一週間以上経ってからソニー・ピクチャーの大規模データハッキング、状況は引き続き醜いです。
北朝鮮の関与その可能性はますます高まっており、FBIの関与これは重大な攻撃であることが明らかです。
データがどの程度侵害されたのか、またその侵害がどのようにして起こったのかについての詳細はまだ解明されていませんが、現時点でわかっていることは次のとおりです。何千もの文書人事データ、社会保障番号、給与情報、社内販売契約などはすべて一般に漏洩した。
また、FBI が米国企業に対し、警戒するようフラッシュアラート警告を発したこともわかっています。厄介なマルウェア必要なデータを取得した後、ターゲットのコンピュータ上のデータを破壊します。
つまり、マルウェアはサーバーまたはクラスターからすべてのファイルを取得した後、内部ネットワークに接続されているすべてのマシンのハード ドライブを消去しようとします。これは、貴重品をすべて奪った後に家に放火するようなものです。
これは恐ろしいことだ。
ソニーにとって、社内または社外のシステムが侵害されたのはこれが初めてではない。サイバーセキュリティ代理店 Packet Ninjas900を超えるドメインを特定しました(多くは内部システムを表しています) 過去 12 年間に侵害された Sony に関連するもの。
ソニーは、いくつかの機能を使用しても、自分自身に何の利益も与えませんでした。本当にひどいパスワード内部の非公開文書の一部を保護するため。
このソニーの攻撃から何かプラスになるものがあるとすれば、それは他の大企業や映画スタジオだけでなく、個人や中小企業の経営者にも教育の機会を提供できるということだ。
一般ユーザーが個人またはビジネスのセキュリティに適用できる、セキュリティに関する重要なポイントをいくつか紹介します。
1. パスワードをパスワードで保護された文書と同じ場所に保管しないでください。
こんなことはしないでください。 クレジット:
公開されたソニー文書のキャッシュには、一般に公開された数千件の機密文書が含まれています。
残念なことに、これらのドキュメントのほとんどはいかなる方法でも暗号化されていませんが、一部のドキュメントは実際にパスワードで保護されています。これは良いステップですが、ほとんどの場合、さまざまなファイルを開くために必要な(貧弱な)パスワードが記載された「パスワード」というラベルの付いた文書が添付されているという事実によって妨げられています。
これは悪い考えです。パスワードを、そのパスワードで保護すべき文書と同じ場所に保管しないでください。それは保護のポイントを台無しにします。
代わりに、個人や企業は、パスワード管理Last Pass や 1Password などのツール。これらのパスワード マネージャーは、理想的にはデータベースを別のマシン (および別のドメイン) に保存する必要があります。
2. すべての必須サービスに 2 要素認証を使用する
攻撃者がどのようにしてソニーの内部システムにアクセスできたのかは明らかではない。 Mashable が話を聞いた一部のセキュリティ専門家は、そのベクトルがフィッシング攻撃、あるいは内部のほくろである可能性があると示唆しました。
いずれにせよ、このレベルのシステムにアクセスするには、一部またはすべての管理制御をバイパスする必要がありました。
二要素認証ユーザーは、パスワードと独自に生成されたコードを入力して、自分が誰であるかを証明する必要があります。そのコードは通常、ユーザーのスマートフォンに送信されるか、認証アプリなどを使用して生成できます。ゆびキー。
誰かが重要なシステムに侵入するには、もう 1 ステップのアクセスが必要です。多くの 2 要素システムは、誰かがアカウントへのアクセスに失敗したときにユーザーに警告します。これにより、ソニーの IT 部門の誰かが何か問題があることを知らせる可能性があります。
2 要素認証によってソニー攻撃の重大性が防止または軽減されたとは言えませんが、個人や企業がすべての重要なサービスとアカウントに 2 要素認証を使用することは良い考えです。
つまりメールです。それはデータベース システム (Oracle、MySQL、MS SQL) を意味します。つまり給与計算口座のことです。使用しているサービスで 2 要素認証を行う方法が提供されていない場合は、リクエストしてください。 2014 年、特にパスワードのクラッキングに関連するテクノロジー全般がこれまで以上に強力になっているため、この重要性はますます高まっています。
3. 財務文書と医療文書を他のデータとは別に保管する
クレジット: コロンビア映画
リークされたソニー文書の最も懸念すべき側面の 1 つは、ソニーが内部通信に使用していたファイル サーバーのファイル構造と思われるものです。
給与ファイルと人事ファイルのフォルダーは、健康データやその他の種類の情報と同じルート ディレクトリに保存されました。
ファイル システムの構造を見ないと、アクセスをロックダウンするためのユーザー レベルの制御が行われているかどうかを判断することはできませんが、いかなる場合でも、この種の情報を並べて保存すべきではありません。
別個のサーバーを使用している場合でも、別個のイントラネットを使用している場合でも、医療情報を保護し、セキュリティを確保することは重要であり、通常は義務付けられています。銀行口座や社会保障番号などの機密の財務情報を含む記録についても同様です。
4. セキュリティにお金を払う価値はある
前述したように、ソニーがハッキングされたのはこれが初めてではありません。ソニー・ピクチャーズ エンタテインメントが重大なデータ侵害の標的となるのはこれが初めてではない。
セキュリティに支払うのは高価ですが、クリーンアップに支払うのはさらに高価です。
水曜日のパケット忍者潜在的なコストを想定したデータセキュリティに対するソニーの一見「許容可能なリスク」方針のため。驚くべきことだ。この攻撃を受けてソニーが直面する可能性のあるシナリオのほんの一部を以下に示します。
1) ソニーは、最初のインシデント対応にかかる費用をまず支払います。現在の業界の料金は、応答時間、リテイナーに応じて、約 300 ~ 500/時間 (コンサルタントあたり) です。
2) 継続的なセキュリティレビュー、ギャップ評価、再評価、セキュリティ委員会/顧問の役割のための外部セキュリティ専門家の雇用。この状況は今後 12 ~ 36 か月続く可能性があります。
3) 侵害データには、HIPAA / HHS / ヘルスケアのコンポーネントがあると思われる少なくとも 6 つの BAA 契約が存在しました。これらの契約の劣化に関連して営業罰金が課せられる可能性があります。コストは不明ですが、大きな数字を載せてみましょう。
4) ソニーは、連邦政府の要件により、保存中の PII に対して HIPAA / HHS の罰金を支払わなければなりません。
5) カリフォルニア州およびその他の州 * (現時点では米国のほとんど) の PII 罰金に関連した違反罰金。
そしてそれは、より卑劣な漏洩に関連して従業員が避けられない訴訟を起こす前のことだ。
通常のユーザーや個人にとって、セキュリティ監査、IT コンサルティング、データ保護サービスの料金を支払うことは時間の無駄ではないことを思い出させる重要な内容です。最悪のシナリオが起こった場合、再建にどれくらいの費用がかかるかを検討する価値があります。
このような攻撃の影響を制限する方法として、重要なデータを同じ場所から分離する方法を見つけるためにも、この演習を実行する価値があります。