יותר משבוע אחריפריצת הנתונים המאסיבית של Sony Picture, הדברים ממשיכים להיראות מכוערים.
מעורבות צפון קוריאהנראה יותר ויותר סביר והמעורבות ה-FBIמבהיר כי מדובר בפיגוע משמעותי.
הפרטים של כמה נתונים נפגעו וכיצד התרחשה הפשרה עדיין מתערבים, אבל מה שאנחנו כן יודעים עכשיו זהאלפי ואלפי מסמכים- כולל נתוני משאבי אנוש, מספרי תעודת זהות, מידע על שכר וחוזי מכירה פנימיים - כולם הודלפו לציבור.
אנחנו גם יודעים שה-FBI הוציא אזהרת Flash Alert לחברות אמריקאיות שיש לשים לב אליהןתוכנות זדוניות מגעילותשהורס נתונים במחשבי המטרה לאחר לקיחת הנתונים הדרושים לו.
במילים אחרות, לאחר שתפסו את כל הקבצים משרת או אשכול, התוכנה הזדונית מקפידה למחוק את הכוננים הקשיחים של כל המכונות המחוברות לרשת פנימית. זה יהיה כמו הצתת בית לאחר שגנבו ממנו את כל חפצי הערך שלו.
זה חומר מפחיד.
עבור סוני, זו לא הפעם הראשונה שהמערכות החיצוניות או הפנימיות של החברה נפגעות. סוכנות אבטחת סייבר Packet Ninjasזיהה למעלה מ-900 דומיינים(רבים המייצגים מערכות פנימיות) הקשורות לסוני שנפגעו במהלך 12 השנים האחרונות.
סוני לא עשתה לעצמה טובה על ידי שימוש בחלקסיסמאות תהומיות באמתכדי להגן על חלק מהמסמכים הפנימיים והפרטיים שלה.
אם יש משהו חיובי שיכול לנבוע מהתקפת סוני זו הזדמנות ההוראה שהיא יכולה לספק לא רק עבור תאגידים גדולים אחרים או אולפני סרטים, אלא עבור אנשים פרטיים ובעלי עסקים קטנים.
הנה כמה אמצעי אבטחה עיקריים שמשתמשים רגילים יכולים ליישם על האבטחה האישית או העסקית שלהם.
1. אל תשמור סיסמאות באותו מקום כמו מסמכים המוגנים באמצעות סיסמה
אל תעשה את זה. אַשׁרַאי:
במטמון ששוחרר של מסמכי סוני, ישנם אלפי מסמכים רגישים שפורסמו לציבור.
למרבה הצער, רוב המסמכים הללו אינם מוצפנים בשום אופן, אך חלקם למעשה מוגנים באמצעות סיסמה. זה צעד טוב אבל הוא מעכב על ידי העובדה שלרובם מצורף מסמך שכותרתו "סיסמאות" המכילות את הסיסמאות (הגרועות) הנדרשות לפתיחת הקבצים השונים.
זה רעיון גרוע. אל תשמור את הסיסמאות שלך באותו מקום כמו המסמכים שהסיסמאות הללו אמורות להגן. זה הורס את נקודת ההגנה.
במקום זאת, אנשים ועסקים צריכים לשקול להשתמש ב-aניהול סיסמאותכלי כגון Last Pass או 1Password. מנהלי סיסמאות אלה צריכים באופן אידיאלי לאחסן את מסדי הנתונים שלהם גם במכונות שונות (ודומיינים שונים).
2. השתמש באימות דו-גורמי עבור כל השירותים החיוניים
לא ברור כיצד הצליחו התוקפים לגשת למערכות הפנימיות של סוני. כמה מומחי אבטחה איתם שוחח Mashable העלו כי ייתכן שהווקטור היה מתקפת פישינג או אולי שומה פנימית.
בכל מקרה, קבלת גישה לרמה זו של המערכת נדרשה לעקוף חלק מהבקרות האדמיניסטרטיביות או את כולן.
אימות דו-גורמידורש מהמשתמשים להוכיח מי הם על ידי הזנת סיסמה וקוד שנוצר באופן ייחודי. הקוד הזה נשלח בדרך כלל לסמארטפון של משתמש או שניתן להפיק אותו באמצעות אפליקציית אימות או משהו כמומפתח יובי.
זה דורש עוד שלב אחד של גישה כדי שמישהו יפרוץ למערכת חשובה. מערכות דו-גורמיות רבות גם מתריעות למשתמש כאשר מישהו מנסה לגשת לחשבון ללא הצלחה, מה שיכול היה ליידע מישהו במחלקת ה-IT של סוני שמשהו לא בסדר.
למרות שאיננו יכולים לומר שאימות דו-גורמי היה מונע או מפחית את המשמעות של מתקפת סוני, זה רעיון טוב עבור אנשים ועסקים להשתמש באימות דו-גורמי עבור כל השירותים והחשבונות החיוניים.
זה אומר מייל. כלומר מערכות מסדי נתונים (Oracle, MySQL, MS SQL). זה אומר חשבונות שכר. אם השירות שבו אתה משתמש אינו מציע דרך לקבל אימות דו-גורמי, בקש זאת. ב-2014 זה הופך להיות יותר ויותר חשוב, במיוחד כשהטכנולוגיות הקשורות לפיצוח סיסמאות באופן כללי מתחזקות מאי פעם.
3. שמור מסמכים פיננסיים ובריאותיים מאוחסנים בנפרד מנתונים אחרים
קרדיט: Columbia Pictures
אחד ההיבטים הנוגעים יותר של מסמכי סוני שהודלפו הוא מה שנראה כמבנה הקבצים של שרת הקבצים שסוני השתמשה בו לתקשורת הפנימית שלה.
תיקיות עבור קבצי שכר ו-HR אוחסנו באותן ספריות שורש כמו נתוני בריאות וסוגים אחרים של מידע.
מבלי להסתכל על המבנה של מערכת הקבצים, אי אפשר לומר אם היו פקדים כלשהם ברמת המשתמש כדי לנעול גישה, אבל מידע מסוג זה לא אמור להיות מאוחסן זה לצד זה בכל מקרה.
בין אם מדובר בשרתים נפרדים או באינטראנטים נפרדים, חשוב - ובדרך כלל חובה - שמידע שירותי בריאות יהיה מוגן ומאובטח. הדבר נכון גם לגבי רשומות הכוללות מידע פיננסי רגיש כמו חשבונות בנק ומספרי תעודת זהות.
4. לשלם עבור אבטחה שווה את זה
כאמור, זו לא הפעם הראשונה שסוני נפרצה. זו אפילו לא הפעם הראשונה ש-Sony Pictures Entertainment היא יעד לפרצת נתונים משמעותית.
תשלום עבור אבטחה יכול להיות יקר אבל התשלום עבור ניקיון הוא אפילו יקר יותר.
מנות נינג'ות ביום רביעיהציג את העלות הפוטנציאליתלמדיניות "הסיכון המקובל" לכאורה של סוני כלפי אבטחת מידע. זה מדהים. הנה רק כמה מהתרחישים הפוטנציאליים שסוני תתמודד בעקבות המתקפה הזו:
1) סוני תשלם תחילה עבור התגובה הראשונית לאירוע. התעריפים הנוכחיים בתעשייה הם כ-300-500 לשעה (ליועץ) בהתאם לזמן התגובה, ריטיינר.
2) סקירות אבטחה שוטפות, הערכות פערים, הערכות מחודשות, גיוס מומחי אבטחה חיצוניים לתפקידי ועדת אבטחה / יועץ. זה יתרחש ככל הנראה במהלך 12 - 36 החודשים הבאים.
3) בנתוני ההפרות, היו מינימום של שישה חוזי BAA שנראה שיש להם רכיב HIPAA / HHS / Healthcare. סביר להניח שיהיו קנסות עסקיים הקשורים בהידרדרות בחוזים אלה. עלות לא ידועה, אבל נניח מספר גדול על זה.
4) סוני תצטרך לשלם קנסות HIPAA / HHS עבור PII במנוחה עבור דרישות פדרליות.
5) מדינת קליפורניה ומדינות אחרות *(רובן בארה"ב בתקופת זמן זו) קנסות הפרה בגין קנסות PII.
וזה עוד לפני כל אחת מהתביעות הבלתי נמנעות של עובדים הקשורות לכמה מההדלפות המרושעות יותר.
עבור משתמשים רגילים ואנשים פרטיים, זוהי תזכורת חשובה כי תשלום עבור ביקורות אבטחה, ייעוץ IT ושירותי הגנת מידע אינם בזבוז זמן. כדאי לשקול כמה יעלה לבנות מחדש אם התרחיש הגרוע ביותר האפשרי יתרחש.
כדאי לבצע את התרגיל הזה גם כדי להבין כיצד להפריד בין נתונים חשובים להימצאות באותו מקום, כדרך להגביל את הנשורת של מתקפה כזו.
