В 2017 г. произошел ряд важных событий в области кибербезопасности: эпидемии вымогательского ПО, включая WannaCry и NotPetya, обнаружение ошибок конфигурирования облачного хранения Amazon, выявление новых уязвимостей, таких как KRACK, и гигантские хищения данных, как в случае атаки на Equifax.
Многие из этих крупных событий в области кибербезопасности имели общую первопричину — пренебрежение установкой исправлений.
Вымогательское ПО
Год назад вымогательское ПО отмечалось как растущая тенденция в списке прогнозов в области кибербезопасности на 2017 г. В этом году оно нанесло больший ущерб и обошлось дороже, чем когда-либо прежде.
12 мая червь-вымогатель WannaCry впервые поразил организации по всему миру, включая больницы в Великобритании, которые были вынуждены прекратить работу. Спустя месяцы после первого появления WannaCry все еще достигал своей цели и был ответственен за остановку завода Honda Motor в июне.
Основополагающая уязвимость Microsoft, которая позволила запустить WannaCry, будто бы была создана Агентством национальной безопасности, а затем выкрадена группой, известной как Shadow Brokers. Что касается Microsoft, то она устранила проблему в марте в своей рекомендации MS17-010. Однако не все организации в мире установили исправление и в результате могли подвергнуться атаке WannaCry.
Атака с помощью вымогательского ПО NotPetya произошла в июне. Сначала считалось, что она носит более ограниченный характер, чем в случае с WannaCry. Но оказалось иначе. Для уязвимости, использовавшейся NotPetya, как и для использовавшейся WannaCry, имелось исправление. Если бы организации его установили, это могло бы уменьшить ущерб от вымогательского ПО. Ряд транснациональных организаций, включая TNT Express, Reckitt Benckiser и Maersk, сообщили о финансовых потерях в результате связанного с NotPetya прекращения обслуживания. Общие потери от NotPetya могут превышать 1 млрд. долл.
Apache Struts
Уязвимость MS17-010, сделавшая возможными WannaCry и NotPetya, была не единственной в 2017 г., имевшей серьезные последствия.
6 марта появилось сообщение, что система с открытым кодом Apache Struts имеет уязвимость, позволяющую удаленно исполнять код. Ей было присвоено обозначение CVE-2017-5638. Спустя несколько дней она уже активно использовалась атакующими, несмотря на наличие исправления.
7 сентября, по прошествии нескольких месяцев с момента объявления об уязвимости Apache Struts, бюро кредитных историй Equifax сообщило, что оно стало жертвой кражи данных о 145,5 млн. американцев. Первопричиной руководство бюро назвало уязвимость Struts CVE-2017-5638.
До сих пор не известно, почему ИТ-специалисты Equifax не сумели устранить уязвимость Struts в своей системе прежде, чем она была взломана.
Обрушение Yahoo
Хотя взлом Equifax получил широкий резонанс, о самом крупном взломе сообщила 3 октября Yahoo. В этот день компания проинформировала, что в 2013 г. были похищены данные о 3 млрд. ее пользователей.
Впервые Yahoo публично заявила о краже в декабре 2016 г., указав тогда, что риску подвергся 1 млрд. пользователей. С 13 июня Yahoo уже не является независимой компанией и теперь принадлежит Verizon в результате сделки стоимостью 4,5 млрд. долл.
Нарушения безопасности облаков
Этот год был примечателен также большим количеством краж данных, напрямую связанных с тем, что организации оставляют открытым доступ к облачному хранению.
Среди многих организаций, случайно оставлявших конфиденциальные данные в публичных облаках, оказались Verizon, национальный комитет республиканской партии и Accenture. Во многих случаях первопричиной инцидентов являлись корзины хранения Amazon S3, которые не были сконфигурированы на предоставление доступа только авторизованным пользователям.
В течение 2017 г. Amazon предприняла множество шагов для повышения защищенности S3, включая запуск сервиса машинного обучения Macie, который автоматически определяет, что в S3 сохраняется информация, которую можно соотнести с конкретным человеком. Amazon предоставляет также усовершенствованные варианты конфигурирования S3 для снижения риска непреднамеренного предоставления публичного доступа к конфиденциальным данным.
Уязвимости беспроводных сетей
К числу других важных уязвимостей, получивших широкую известность в 2017 г., относится уязвимость сетей Wi-Fi под названием KRACK, о которой стало известно 16 октября. KRACK (сокращение от Key Reinstallation Attacks) позволяет атакующему обходить защиту Wi-Fi по протоколу WPA2.
Blueborne, набор уязвимостей Bluetooth, о котором было сообщено 12 сентября, подвергает риску почти все операционные системы. Уязвимость Broadpwn тоже произвела большой эффект, позволяя атакующим исполнять код на всех устройствах с Wi-Fi-чипом Broadcom, к которым относятся все устройства с iOS и многие устройства с Android.
Теперь для всех основных ОС доступны исправления, устраняющие KRACK, Blueborne и Broadpwn. Тем не менее, опыт с уязвимостью MS17-010, которая привела к WannaCry, и уязвимостью Struts CVE-2017-5638, которая привела к хищению данных из Equifax, говорит о том, что не каждая организация устраняет все уязвимости. Не удивляйтесь, если увидите, что обнаруженные в 2017 г. уязвимости все еще приводят к взломам в 2018 г. и в последующем.
Установка исправлений явно представляла проблему в 2017 г., как и в предшествующие годы. Составляя планы совершенствования кибербезопасности в новом году, организации должны извлечь уроки из чужих ошибок и убедиться, что все исправления должным образом установлены.