Sony Execs wusste über umfangreiche es Mängel, zwei Monate vor Lecks
Anfang dieses Jahres veröffentlichte Sony Pictures eine Hölle einer internen IT-Bewertung. Der Bericht zeigte, dass nicht nur das Unternehmen, das ignorieren grundlegende Sicherheitsprotokoll, ihre IT-Sicherheit mit nicht überwachten Geräte, Missverständnissen und ein Mangel an Verantwortlichkeit geplagt wurde. Es hat datiert 25. Sept, fast zwei Monate auf den Tag vor Hacker Tausende von empfindlichsten Firmendokumente ausgesetzt.
In einer e-Mail an eine Gruppe, bestehend hauptsächlich aus Informationen Sicherheit je höher-ups und Leiter der Rechtsabteilung veröffentlicht Sonys Konzernrevision einen Bericht über seine letzten Protokoll für den Umgang mit "Sicherheitsvorfälle" sowohl wie Managementpläne, ähnliche Ereignisse in Zukunft zu verhindern. Was sie fanden war nicht schön.
Bis September 2013, hatte Sony Bilder Entertainment (SPE) ihrer IT-Sicherheit an einen dritten Sicherheitsdienst ausgelagert – nichts Ungewöhnliches gibt. Für große Unternehmen wie Sony ist die Vermietung in der Regel sinnvoll sowohl in Bezug auf Kosten und internen Ressourcen (oder deren Fehlen). Dann, wenn etwas schief geht, ein zusätzlichen dritten genannt wird in der Regel um herauszufinden, wo das erste man schief gelaufen. SPE tat dies, auch bis zum Ende des letzten Jahres.
Laut dem Bericht in 2013, Sony-SPE-Muttergesellschaft – beschlossen, seine globale Sicherheit Vorfall Response Team (GSIRT) zuständig für die Überwachung der Kernaufgaben und allgemeine setzen Überwachung für das Unternehmen der verschiedenen Tochtergesellschaften, darunter Sony Pictures. Während GSIRT Sicherheit insgesamt überwachen würde, war die dritte Mannschaft, die SPE benutzt hatte immer noch verantwortlich für die Umsetzung der verschiedenen Sicherheitsvorkehrungen (Firewalls, Intrusion Prevention-Systeme, etc.).
Es scheint, das ist, wenn Dinge Abbau begonnen.
Dem Bericht zufolge nach den GSIRT übernahm Aufgaben Überwachung, ging 1 von 42 von SPE Firewalls und 148 Nichtsicherheit Geräte (z. B. Router und Server) völlig unkontrolliert weil laut dem Bericht SPE Drittanbieter-Sicherheitsanbieter nie explizit seine neue Aufseher dazu gesagt. Was bedeutet, dass eine Verletzung auf eines dieser Geräte stattfinden würde, möglich ist, dass niemand Möglichkeit zu wissen hätte.
Es kommt noch schlimmer. Aus dem Bericht (Hervorhebung hinzugefügt):
Darüber hinaus Verfahren nicht entwickelt wurden , um die Bevölkerung von Sicherheitsvorkehrungen in Einklang zu bringen, die durch GSIRT zu den tatsächlichen SPE Sicherheitseinrichtungen überwacht werden, die überwacht werden sollten, um die Richtigkeit und Vollständigkeit zu überprüfen. Infolgedessen, Ergänzungen, Änderungen und Löschungen nicht mitgeteilten SPE GSIRT können nicht erkannt werden, und kritische Sicherheits-Geräte können nicht überwacht werden.
Um es einfach auszudrücken: Ja, Muttergesellschaft Sony it Management ist sich bewusst, dass es eine erhebliche Anzahl von Geräten, die unkontrolliert verlassen wird und somit anfällig. Darüber hinaus hat es kein Prozess zu verhindern, dass dieses Problem immer schlimmer. Als Jérôme Segura erklärt ein senior Sicherheitsexperte bei Malwarebytes, uns über e-Mail, "Missverständnisse oder Mangel an ihm schwerwiegende Probleme, die möglicherweise unbemerkt aber komme wieder zu spuken erstellen kann."
Während wir nicht wissen, ob diese bestimmten Schwachstellen nichts hatte zu tun mit den verheerenden Angriffe, dass kam letzte Woche ans Licht – sogar mit luftdichten Überwachung oder wenn diese Angriffe hätte verhindert werden können –, dass sie existierten und dass Sony so langsam auf sie zu reagieren war eine Kultur, die Sicherheit in der Informationstechnik zu priorisieren. Segura weist darauf hin, dass "Angreifer brauchen nur eine Schwäche zu finden, sei es ein Mitarbeiter, dass sie spear Phishing oder ein unsicheres Netzwerk, um ihre Verbrechen zu begehen. Denken, dass ein Unternehmen wegen seiner Größe und Ressourcen, schwer wäre ist zu Kompromissen ein Trugschluss."
Um alles noch schlimmer, in GSIRT zu bringen – mit einem eigenen Satz von Prioritäten – scheint zu einigen internen Kopfstoß geführt haben. Vor dem Sony übernahm der Muttergesellschaft Sicherheit Einheit Überwachung von Aufgaben, die SPE, die es regelmäßige Sicherheitsberichte erhalten würde, von welcher Firma zuvor für die Überwachung zuständig gewesen war. Einmal GSIRT kam auf, aber kam diese Berichte zum Stillstand. Segura stellt fest, dass "GSIRT begründet ist, dass andere Dinge"haben Priorität executive reporting übernommen." Man kann sich vorstellen, wie es SPE ist muss auf diesen Kommentar reagiert haben. " Das heißt, im Hinblick auf wichtige Sicherheit, SPE eigenen war es im Dunkeln gelassen wird, und GSIRTs beste Antwort war das Einschalten des Lichts "würde später kommen."
Und was genau in diesen Berichten, dass GSIRT war nicht mehr das Bedürfnis über senden? Nach der Prüfung (Hervorhebung hinzugefügt):
Die Berichte zur Verfügung gestellt durch die vorherige Sicherheit Überwachungsanbieter enthalten (e.g.,common Bedrohungen in SPE) Sicherheit Drohung verlaufenden Log überwachen von Statistiken (z. B. Gesamtereignisse für einen bestimmten Monat und wie sie behandelt werden), Top Angriff Kategorien für einen bestimmten Monat, Top-Quellen von Angriffen durch Land, Sicherheit von Geräten bieten die meisten Warnungen, Top-Geräte zur Ereigniskorrelation, die Anzahl der Ereignisse, die ausgelöst durch mehr als eine Quelle (korrelierte Ereignisse) und eine Zusammenfassung was SPE tun könnte, um zu reduzieren spezifische Angriffe.
Das heißt, SPE hatte es nicht mehr Zugriff auf die gleiche Art von Daten, die von unschätzbarem Wert in ein Hacker vereiteln könnte.
Wiederum ist es wahrscheinlich, dass dieser Angriff noch stattgefunden haben könnte selbst wenn Sony alles richtig gemacht haben. Entsprechend Matthew Green, ein Kryptographen und Research Professor an der Johns Hopkins University, "Ich bin nicht sicher, ob Sie eine direkte Linie von diesem darauf aufmerksam machen können, dass sie gehackt wurden. Auch Arbeits- und überwachten sind Intrusion Detection Systeme kaum eine Wunderwaffe bei der Erkennung von ausgeklügelten Angriffen wie diese."
Und grün weiter weist darauf hin, "Es ist nicht klar, dass niemand, nur Beobachtung war, das einige Teile des Netzwerks waren nicht von der zentralen Sicherheitsabteilung überwacht wird." Also während wir genau wissen, dass GSIRT war nicht aktiv eine Reihe von SPE eigene Geräte überwacht, können wir mit Bestimmtheit nicht sagen, dass jemand anderes war nicht diese Lücke füllen.
Immer noch, während es ist wichtig, nicht zu viele Linien zwischen diesem Bericht und was scheint immer das Schlimmste sein corporate Hack in der Geschichte, es zeigt SPE bei Zeiten dysfunktionalen Beziehung mit der Informationstechnologie. Sogar nach SPE die Schwachstellen bewusst, mit denen es konfrontiert gemacht wurde, scheint es nicht proaktiv zu beheben gewesen. Das "würde später kommen."
Kunst von Jim Cooke