A News Corp szerint a támadók két évig a hálózaton voltak

A News Corp tavaly nyilvánosságra hozott incidens mögött álló, államilag támogatott támadók addigra már közel két éve a hálózatán voltak – közölte a kiadóóriás.

Múlt héten a News Corp az alkalmazottaknak írt levelében azt mondta, hogy az incidens kivizsgálása kimutatta, hogy a behatoló először 2020 februárjában tört be a hálózatába, és a 20. január 2022-i felfedezésig ott maradt. Ez alatt az időszak alatt az ellenfél hozzáfért amit a News Corp „korlátozott számú alkalmazottra” vonatkozó üzleti dokumentumoknak és e-maileknek írt le. A News Corp szerint az adatok, amelyekhez a támadó akkor hozzáférhetett, többek között nevek, születési dátumok, társadalombiztosítási számok, jogosítványszámok és egészségbiztosítási számok voltak.

Egy hírszerzési küldetés

„Vizsgálatunk azt mutatja, hogy ez a tevékenység nem a személyes adatok kiaknázására irányul” – áll a levélben. a jelentések szerint. "Nem tudunk személyazonosság-lopásról vagy csalásról szóló jelentésekről ezzel a témával kapcsolatban."

Amikor a News Corp – a Wall Street Journal, a New York Post és számos más kiadvány kiadója – tavaly januárban először nyilvánosságra hozta a jogsértést, a vállalat az államilag szponzorált fejlett tartós fenyegetés (APT) hírszerzési erőfeszítésének minősítette. Egy 4. február 2022-i jelentésében a Wall Street Journal valószínűsítette a színészt a kínai kormány nevében dolgozik és a megcélzott újságírók és mások e-mailjeinek összegyűjtésére összpontosított.

Nem világos, hogy a News Corp-nak miért tartott több mint egy évbe a kezdeti incidens felfedezése után, hogy felfedje a behatolás hatókörét és azt a tényt, hogy a támadók közel 24 hónapja a hálózatán voltak. A News Corp szóvivője nem foglalkozott közvetlenül ezzel a kérdéssel a Dark Reading megjegyzéskérésére válaszolva. Megismételte azonban a cég korábbi nyilatkozatát, miszerint a támadás egy hírszerzési erőfeszítés része volt: "Amint azt akkor elhangzott, és arról is beszámoltak, a tevékenységet megfékezték, és korlátozott számú alkalmazottat céloztak meg."

Szokatlanul hosszú tartózkodási idő

A News Corp-nál tapasztalt incidens a jelenlegi mércével mérve is magas. Az IBM és a Ponemon Institute éves adatvédelmi incidens jelentésének 2022-es kiadása kimutatta, hogy a szervezetek átlagosan 207 napba telt a jogsértés észlelése, és további 70 nap áll rendelkezésére. Ez valamivel alacsonyabb volt, mint az átlagos 212 nap, amelyre egy szervezetnek 2021-ben szüksége volt szabálysértést észlelni és az a 75 nap, amibe telt, amíg megválaszolták.

„A jogsértés észleléséhez szükséges két év jóval átlagon felüli” – mondja Julia O'Toole, a MyCena Security Solutions vezérigazgatója. Tekintettel arra, hogy a támadók ilyen hosszú ideig fértek hozzá a hálózathoz, valószínűleg sokkal több információhoz jutottak, mint elsőre gondolták, mondja O'Toole.

Bár ez elég rossz, ami még rosszabb, hogy az elkövetett jogsértések kevesebb mint egyharmadát észlelik egyáltalán. „Ez azt jelenti, hogy sokkal több vállalat kerülhet ugyanabban a helyzetben, és egyszerűen nem tud róla” – jegyzi meg O'Toole. 

Az egyik probléma az, hogy a fenyegetésészlelő eszközök és az ezeket figyelő biztonsági elemzők nem tudják észlelni a fenyegetés szereplőit a hálózaton, ha az ellenfelek feltört bejelentkezési hitelesítő adatokat használnak. A jogsértések %-a továbbra is érinti az alkalmazottak hozzáférési adatait.”

A láthatóság hiánya

Erfan Shadabi, a Comforte AG kiberbiztonsági szakértője szerint a szervezetek gyakran elmulasztják az internetes behatolásokat, mert nem láthatók az eszközeik, és nem megfelelő a biztonsági higiénia. Az egyre fejlettebb taktikák, amelyeket a kifinomult fenyegetés szereplői alkalmaznak az észlelés elkerülésére – például tevékenységük törvényes forgalomba való elrejtésére – az észlelést is óriási kihívássá tehetik – mondja.

Az egyik intézkedés, amelyet a szervezetek megtehetnek észlelési és reagálási képességeik megerősítésére, a zéró bizalmi biztonsági modell bevezetése. „Ez megköveteli a felhasználói azonosság és jogosultság folyamatos ellenőrzését, valamint a felhasználói tevékenység folyamatos ellenőrzését a biztonság érdekében” – mondja Shadabi a Dark Readingnek.

A szervezeteknek olyan eszközöket is használniuk kell, mint a behatolásészlelő rendszerek (IDS) és a biztonsági információ- és eseménykezelő (SIEM) rendszerek, hogy hálózataikat és rendszereiket szokatlan tevékenységekre figyeljék. Az erős hozzáférés-ellenőrzési intézkedések, beleértve a többtényezős hitelesítést (MFA), a sebezhetőség-kezelést és -auditálást, az incidensre adott válaszok tervezését, a harmadik fél kockázatkezelését és a biztonsági tudatosság képzését. döntő lépések, amelyeket a szervezetek megtehetnek hogy csökkentsék a támadók tartózkodási idejét – mondja.

„Általánosságban elmondható, hogy a szervezetek, különösen a nagyok, hatalmas technológiai birtokaik miatt nehezen észlelik a támadásokat” – mondja Javvad Malik, a KnowBe4 vezető tudatosító szószólója. „Sok szervezet még csak nem is rendelkezik naprakész hardver- és szoftverleltárral, ezért rendkívül nehéz mindegyiket megfigyelni a jogsértések és támadások szempontjából” – mondja. "Sok esetben ez a környezet összetettségére vezethető vissza."

• SEO által támogatott tartalom és PR terjesztés. Erősödjön még ma.
• Platoblockchain. Web3 metaverzum intelligencia. Felerősített tudás. Hozzáférés itt.
• Forrás: https://www.darkreading.com/analytics/attackers-were-on-network-2-years-news-corp