Insiders, outsiders och övervakning
Sent i höstas försökte en person (Herve Falciani) på IT-avdelningen på franska banken HSBC att sälja information om kunder till myndighetspersoner i Frankrike som jagar skattesmitare. Läs mer till exempel här:
"It is now clear that the theft, which was carried out by an employee of the IT department about three years ago, could concern about 15,000 current clients whose accounts were opened in Switzerland before October 2006," said Alexandre Zeller, CEO of the Swiss branch of the bank.
Två intressanta saker:
"It is now clear that the theft, which was carried out by an employee of the IT department about three years ago, could concern about 15,000 current clients whose accounts were opened in Switzerland before October 2006," said Alexandre Zeller, CEO of the Swiss branch of the bank.
Två intressanta saker:
- Det här är ett (ovanligt) exempel på en riktig insiderattack.
- Det upptäcktes inte av banken utan av någon annan som sedan berättade det för dem. Tre år senare. Det här är vanligt däremot.
69 % av intrången upptäcktes av tredje part
Det här betyder helt enkelt att det ringer, man plockar upp luren och hör något av nedanstående:
- Hej, någon från en av era IP-adresser sitter och gissar lösenord till vårt VPN.
- Hej, jag hittade just några av era interna dokument på Rapidshare.
- Hej, en kopia på databasen från ert CRM lades ut på Flashback i morse.
- Hej, det står "Hacked by Dr. Hacker!" på en av era hemsidor.
- Hej, jag blev just kontaktad av en snubbe som ville sälja en lista på era kunder till mig.
Ni fattar.
Man kan aldrig stoppa alla attacker hela tiden, så är det. Kvar finns upptäckt och reaktion. När någon har tillgång (oavsett om det är webbapplikationens tillgång via SQL-injection, administratörens p g a det svaga lösenordet eller om personen är administratören) är all bets off. Det enda som finns kvar är att upptäcka det och göra något åt det. Övervakning kan täcka alla tre scenarier och beroende på hur det implementeras innebär det stark eller svag accountability.
Det finns bara en sak som är värre en att bli hackad, det är att bli hackad och inte upptäcka det (något förenklat förstås). Glad påsk!
--
Stefan Pettersson
Det här betyder helt enkelt att det ringer, man plockar upp luren och hör något av nedanstående:
- Hej, någon från en av era IP-adresser sitter och gissar lösenord till vårt VPN.
- Hej, jag hittade just några av era interna dokument på Rapidshare.
- Hej, en kopia på databasen från ert CRM lades ut på Flashback i morse.
- Hej, det står "Hacked by Dr. Hacker!" på en av era hemsidor.
- Hej, jag blev just kontaktad av en snubbe som ville sälja en lista på era kunder till mig.
Ni fattar.
Man kan aldrig stoppa alla attacker hela tiden, så är det. Kvar finns upptäckt och reaktion. När någon har tillgång (oavsett om det är webbapplikationens tillgång via SQL-injection, administratörens p g a det svaga lösenordet eller om personen är administratören) är all bets off. Det enda som finns kvar är att upptäcka det och göra något åt det. Övervakning kan täcka alla tre scenarier och beroende på hur det implementeras innebär det stark eller svag accountability.
Det finns bara en sak som är värre en att bli hackad, det är att bli hackad och inte upptäcka det (något förenklat förstås). Glad påsk!
--
Stefan Pettersson
Kommentarer
Trackback