tgoop.com/ciso_on_fire/6
Last Update:
Яндекс рассказал подробности про историю с утечкой данных Яндекс.Еды в начале этого года.
Вкратце, после приобретения Яндексом в 2017 году этого сервиса, который раньше назывался FoodFox, некоторые сервера не были перевезены в инфраструктуру Яндекса, а остались в старом хостинге. Один из таких серверов и был взломан хакерами. Или даже сам хостинг целиком, это не совсем понятно из рассказа. Изначально Яндекс сообщал о том, что это была утечка по вине инсайдера, сейчас они признали, что та версия была ошибочной.
Хакеры получили доступ и выложили в паблик базу всех заказов, включая телефон, адрес и сумму заказа.
Какие здесь могут быть выводы:
1) Яндекс и ребята большие молодцы, что рассказали
2) Интересный формат для корп. коммуникаций - интервью с экспертами компании в видео-подкасте. Сейчас все смотрят ютуб, а большинство компаний все еще ограничиваются пресс-релизами и статьями на хабре
3) Проблема Shadow IT становится все более актуальной. Когда у компании есть свои сервера, облачная инфраструктура, партнерские проекты, сторонние SaaS-ы, а еще все то же самое могут использовать разработчики самостоятельно без ведома ИБ.
Даже просто найти все это и собрать список - уже проблема само по себе. Недостаточно защищать свою инфраструктуру и свой "периметр", взломают вас всегда через самое дырявое место
4) Большинство взломов остаются неизвестными публике, потому что данные тихонько используются годами для извлечения выгоды. Эта тенденция поменялась в России в этом году, теперь часто украденное публикуют сразу. Но сколько взломов остаются неизвестными - мы все равно не знаем
5) Никогда не верьте, когда компания говорит, что взлом произошел по вине инсайдеров. Это почти всегда либо обман, либо добросовестное заблуждение. Для этого есть несколько причин (дальше не про Яндекс и этот случай, а по моему опыту в целом):
- это всегда первая реакция админов внутри, они начинают предполагать "крысу", как только видят хоть сколько-то продвинутую атаку. Всегда кажется, что сторонний человек не смог бы сам разобраться с такой сложной системой, как наша
- расследовать инцидент безопасности так, чтобы действительно удалось раскрутить всю цепочку - очень сложно, особенно если не тренироваться и не готовиться к этому заранее. Бывает так, что технари не находят никаких следов, и доносят версию про инсайдера своему руководству
- это психологически комфортная версия, что это не у нас проблема, а нашелся инсайдер
- кажется, что это спокойнее воспринимается обществом, что это не компания дырявая, а человеческий фактор, с которым как бы ничего не поделаешь
При этом в 95% случаев никаких "крыс" нет, а есть хакеры, которые достаточно долго посидели внутри, изучили инфраструктуру, документацию, исходники и т.д. А даже в тех редких случаях, когда действительно виноват инсайдер - обычно есть технические предпосылки к этому, например, слишком широкие доступы для сотрудников службы поддержки в админке.
Это именно про взломы и утечки. Если инцидент касается денежного фрода, то вероятность того, что замешаны инсайдеры может быть несколько выше.
Само интервью тут https://www.youtube.com/watch?v=rymoPIkHJjQ
BY CISO on fire
Share with your friend now:
tgoop.com/ciso_on_fire/6