На прошлой неделе наши коллеги из компании DeviceLock опубликовали дайджест крупных утечек июля. Согласно аналитике, месяц запомнится следующими событиями ИБ:
- утечка медицинских данных у компании «ДиаЛаб», включая результаты анализов пациентов и другие персональные данные, которые оставались в открытом доступе продолжительное время даже после обнаружения и уведомления компании;
- крупнейшая утечка у сервиса Wattpad.com, когда в открытый доступ попала база из более чем 270 млн строк зарегистрированных пользователей;
- утечка у VPN-сервисов: UFO VPN, FAST VPN, Free VPN, Super VPN, Flash VPN, Secure VPN, Rabbit VPN, которая включала логины и пароли пользователей.
Рекомендации пользователям
Учетные данные развлекательных и других открытых сервисов в сети Интернет часто подвергаются компрометации.
В результате анализа одного из дампов утечек пользовательских учетных записей, эксперты DeviceLock составили топ-10 самых популярных:
1. Qwerty159
2. 123456
3. 12345
4. 123456789
5. 111111
6. qwerty
7. 123123
8. 1234567
9. 1234567890
10. qqqqqqqq
Эксперты группы компаний Angara обращают внимание, что не стоит использовать ни пароли из указанного списка, ни их вариации. Кроме того, не рекомендуется применять одинаковые пароли и корпоративные учетные записи на нерабочих ресурсах. Лучший вариант – использовать максимально различные пароли на разных Интернет-сервисах, по крайней мере, на критичных (конфиденциальная электронная почта, государственные учетные записи и т. д.), а также средства двухфакторной аутентификации, такие как сертификаты и мобильные устройства. Так пользователь обезопасит чувствительные данные в случае утечек из менее защищенных сервисов.
Рекомендации компаниям
Никто не застрахован от ошибки. Однако, отмечают эксперты группы компаний Angara, важно блокировать несанкционированный доступ к информации сразу после того, как компанию уведомили о наличии открытых, плохо защищенных источников информации (баз данных, файловых серверов и т. д). Таким образом увеличится шанс, что информация не попадет в чужие руки, а пользователи и репутация компании не пострадают.
Организациям рекомендуется активнее отслеживать внешние ресурсы и теневое ИТ. Все еще наиболее частой причиной крупных утечек является доступный извне Elasticsearch-сервер с конфиденциальными данными или другие серверы БД (Mongo, MySQL), например, тестовые инфраструктуры разработки с базами из данных продакшена. Для эффективного анализа можно использовать технические средства сканирования:
- Сканеры и средства инвентаризации для внешних ресурсов:
o Positive Technologies MaxPatrol и режима анализа защищенности,
o Tenable (Nessus) Vulneradility Assessment,
o Qualys и др.
- Средства анализа конфигурации сети и межсетевого экрана для поиска открытых портов и теневых подключений внешних сетей:
o Huawei eSight,
o SolarWinds Orion,
o Cisco Prime,
o SkyBox Security Suite,
o Tufin Orchestration Suite,
o Algosec Security Management и др.
- Средства мониторинга SIEM для оперативного обнаружения подозрительной активности, связанной с БД:
o Micro Focus ArcSight ESM,
o IBM QRadar SIEM,
o RSA NetWitness Platform,
o Positive Technologies MaxPatrol SIEM,
o НПО-Эшелон «КОМРАД» и др.
