Equifax verhielp Apache Struts-lek niet na notificatie

In een hoorzitting voor het Amerikaanse Congres heeft voormalig Equifax-ceo Richard Smith uitgelegd hoe het aanvallers lukte om de systemen van zijn bedrijf binnen te dringen. Nadat het bedrijf op de hoogte was van een lek in Apache Struts, lukte het niet om dit te verhelpen.

Volgens de verklaring van Smith had het Amerikaanse Cert op 8 maart gewaarschuwd voor het lek. Vervolgens ging er een interne e-mail binnen Equifax rond waarin werd opgeroepen om patches uit te voeren. Volgens bedrijfsbeleid had dat binnen 48 uur moeten gebeuren, maar dat lukte niet. Het is onduidelijk of het lek niet is gevonden of dat het niet lukte om een patch door te voeren.

Op 15 maart zouden er scans zijn doorgevoerd waarbij de kwetsbaarheid aan het licht had moeten komen, maar ook toen gebeurde dat niet. Ook de rest van diezelfde maand bleef het lek verborgen, aldus Smith. Het was al eerder bekend dat de hack op Equifax via het lek in Apache Struts was uitgevoerd. De hackers verkregen volgens de verklaring van Smith op 13 mei toegang tot het bedrijfsnetwerk, wat op 29 juli werd gedetecteerd doordat er verdacht netwerkverkeer werd opgevangen.

Equifax heeft maandag eveneens bekendgemaakt dat het ingehuurde beveiligingsbedrijf Mandiant zijn onderzoek heeft afgerond. Daaruit zou blijken dat het totale aantal mogelijk getroffen personen met 2,5 miljoen Amerikanen stijgt, waarmee het uitkomt op 145,5 miljoen personen. Het onderzoek zou verder uitwijzen dat er geen toegang was tot databases buiten de VS.

IT-banen

Reacties (22)

Slavy 3 oktober 2017 08:04

Volgens de verklaring van Smith op 13 mei toegang tot het bedrijfsnetwerk, wat op 29 juli werd gedetecteerd doordat er verdacht netwerkverkeer werd opgevangen.

Dat is nog het meeste slordige, 2.5 maand nodig om er achter te komen dat er iemand toegang tot het netwerk heeft.

multimho @Slavy • 3 oktober 2017 09:13

Jij gaat er vanuit dat bedrijven IT op orde hebben. Er zijn maar heel weinig bedrijven die ook maar een klein beetje in de buurt komen van wat @JackBol beschrijft en dat is het minimale wat je nodig hebt om uberhaupt enig vermoeden te krijgen dat er wat mis is.

Dat vereist met name een visie waarin de IT van een bedrijf als een geheel wordt gezien en waarbij men precies weet wat de samenhang is. Dat alleen al is voor veel bedrijven onbekend terrein. Vraag een bedrijf maar eens naar actuele netwerktekening... Schrikbarend hoe weinig organisaties dat paraat hebben en actief bijhouden.

Overlord2305 @multimho • 3 oktober 2017 09:43

Jij gaat er vanuit dat bedrijven IT op orde hebben.

Dat moet toch ook gewoon kunnen? of moet ik er ook maar vanuit gaan dat de brandweer de volgende keer met waterpistooltjes komt aanzetten?

Yggdrasil

@Overlord2305 • 3 oktober 2017 09:54

De brandweer heeft een smal en duidelijk omlijnd takenpakket. Intrusion detection bij bedrijven als Equifax kun je misschien meer vergelijken met van de brandweer verwachten dat ze voorkomen dat bepaalde delen van het gebouw afbranden terwijl andere delen juist in brand gestoken moeten worden en weer andere vleugels juist tegelijkertijd bijgebouwd worden.

Het is mogelijk maar kost veel geld en expertise, terwijl het niks opbrengt.

Praetextatus @Yggdrasil • 3 oktober 2017 13:42

Even serieus, het brengt niets op?

Volgens mij is Equifax een laatste leidend voorbeeld hierin.
Niet alles hoeft meteen harde groene flappen op te brengen, maar heeft een indirecte ondersteunende rol hierbij.
Als ik jou redenatie moet volgen hoeven bedrijven dus niets te doen aan security omdat het hen niets opbrengt. Nou nee, als ik mijn data of gegevens ergens onder breng moet ik in gewoon kunnen verwachten dat deze gewoon veilig is. Omdat Equifax dit niet op orde heeft gehad hebben dus een kleine 145 miljoen mensen extra risico's terwijl ze niets hebben gedaan.

edit/ kleine aanvulling. Wat ik nog steeds kwalijk vindt is dat de ex ceo nog steeds niet helemaal eerlijk lijkt:
Volgens de verklaring van Smith had het Amerikaanse Cert op 8 maart gewaarschuwd voor het lek. Vervolgens ging er een interne e-mail binnen Equifax rond waarin werd opgeroepen om patches uit te voeren. Volgens bedrijfsbeleid had dat binnen 48 uur moeten gebeuren, maar dat lukte niet

Mij lijkt dit echt op een mail met iedereen in de cc met de oproep om dit op te lossen. Iedereen dacht, de ander pikt dit wel op of ik hoor het wel van mijn manager. Hierna is het gewoon ondergesneeuwd en iedereen ging door met zijn/haar eigen ding.

[Reactie gewijzigd door Praetextatus op 23 juli 2024 01:10]

Yggdrasil

@Praetextatus • 4 oktober 2017 11:13

Ik denk dat je me verkeerd begrijpt. In je antwoord beredeneer je vanuit het oogpunt van de klant, maar een directie van een bedrijf zal allereerst vanuit het oogpunt van het bedrijf opereren.

Datasecurity kost geld als je het niet goed doet, maar levert niet direct geld op als je het wel goed doet. Alleen indirect, in de vorm van een goed imago dat extra klanten kan opleveren en als kostenbesparende maatregel wanneer er data lekt.

Zolang er geen data lekt is er echter géén verschil tussen wel of niet investeren in datasecurity. Je hebt tegelijk te maken met een curve van afnemende meeropbrengst. 100% veilig bestaat niet en je moet exponentieel meer investeren hoe dichter je daarbij in de buurt wilt komen. Hoeveel investeer je om het hoeveel procent veiliger te maken, voor een risico dat je niet volledig kunt kwantificeren? Dat kan ertoe leiden dat de directie er onvoldoende budget in steekt, zelfs als ze het risico correct inschatten.

Heeft men in dit geval het risico flink verkeerd ingeschat? Natuurlijk en ze verdienen wat ze nu krijgen. Maar de vergelijkingen die sommigen in deze thread maken zijn veel te simpel.

kftnl @Slavy • 3 oktober 2017 08:07

Als de aanvaller geavanceerd genoeg is is het onmogelijk te detecteren. Geen idee hoe dat hier zit natuurlijk, Equifax heeft duidelijk steken laten vallen.

Slavy @kftnl • 3 oktober 2017 08:09

Natuurlijk, maar het lijkt mij toch dat een beetje netwerkbeheerder met behulp van zijn monitor tools toch in minder dan 2,5 maand kan zien dat er verdachte activiteiten zijn.

Verwijderd @Slavy • 3 oktober 2017 08:25

Het valt mij altijd op dat er nog altijd heel weinig tools zijn die dat zoeken vergemakkelijken. Ik snap best dat dat niet makkelijk is maar eens mens laten kijken is vrijwel nutteloos.

JackBol @Verwijderd • 3 oktober 2017 08:32

Die oplossingen zijn er wel maar kosten tijd, geld en een nieuw type medewerkers. "een beetje netwerkbeheerder met behulp van zijn monitor tools" is al lange tijd gewoon een prooi voor APT aanvallen. De industrie-gemiddelde detectietijd van een breach is nog steeds tussen de 90 en 120 dagen.

Om die detectietijd te verkorten tot uren moet je je netwerk en security beleid compleet gemodelleerd hebben en big data oplossingen gebruiken om afwijkingen te detecteren. Implementatie en onderhoud hiervan is een tak van sport op zich. Dat doe je er niet even bij. Laat staan dat een tooltje installeren voldoende is.

Daarnaast is er geen 'operationele' businesscase voor security. Maar een strategische businesscase heeft vaak zachte aannames en black swan events die moeilijk te kwantificeren zijn in geld.

cariolive23 @JackBol • 3 oktober 2017 10:08

big data

Sorry, maar je hebt al weer een puntje voor de bullshit bingo. Zoals je in deze case kunt lezen, was één lullig mailtje voldoende, alleen hebben ze daar niets mee gedaan. Je kunt nog zoveel tools introduceren, wanneer je niets doet met de informatie die je daarmee kunt genereren, heb je er helemaal niets aan. Veel data en veel informatie, zijn twee totaal verschillende dingen. En dat staat dan nog los van de actie die je moet ondernemen, iets dat bij grote bedrijven ook een probleem is: Niets doen is vaak een activiteit op zich

engessa @cariolive23 • 3 oktober 2017 12:03

Wat JackBol volgens mij bedoeld met 'big data' is dat je met 'big data' je normale verkeer modelleert en inschat. Op het moment dat er iets afwijkt van wat normaal is dan kan er een alarmbel gaan rinkelen om nader onderzoek te doen. In een bedrijf als Equifax kunnen de datastromen behoorlijk complex en grillig zijn maar het zou mogelijk moeten zijn om dit te vangen in een model als je maar genoeg variabelen kunt identificeren. Zaken als 'we krijgen X verkeer via onze website op dit tijdstip en dit tijdstip, we krijgen X verkeer via onze medewerkers tijdens kantooruren in deze tijdzones en op maandag 12.00 uur gaan server X en Y syncen en dan levert X verkeer op'.

cariolive23 @engessa • 3 oktober 2017 12:27

Wat JackBol volgens mij bedoeld met 'big data' is dat je met 'big data' je normale verkeer modelleert en inschat.

Ah, een datawarehouse, dat wat in de jaren '60 van de vorige eeuw al is uitgevonden. Dat is precies waarom ik de bullshit bingo aanhaal, met bewezen techniek zijn dit soort afwijkingen al sinds jaar en dag haarfijn te signaleren. Nieuwe tools en technieken introduceren waar je geen kennis van hebt, en alleen maar omdat het nieuw is, dat is geen veilige strategie wanneer je primaire doel is om de toko te beschermen. En je kunt signaleren tot je een ons weegt, zonder actie te ondernemen heeft signaleren weinig toegevoegde waarde.

Actie, dat is waar het om gaat en waar het bij Equifax (en vele anderen) zo fout is gegaan.

D11 @cariolive23 • 3 oktober 2017 13:01

Volgens mij geen datawarehouse, maar echt big data (https://en.wikipedia.org/wiki/Big_data). Bij big data wordt zoveel mogelijk data verzameld en geanalyseerd om te kijken of hier patronen in te vinden zijn. Bij een datawarehouse worden allerlei data verzameld, en met de verzamelde data rapportages gemaakt.

Praetextatus @cariolive23 • 3 oktober 2017 13:52

Nou nee. Big data is iets anders dan een Data warehouse.
Zie: https://www.computable.nl...en-het-datawarehouse.html

!GN!T!ON @Verwijderd • 3 oktober 2017 17:41

Valt volgens mij best mee, dit soort systemen vallen onder Intrusion Detection Systems (IDS), zijn meerdere grote namen actief op deze markt. Op de wikipedia-pagina wordt ook gelinkt naar 12 open-source IDS systemen (https://www.wikiwand.com/en/Intrusion_detection_system). Dus er zijn zeker opties.

supersnathan94 @Slavy • 3 oktober 2017 08:34

Ik denk dat dat toch redelijk meevalt. Ik was laatst bij de security summit van iSense en daar werd pijnlijk duidelijk hoe eenvoudig het werk van pentesters kan zijn. Dan denk je goed bezig te zijn door op iedere machine een ander localadmin pw af te dwingen slaat LAPS die passwords in plaintext op in AD. Een foutje in delegation of control en je hebt alle passwords binnen 5 minuten.

En dan denk je oke dan zorg ik dat alle machines ook encrypted zijn via bitlocker. An sich helemaal geen verkeerd idee. Zou standaard aan moeten staan. Dan ben je iig zeker dat je data niet gecomprommiteerd kan worden.

Fout! Ook de keys worden in plain text opgeslagen in AD. Ga je met hetzelfde foutje in CoD twee keer nat en stelt je beveiliging helemaal niets voor. En aangezien je die activiteit slecht kunt monitoren als je dat niet actief aanzet is de kans vrij groot dat je al veel te laat bent als je er achter komt.

Zelfde als remote desktop alleen disconnecten. Als je niet uitlogt kan die sessie gewoon hetgebruikt worden.

multimho @supersnathan94 • 3 oktober 2017 09:15

En toch blijven mensen bij Microsoft nog steeds al die spullen kopen, onbegrijpelijk.

Verwijderd @kftnl • 3 oktober 2017 10:28

Het is misschien lastig te detecteren dat er iemand in je netwerk zit (onmogelijk niet), maar het is niet zo lastig te detecteren dat er wijzigingen gebeuren in de buitenste laag van je netwerk zodat de aanvaller verder kan.
IDS is niet echt een nieuwe wetenschap, en een heleboel bedrijven hebben hun zaken wat dit betreft wel op orde.
Ze hebben hier gewoon hele grove steken laten vallen.

cybermaus @Slavy • 3 oktober 2017 08:46

Hoho. Het is niet gezegd dat inbrekers al gelijk op 8 maart binnen waren. Dat kon veel later zijn. (of veel eerder)

Slavy @cybermaus • 3 oktober 2017 09:03

Letterlijk uit de tekst:

De hackers verkregen volgens de verklaring van Smith op 13 mei toegang tot het bedrijfsnetwerk, wat op 29 juli werd gedetecteerd doordat er verdacht netwerkverkeer werd opgevangen.

13 mei, niet 8 maart dus. van 13 mei naar 29 juli is ca. 2,5 maand.

Blommie01 @Slavy • 3 oktober 2017 08:09

Ik vind het nog snel ;-)

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (22)

Sorteer op:

Weergave: