Sony Execs wusste über umfangreiche es Mängel, zwei Monate vor Lecks


Anfang dieses Jahres veröffentlichte Sony Pictures eine Hölle einer internen IT-Bewertung. Der Bericht zeigte, dass nicht nur das Unternehmen, das ignorieren grundlegende Sicherheitsprotokoll, ihre IT-Sicherheit mit nicht überwachten Geräte, Missverständnissen und ein Mangel an Verantwortlichkeit geplagt wurde. Es hat datiert 25. Sept, fast zwei Monate auf den Tag vor Hacker Tausende von empfindlichsten Firmendokumente ausgesetzt.

In einer e-Mail an eine Gruppe, bestehend hauptsächlich aus Informationen Sicherheit je höher-ups und Leiter der Rechtsabteilung veröffentlicht Sonys Konzernrevision einen Bericht über seine letzten Protokoll für den Umgang mit "Sicherheitsvorfälle" sowohl wie Managementpläne, ähnliche Ereignisse in Zukunft zu verhindern. Was sie fanden war nicht schön.

Bis September 2013, hatte Sony Bilder Entertainment (SPE) ihrer IT-Sicherheit an einen dritten Sicherheitsdienst ausgelagert – nichts Ungewöhnliches gibt. Für große Unternehmen wie Sony ist die Vermietung in der Regel sinnvoll sowohl in Bezug auf Kosten und internen Ressourcen (oder deren Fehlen). Dann, wenn etwas schief geht, ein zusätzlichen dritten genannt wird in der Regel um herauszufinden, wo das erste man schief gelaufen. SPE tat dies, auch bis zum Ende des letzten Jahres.

Laut dem Bericht in 2013, Sony-SPE-Muttergesellschaft – beschlossen, seine globale Sicherheit Vorfall Response Team (GSIRT) zuständig für die Überwachung der Kernaufgaben und allgemeine setzen Überwachung für das Unternehmen der verschiedenen Tochtergesellschaften, darunter Sony Pictures. Während GSIRT Sicherheit insgesamt überwachen würde, war die dritte Mannschaft, die SPE benutzt hatte immer noch verantwortlich für die Umsetzung der verschiedenen Sicherheitsvorkehrungen (Firewalls, Intrusion Prevention-Systeme, etc.).

Es scheint, das ist, wenn Dinge Abbau begonnen.

Dem Bericht zufolge nach den GSIRT übernahm Aufgaben Überwachung, ging 1 von 42 von SPE Firewalls und 148 Nichtsicherheit Geräte (z. B. Router und Server) völlig unkontrolliert weil laut dem Bericht SPE Drittanbieter-Sicherheitsanbieter nie explizit seine neue Aufseher dazu gesagt. Was bedeutet, dass eine Verletzung auf eines dieser Geräte stattfinden würde, möglich ist, dass niemand Möglichkeit zu wissen hätte.

Es kommt noch schlimmer. Aus dem Bericht (Hervorhebung hinzugefügt):

Darüber hinaus Verfahren nicht entwickelt wurden , um die Bevölkerung von Sicherheitsvorkehrungen in Einklang zu bringen, die durch GSIRT zu den tatsächlichen SPE Sicherheitseinrichtungen überwacht werden, die überwacht werden sollten, um die Richtigkeit und Vollständigkeit zu überprüfen. Infolgedessen, Ergänzungen, Änderungen und Löschungen nicht mitgeteilten SPE GSIRT können nicht erkannt werden, und kritische Sicherheits-Geräte können nicht überwacht werden.

Um es einfach auszudrücken: Ja, Muttergesellschaft Sony it Management ist sich bewusst, dass es eine erhebliche Anzahl von Geräten, die unkontrolliert verlassen wird und somit anfällig. Darüber hinaus hat es kein Prozess zu verhindern, dass dieses Problem immer schlimmer. Als Jérôme Segura erklärt ein senior Sicherheitsexperte bei Malwarebytes, uns über e-Mail, "Missverständnisse oder Mangel an ihm schwerwiegende Probleme, die möglicherweise unbemerkt aber komme wieder zu spuken erstellen kann."

Während wir nicht wissen, ob diese bestimmten Schwachstellen nichts hatte zu tun mit den verheerenden Angriffe, dass kam letzte Woche ans Licht – sogar mit luftdichten Überwachung oder wenn diese Angriffe hätte verhindert werden können –, dass sie existierten und dass Sony so langsam auf sie zu reagieren war eine Kultur, die Sicherheit in der Informationstechnik zu priorisieren. Segura weist darauf hin, dass "Angreifer brauchen nur eine Schwäche zu finden, sei es ein Mitarbeiter, dass sie spear Phishing oder ein unsicheres Netzwerk, um ihre Verbrechen zu begehen. Denken, dass ein Unternehmen wegen seiner Größe und Ressourcen, schwer wäre ist zu Kompromissen ein Trugschluss."

Um alles noch schlimmer, in GSIRT zu bringen – mit einem eigenen Satz von Prioritäten – scheint zu einigen internen Kopfstoß geführt haben. Vor dem Sony übernahm der Muttergesellschaft Sicherheit Einheit Überwachung von Aufgaben, die SPE, die es regelmäßige Sicherheitsberichte erhalten würde, von welcher Firma zuvor für die Überwachung zuständig gewesen war. Einmal GSIRT kam auf, aber kam diese Berichte zum Stillstand. Segura stellt fest, dass "GSIRT begründet ist, dass andere Dinge"haben Priorität executive reporting übernommen." Man kann sich vorstellen, wie es SPE ist muss auf diesen Kommentar reagiert haben. " Das heißt, im Hinblick auf wichtige Sicherheit, SPE eigenen war es im Dunkeln gelassen wird, und GSIRTs beste Antwort war das Einschalten des Lichts "würde später kommen."

Und was genau in diesen Berichten, dass GSIRT war nicht mehr das Bedürfnis über senden? Nach der Prüfung (Hervorhebung hinzugefügt):

Die Berichte zur Verfügung gestellt durch die vorherige Sicherheit Überwachungsanbieter enthalten (e.g.,common Bedrohungen in SPE) Sicherheit Drohung verlaufenden Log überwachen von Statistiken (z. B. Gesamtereignisse für einen bestimmten Monat und wie sie behandelt werden), Top Angriff Kategorien für einen bestimmten Monat, Top-Quellen von Angriffen durch Land, Sicherheit von Geräten bieten die meisten Warnungen, Top-Geräte zur Ereigniskorrelation, die Anzahl der Ereignisse, die ausgelöst durch mehr als eine Quelle (korrelierte Ereignisse) und eine Zusammenfassung was SPE tun könnte, um zu reduzieren spezifische Angriffe.

Das heißt, SPE hatte es nicht mehr Zugriff auf die gleiche Art von Daten, die von unschätzbarem Wert in ein Hacker vereiteln könnte.

Wiederum ist es wahrscheinlich, dass dieser Angriff noch stattgefunden haben könnte selbst wenn Sony alles richtig gemacht haben. Entsprechend Matthew Green, ein Kryptographen und Research Professor an der Johns Hopkins University, "Ich bin nicht sicher, ob Sie eine direkte Linie von diesem darauf aufmerksam machen können, dass sie gehackt wurden. Auch Arbeits- und überwachten sind Intrusion Detection Systeme kaum eine Wunderwaffe bei der Erkennung von ausgeklügelten Angriffen wie diese."

Und grün weiter weist darauf hin, "Es ist nicht klar, dass niemand, nur Beobachtung war, das einige Teile des Netzwerks waren nicht von der zentralen Sicherheitsabteilung überwacht wird." Also während wir genau wissen, dass GSIRT war nicht aktiv eine Reihe von SPE eigene Geräte überwacht, können wir mit Bestimmtheit nicht sagen, dass jemand anderes war nicht diese Lücke füllen.

Immer noch, während es ist wichtig, nicht zu viele Linien zwischen diesem Bericht und was scheint immer das Schlimmste sein corporate Hack in der Geschichte, es zeigt SPE bei Zeiten dysfunktionalen Beziehung mit der Informationstechnologie. Sogar nach SPE die Schwachstellen bewusst, mit denen es konfrontiert gemacht wurde, scheint es nicht proaktiv zu beheben gewesen. Das "würde später kommen."

Kunst von Jim Cooke

Verwandte Artikel

7 Dinge, die ich wünschte, ich wusste über Männer, bevor ich geheiratet habe

Wenn ich gewusst hätte einealles über Männer leben oder Ehe, ich kann nicht in die Ehe so jung wie ich gesprungen. Ich war 22, als wir anfingen aus und 24 als wir verheiratet, also nicht verrückt jung, aber jung genug, um einige mißbilligenden generiert h...

Wünsche ich mir mehr Menschen wusste über Co-schlafen

Wie viele von uns (mich, hoffentlich bald) warten auf die Geburt/Ankunft unsere Babys, wir betrachten viele Facetten der Elternschaft. Wir lesen Sie wie unsere Chancen des Stillens, Debatte zwischen welchen Autositz kaufen und beginnen, darüber nachzudenk...

Leck zeigt, dass Hacker Erpressung Sony Execs vor Angriff per E-Mail

Jetzt fangen die Dinge Sinn machen. Die neueste Leck der jüngsten Hack von Sony Pictures gestohlenen Daten scheint der e-Mail-Archive der beiden Top-Führungskräfte des Unternehmens sein. Es zeigt auch, dass die Hacker, die Führungskräfte für Geld gefragt,...

7 berühmte Film-Mängel, die gelöschten Szenen erklärt wurden

Auch die größten Filme werden mit einigen Szenen am Boden Schneideraums landen. Es ist zum größten Teil aus gutem Grund: so genial, wie es war, Darth Vaders Wakeboarden Montage würde wirklich gebrochen haben den Fluss des Reiches. Aber ein paar von diesen...

Susan und Ehe: was Sie wahrscheinlich nie wusste, über die große Feministin

Ohne wirklich wollte, begann ich mit einen Vorgeschmack auf einige Frauengeschichte in Sue Monk Kidd neuen Roman, Der Erfindung von WingsWomen es History Month März dieses Jahres. (Randbemerkung: Sue Monk Kidd ist mein Lieblingsautor, weil sie eine Kranke...

16 Dinge, die Sie dachten, Sie wusste über Thanksgiving (aber waren völlig falsch)

Als Kinder sind wir in der Regel gesagt, Cookie-Cutter, Cartoon-Version von das erste Thanksgiving. Sie kleiden uns was könnte argumentiert werden, als kulturell unsensibel Outfits und erzählen Sie uns über die Zeit, die amerikanischen Ureinwohner der Arm...

10 Dinge, die Ihr wusste über Big Thunder Mountain Railroad im Disneyland

Halten Sie Ihre Hüte und Brillen! Eines der beliebtesten Attraktionen und "wildesten Fahrten" in Disneyland wiedereröffnet. Nach immer einige Verbesserungen und die Attraktion aufpoliert, begann Big Thunder Mountain Railroad die Passagiere wiede...

Joe Hockey verteidigt Rekord und berührt auf Mängel bei der Abschiedsrede, m/s

Eishockey, sagt, dass er wünscht, er hätte gesehen, durch politische Vorschläge wie Verbreiterung GST und verteidigt seinen Freund und gelegentlicher Feind Tony Abbott Der ehemalige Schatzmeister Joe Hockey hat Abschied nehmen von dem Parlament, aber nich...

Sehen Sie dieses erstaunliche Animation, die berühmte Wissenschaftler als Superhelden stellt sich vor

Stell dir vor, Sie die Gehirne der berühmte Wissenschaftler wie Einstein, Darwin und Tesla zu einer Zeitreise-Superhelden, die unter der Leitung von Winston Churchill-Band zusammenstellen konnte. Nun, jetzt müssen Sie nicht vorstellbar, weil die animierte...

Orangensaft - ich bin So über Sie... Nach wie vor

Früher habe ich eine ernsthafte Liebesbeziehung mit der würzig-süße Orangenfrucht. Insbesondere den Saft Du könntest in dieser riesigen Familie Krüge-Zellstoff-frei, aber ach, so gut. Es war eine ernste Liebesbeziehung, die mir für etwas mehr als 9 M...

Nicolas Sarkozy unter Untersuchung über 2012 Kampagne Fonds

Gerichtsverfahren gegen den ehemaligen französischen Präsidenten viel schweren Schlag für die Hoffnungen des Laufens in 2017 Wahlen Nicolas Sarkozy untersuchten über angebliche Unregelmäßigkeiten in seinem 2012 Wiederwahl-Kampagne Finanzen sorgt einen sch...

Führenden Krankenhaus unter CQC Kontrolle über hohe Herzfrequenz Chirurgie Tod

Queen Elizabeth Hospital in Birmingham muss Chirurgie Ergebnisse wöchentlich Inspektoren, melden, die als Einheit schließen Einer der bekanntesten Krankenhäuser des Landes wurde erzählt, wöchentlich Inspektoren auf die Ertragslage des Erwachsenen Herzen z...

Sonderbericht: Überstellung Tortur, die wirft neue Fragen über geheime Studien

Im Jahr 2004 waren Fatima Bouchar und ihr Ehemann, Abdel Hakim Belhaj, festgehalten auf dem Weg in das Vereinigte Königreich und nach Libyen gerendert. Dies ist die Geschichte ihrer Gefangenschaft und den Spuren der Beweise, die die Beteiligung der britis...

Freude, Angst und das Wort "Beule" zu hassen: neun Dinge, die ich über Schwangerschaft gelernt

Alles, was Sie jemals gedacht, gelesen, gesehen, gehört oder gesagt, über Schwangerschaft und Geburt ist eine Lüge 1. erfahren viel über Ihren Körper Sie Als ich ein paar Wochen schwanger war, musste ich für einen frühen Scan, während dessen die Sonograph...