Crowell & Moring, nêu chi tiết các bài học mà các công ty và cơ quan quản lý nên học hỏi từ các vi phạm dữ liệu của chính phủ.

Vào tháng 7 năm 2019, Liên Hợp Quốc là nạn nhân của một vụ vi phạm dữ liệu, theo một báo cáo bí mật của Liên Hợp Quốc thu được bởi The New Humanitarian. Nhắm mục tiêu vào các mạng của Liên Hợp Quốc tại Geneva và Vienna, kẻ tấn công đã có thể thỏa hiệp các tài khoản và dữ liệu tại hàng chục máy chủ, khiến một quan chức cấp cao của UN UN gọi đó là một "cuộc khủng hoảng lớn", New Humanitarian nói.

Bị bắt trong vụ tấn công mạng là các máy chủ tại văn phòng nhân quyền và bộ phận nhân sự của Liên Hợp Quốc vì một số tài khoản quản trị viên đã bị vi phạm, New Humanitarian cho biết. Nhân viên Liên Hợp Quốc được yêu cầu thay đổi mật khẩu nhưng không được thông báo về vi phạm. Liên Hợp Quốc cũng quyết định không tiết lộ công khai những gì đã xảy ra.

Tin tặc xâm nhập vào các máy chủ của Liên Hợp Quốc bằng cách lợi dụng lỗ hổng trong Microsoft SharePoint. Nhưng Microsoft đã ban hành một bản vá cho lỗ hổng đó vào tháng 2 và tháng 4 năm 2019, vài tháng trước khi cuộc tấn công xảy ra.

10 cuộc tấn công mạng quan trọng nhất của thập kỷ (PDF miễn phí)

Trong một tuyên bố được chia sẻ trên trang web của mình, Liên Hợp Quốc thừa nhận rằng tin tặc đã truy cập vào một số máy chủ của họ. Tuy nhiên, Liên Hợp Quốc nói rằng các máy chủ được đề cập là các hệ thống phát triển độc lập không chứa bất kỳ dữ liệu nhạy cảm hoặc thông tin bí mật nào.

"Các tin tặc đã quản lý để truy cập Danh mục người dùng hoạt động của chúng tôi, nơi chứa ID người dùng cho nhân viên và thiết bị của chúng tôi", Liên Hợp Quốc cho biết. "Tuy nhiên, họ đã không thành công trong việc truy cập mật khẩu. Họ cũng không có quyền truy cập vào các phần khác của hệ thống. Một khi chúng tôi nhận thức được cuộc tấn công, chúng tôi đã hành động để tắt các máy chủ phát triển bị ảnh hưởng."

Trong một cuộc họp ngắn vào thứ Tư, phát ngôn viên của Liên Hợp Quốc Stephane Dujarric De La Riviere đã trả lời các câu hỏi của các phóng viên về vụ việc.

"Cuộc tấn công đặc biệt này mà các đồng nghiệp của bạn đã báo cáo không phải là một sự kiện mang tính bước ngoặt", Dujarric nói. "Những điều này ... cố gắng tấn công cơ sở hạ tầng CNTT của Liên Hợp Quốc xảy ra thường xuyên. Việc quy kết bất kỳ cuộc tấn công CNTT nào là Mạnh vẫn rất mờ nhạt và không chắc chắn. Vì vậy, chúng tôi không thể xác định được bất kỳ kẻ tấn công tiềm năng cụ thể nào, nhưng đó là, từ tất cả các tài khoản, một cuộc tấn công có nguồn lực tốt. "

Một phóng viên hỏi tại sao Liên Hợp Quốc không tiết lộ cuộc tấn công bằng cách đặt câu hỏi sau:

"Nhưng tại sao Liên Hợp Quốc che đậy cuộc tấn công này? Cho rằng đó là một vụ hack máy tính mang dữ liệu nhân đạo và nhân quyền nhạy cảm, dữ liệu có thể liên quan đến các tổ chức đối tác và các cơ quan viện trợ, họ không cần biết rằng bạn đã bị bị hack? "

Đáp lại, Dujarric đã cố gắng giải thích lý do đằng sau việc không chia sẻ công khai thông tin:

"Đó không phải là trò chơi như tôi đã nói, chúng tôi không thay đổi như bất kỳ ai, bạn biết đấy, có những nỗ lực được thực hiện thường xuyên. Máy chủ ở Geneva mà bạn đang đề cập là một phần của môi trường phát triển và chứa dữ liệu kiểm tra không nhạy cảm từ hai máy chủ phát triển được sử dụng cho ứng dụng web. Những người cần được thông báo đã được thông báo. "

Chính sách quản lý bản vá (TechRepublic Premium)

Mặc dù tin tặc chỉ tấn công các máy chủ phát triển và có thể không xâm phạm thông tin nhạy cảm, cuộc tấn công chỉ ra hai lỗi hoặc sai lầm do Liên Hợp Quốc thực hiện. Đầu tiên, tổ chức đã thất bại trong việc vá đúng cách các hệ thống và máy chủ của mình trước thời hạn. Đây có thể là các máy chủ phát triển, nhưng rõ ràng chúng có thể truy cập được đối với các nỗ lực hack bên ngoài, điều đó có nghĩa là chúng phải được vá đúng cách.

Thứ hai, Liên Hợp Quốc không tiết lộ vi phạm, thậm chí che chắn thông tin từ chính nhân viên của mình. Mặc dù tổ chức này cho biết họ đã thông báo cho những người cần thiết, một cuộc tấn công có tính chất này có thể đã ảnh hưởng đến các cá nhân không chỉ bên trong mà cả bên ngoài Liên Hợp Quốc.

Chuyên gia bảo mật đưa ra lời khuyên

Trong khi Liên Hợp Quốc vật lộn với tiết lộ về cuộc tấn công này, thì vấn đề này đóng vai trò cảnh báo cho các tổ chức khác về cách ngăn chặn và xử lý các vi phạm dữ liệu. Để tìm hiểu sâu hơn về cuộc tấn công và những bài học tiềm năng đã học, TechRepublic đã thực hiện một cuộc trò chuyện qua email với Tiến sĩ Richard Gold, người đứng đầu ngành kỹ thuật bảo mật tại Digital Shadows, nhà cung cấp các giải pháp bảo vệ rủi ro kỹ thuật số có trụ sở tại San Francisco; và Rui Lopes, giám đốc hỗ trợ kỹ thuật và kỹ thuật tại Panda Security.

TechRepublic: Làm thế nào tin tặc có thể truy cập vào máy chủ của Liên Hợp Quốc? Tôi biết đó là thông qua một lỗ hổng trong SharePoint, nhưng bạn có thể giải thích chính xác cách lỗ hổng được khai thác không?

Vàng: Lỗ hổng là lỗ hổng Thực thi mã từ xa (RCE), khi được khai thác thành công, sẽ cho phép kẻ tấn công thực thi mã của riêng họ, ví dụ như phần mềm độc hại, trên máy chủ của Liên hợp quốc.

Lopes : Chúng tôi biết những gì hiện đang có trong phạm vi công cộng. Một lỗ hổng đã được tận dụng để thỏa hiệp các triển khai SharePoint trong một trang web ở Châu Âu, từ đó chuyển động bên trong hầu hết mạng lưới của Liên Hợp Quốc có thể xảy ra với sự leo thang đặc quyền.

TechRepublic: Bạn có suy nghĩ gì về lý do tại sao Liên Hợp Quốc không vá đúng các máy chủ này không?

Vàng: Người ta tin rằng lỗ hổng SharePoint đã được vá (các cuộc tấn công đã được báo cáo vào tháng 7 năm 2019, lỗ hổng đã được vá vào tháng 2-tháng 4 năm 2019). Thiếu đầu tư vào các dịch vụ CNTT thường dẫn đến vệ sinh bảo mật kém, còn được gọi là "nợ bảo mật" khi các bản vá chưa được áp dụng và các cấu hình bảo mật không được thực hiện.

Lopes: Thủ phạm rõ ràng, lỗ hổng CVE-2019-0604, đã được Microsoft vá vào tháng 2 năm 2019. Dĩ nhiên, một cái gì đó đã thất bại trong chiến lược quản lý bản vá điểm cuối của Liên Hợp Quốc, vốn không phải là một nhiệm vụ tầm thường.

TechRepublic: Bạn có suy nghĩ gì về lý do tại sao Liên Hợp Quốc giữ bí mật dữ liệu này không?

Vàng: Bí mật thường được duy trì vì sợ cảnh báo những kẻ tấn công, tạo ra sự hoảng loạn trong đội ngũ nhân viên và đôi khi vì bối rối.

Lopes : Có khả năng Liên Hợp Quốc có thể đã lo lắng về các cuộc tấn công sao chép bổ sung nếu họ tiết lộ vi phạm, đặc biệt là nếu mạng của họ không được tăng cường ở mức độ phù hợp. Ngoài ra, thật dễ dàng để tưởng tượng một kịch bản trong đó dữ liệu được lọc ra rất nhạy cảm đến mức nó có thể làm hỏng các mối quan hệ ngoại giao trên toàn thế giới hoặc làm suy yếu vị thế của LHQ trên phạm vi toàn cầu.

TechRepublic: Bạn có lời khuyên nào cho các tổ chức về việc bảo vệ bản thân trước những vi phạm như thế này?

Vàng : Trong khi vá kịp thời là vô cùng quan trọng, kiến ​​trúc bảo mật của một tổ chức không nên là một lỗ hổng từ sự thỏa hiệp hoàn toàn. Bảo vệ theo chiều sâu, nghĩa là, nhiều kiểm soát bảo mật chồng chéo một phần, giám sát / ghi nhật ký bảo mật và quy trình Phản hồi sự cố (IR) mạnh mẽ và được kiểm tra tốt cũng được yêu cầu.

Lopes: Các tổ chức lớn và nhỏ phải có tư thế bảo vệ điểm cuối mạnh mẽ vào năm 2020, bao gồm giám sát và kiểm soát truy cập dữ liệu, cũng như khả năng săn lùng mối đe dọa để phát hiện hành vi nguy hiểm trên mạng của họ. Những ngày đơn giản, an ninh mạng phản ứng là trong quá khứ.

TechRepublic: Và bạn có lời khuyên nào cho các công ty về các thực tiễn tốt nhất để tiết lộ các vi phạm dữ liệu?

Vàng: Trung thực và minh bạch là điều cần thiết để duy trì niềm tin. Cập nhật kịp thời và tiết lộ cũng được yêu cầu.

Lopes: Bất cứ khi nào có thể, minh bạch là tốt nhất. Làm việc với chính quyền địa phương của bạn để xác định hướng hành động tốt nhất khi nhận thức được hoạt động độc hại trên mạng của bạn và khi mối đe dọa đã được khắc phục, hãy phối hợp phản hồi tập trung vào tác động đến người dùng cuối và công chúng. Để đảm bảo bạn có các quy trình thích hợp để xử lý sự cố bảo mật, điều quan trọng đối với tất cả các doanh nghiệp là phải có kế hoạch ứng phó sự cố kỹ lưỡng và cập nhật.

Bản tin nội bộ không gian mạng

Tăng cường phòng thủ bảo mật CNTT của tổ chức của bạn bằng cách theo kịp các tin tức, giải pháp và thực tiễn tốt nhất về an ninh mạng mới nhất. Giao hàng thứ ba và thứ năm

Đăng ký hôm nay

© Copyright 2020 | mobilegn.com