企業は不必要に単純な攻撃に陥る

セキュリティ研究者は分析を行っており、単純で複雑ではない攻撃が大部分のハッカー攻撃の原因であることが分かっていますが、多くの企業は攻撃やその他の攻撃手段をテストしていません。

(CliffのDSCN1583画像、CC BY 2.0)

先週、Informaの就任したCyber​​crime Symposiumで、Pure Hackingのチーフ・テクノロジー・オフィサー、Ty Millerは、オーストラリアで起きた過去のセキュリティ事件を分析し、メディアに取り入れました。

「昨年、攻撃を行ってきた535人のユニークなハッカーグループや個人がいます。異なるシステムに侵入するために使用された22種類の攻撃手法があり、侵害されたシステムの数はわずか100万を超えました」彼は言った。

Miller氏によれば、最も一般的な攻撃方法はSQLインジェクション技術を使用して実行されます。適切に設計されたWebアプリケーションでは、ユーザーは会社のデータベースに直接照会することはできません。その代わりに、Webアプリケーションはユーザーの入力を受け取り、それをデータベースに作成するSQLクエリで使用します。

しかし、これらのアプリケーションが正しく設計されていないと、悪意のあるユーザーはWebアプリケーションにユーザーの選択の意図しないクエリを実行させ、データベースに独自のコマンドを「注入」させる可能性があります。

基本的に、攻撃者がWebサイトをバックエンドデータベースに侵入し、内部の企業ネットワークを侵害する可能性があります。そうしないと、すべてのデータが侵害される可能性があります。 SQLインジェクション攻撃では、クライアントのデータベース全体(データ、クレジットカード、ユーザー名、パスワード、それらのすべて)を潜在的に破棄することができます。

侵入テスト会社Hacklabsのクリス・ガートフォード(Chris Gatford)氏は、報告されたセキュリティ事件について同様の分析を行ったが、彼の話では、Hacklabsが実施した過去100回の侵入テストメディアに。

米連邦捜査局(FBI)はCrackasのメンバーを逮捕し、米国政府の役人をハッキングした姿勢を示している;セキュリティ、Wordpressはユーザーに重大なセキュリティホールを修正するように今更新するよう強く促す;セキュリティ、ホワイトハウスは連邦最高情報セキュリティ責任者政府の監視による緊急対応

「オーストラリアで起こっている出来事を推測して、それを一般に公開しているのは約5%だ。私たちは時には、組織が[攻撃]から回復するのを助けることに関わっているので、 “ガットフォードは言った。

同氏は、SQLインジェクションが組織に入る最も簡単な方法の1つであることを確認したが、テスターやハッカーの他の簡単なエントリポイントとして、貧弱なパスワード、オブジェクト参照の直接的な脆弱性、ソフトウェアバッファオーバーフロー、

両方のセキュリティ研究者の共通の攻撃リストには、高度な永続的な脅威とゼロデイ攻撃がありませんでした.Milerは、これらがAnonymousのようなグループの中で平均的な武器であると考えるのが間違っていると述べています。

「ゼロデイ攻撃などのハイテク攻撃手法を使用していると仮定していますが、実際にはSQLインジェクションまたはサービス拒否攻撃がほとんどであることがわかりました。匿名攻撃の90%SQLインジェクションとサービス拒否攻撃から実際に保護されている場合、これらの大規模なグループが実行する予定の多くの攻撃をノックアウトしていることがわかります”ミラーは言った。

しかし過去にオーストラリアの銀行の1つに侵入するための自由裁判を以前与えられていたGatfordは、おそらく安全なシステムのテストを中断するために他の手段を使用してきた。これらの方法は必ずしもコンピュータの背後に座っている必要はありません。

銀行事件では、彼は募集人としてポーズをとり、ソーシャルネットワークからの情報を銀行の従業員に使う。銀行のさまざまなICTシステムに関係する人たちと数回の電話インタビューを行った後、彼はSSHなどを介してログインできるかどうかにかかわらず、銀行が使っていたオペレーティングシステムとウイルス対策製品のプロフィールを構築することができましたネットワークトラフィック制御ポリシーなどの詳細情報

ここから、彼は銀行の売掛金と未払い機能を担当する従業員の電子メールアドレスを見つけ、Acrobat Readerの欠陥を悪用するように設計された不正な形式のPDFファイルを削除することにより、マシンを引き継いでマシンのネットワークからトンネリングした。

最近、オーストラリアの金融機関は定期的にテストされているようだが、ガットフォード氏は、他の企業はまだ自分自身を守るためにほとんど何もしていないと語った。

彼は、脆弱性をテストする際に、顧客の40%がこれまでに侵入テストを受けたことがないと述べました。さらに、以前にテストされたと主張している人の半分の脆弱性がまだ見つかっているという。

しかし、MillerとGatfordの両者は、予防は治癒よりも優れていると言いました。 Miller氏は、ハッカーがうまくいくと、フォレンジック調査を実施して、どのように侵入したのかを判断する必要があると述べています。数百万その間、顧客は暗闇の中に放置され、eコマースビジネスはオフラインで毎日お金を失います。

あなたがソニーのことを考えると、人々はどれくらい時間がかかるか不満を抱いていました。彼らは出てくるまで約1週間かかりました。「私たちはハッキングしました」と言います。しかし現実的には、何が起こったのかを知るまで、あなたは出てきて、あなたがハックされたと言いたいのではなく、あなたはそれの程度を知っています。

FBIは、米国の政府関係者をハッキングしたとの態度で、Crackasのメンバーを逮捕した

WordPressは、重要なセキュリティホールを修正するために今アップデートするようユーザに促す

ホワイトハウス、連邦最高情報セキュリティ責任者を任命

国防総省のサイバー緊急対応を批判したペンタゴン