2013 년의 중요한 보안 사례

데이터 침해, 개인 정보 보호, 사이버 스파이, 정부 스파이, 고급 악성 코드, 심각한 체포, 보안 기능 개선 등 몇 주마다 좋은 소식에서 나쁜 소식으로 숨어 2013 년을 되돌아 보면 롤러 코스터처럼 느껴졌습니다.

올해의 가장 큰 이야기 또는 일련의 이야기는 전 국가 안보국 계약자 Edward Snowden이 훔쳐서 언론에 공개 한 문서를 중심으로 진행됩니다. 그러나 2013 년의 유일한 주요 이야기는 아니었다. 처음으로 한 보안 회사는 중국이 미국 기업을 감시하는 방법에 대한 명확한 사례를 제시했으며 미국 정부는 공식적으로 중국 정부와이 문제를 논의했다. 법 집행 기관은 큰 신용 카드 도난 반지를 해체하고 블랙홀 익스플로잇 키트의 제작자를 체포하면서 상당한 승리를 거두었습니다. 데이터 유출은 계속되었지만 Experian 위반은 개인 정보를 수집하는 데이터 브로커의 문제를 강조했습니다. 일반 사용자는 Google Glass 사용자가 거리를 누를 때 온라인 개인 정보 보호에 대해 이야기하기 시작했습니다. 전송중인 데이터 암호화, 2 단계 인증 구현, 정부에 제공하는 정보에 대한 투명성 향상과 같은 더 나은 보안 관행을 약속했습니다.

2013 년은 보안 전문가와 개인 모두에게 바빴습니다. 다음은 해당 연도의 중요한 보안 사례를 특별한 순서로 검토 한 것입니다.

비밀 NSA 감시 프로그램

우리는 NSA 계시만으로 열 전체를 채울 수있었습니다. 전화 기록 수집 프로그램에 관한 초기 기사는 충분히 충격적 이었지만 이후의 각 계시가 이전보다 더 폭발적인 느낌이 들었습니다. 에이전시는 웹 활동을 감시하고, 구글과 야후 데이터 센터를 오가는 트래픽 스누핑, 전자 기기에 스파이웨어와 백도어를 설치하기위한 선적을 가로 채며, 다른 국가와 게이머의 리더에게 도청 된 것으로 추정된다. 키이스 알렉산더 NSA 소장은 기관이 그 경계 안에서 행동하고 시민의 자유를 보존하는 데 신중해야한다고 주장하면서 개혁에 대한 요구가 점점 커지고있다. 의회는 보수적 연방 판사 인 클레이 만 v. 오바마에서 NSA의 전화 기록 프로그램이 제 4 차 수정안을 위반했을 가능성이 있으며 백악관이 선정한 독립 패널이 NSA를 추천했다고 NSA의 문제에 대해 어떻게해야하는지 토론하고있다. 프로그램을 축소해야합니다.

애플의 팀 쿡, 구글의 에릭 슈미트, 야후의 마리사 메이어를 포함한 그룹의 거대 기업들은 버락 오바마 대통령과 NSA의 활동에 대한 우려에 대해 이야기했다. AOL, 애플, 페이스 북, 구글, 링크드 인, 트위터, 야후 및 마이크로 소프트는 정부가 국민의 안전과 보안을 보호하기 위해 조치를 취해야한다고 요구하기 위해 "현재의 법률과 관행을 개혁해야한다"고 요구했다.

더 많은 회사들이 정부에 어떤 종류의 정보를 제공하는지 공개하기 위해 투명성 보고서를 발표하고 있으며 사용자에 대한 정보를 전달하지 않기 위해 암호화 된 이메일 서비스 Lavabit가 종료되었습니다. EMC의 보안 부서 인 RSA는 현재 로이터의 보고서에 따르면 보안 제품에서 손상된 암호화 알고리즘을 푸시하기 위해 NSA에서 천만 달러가 걸렸다 고 로이터의 명성을 지키고 있습니다.

중국, 중국, 중국

우리는 NSA의 활동에 관한 정보의 물결에 매료되어 2013 년에 사이버 스파이 활동에서 중국의 역할을 설명하는 폭발적인 보고서로 시작한 것을 잊기 쉽습니다. Mandiant의 APT1 보고서는 중국의 사이버 공격자가 미국의 비즈니스 및 정부 네트워크에 침입하기 위해 무엇을했는지 명확하게 제시 한 최초의 성명서입니다. 이 보고서는 이러한 공격자가 지적 재산을 훔치고 백도어를 설치하고 시스템을 손상시키는 방법을 설명했습니다.

보고서가 발표 된 직후, 다양한 정부 관리들이 중국의 활동에 대해 연설했습니다. 5 월, 미 국방부의 중국에 관한 연례 보고서는 미국 정부에 대한 정부 및 군사 공격에 대해 국가 정부를 직접 비난했다. 오바마 대통령은 심지어 중국 대통령 시진핑과의 회의에서 고발을 제기했다. 중국 정부는 미국도 본질적으로 똑같은 일을했다고 비난했다. (Snowden에 대한 약간의 예표?)

미디어 콘센트에 대한 공격

미디어는 올해 뉴욕 타임즈 (New York Times), 워싱턴 포스트 (Washington Post) 및 월스트리트 저널 (Wall Street Journal)에서 정교한 악성 코드에 감염되었다고 공개하면서 공격을 받았습니다. 의혹의 손가락은 중국을 지적했다. 시리아 전자 군대는 양파, 가디언 및 기타 아울렛의 트위터 계정에 대해 엄청나게 벌어졌습니다. AP의 트위터 계정 "가장 깨기: 백악관과 버락 오바마에서 두 번의 폭발로 부상을 입었다"는 가짜 다우 존스가 일시적으로 140 포인트를 떨어 뜨려 주식 시장에 약간의 실수를 일으켰다.

SEA가 사이트의 도메인 이름 시스템 설정을 변경 한 New York Times 웹 사이트에 대한 공격은 공격자가 웹 작업을 얼마나 쉽게 방해 할 수 있는지 강조했습니다. 이 공격의 SEA는 네트워크를 해킹하지도 않았으며 그룹은 스피어 피싱을 통해이 공격을 수행했습니다.

응용 프로그램 보안에 집중

Affordable Care Act와 Healthcare Exchange 웹 사이트의 출시는 보안 테스트의 중요성을 최우선으로 여겼습니다. 보안 전문가는 응용 프로그램을 시작하기 전에 보안 문제를 테스트하는 것이 얼마나 중요한지 알고 있지만, 시계가 작동하고 제품을 제 시간에 배송하기 위해 시간이 다 떨어지면 보안이 중단됩니다. 시작된 롤아웃 이후 HealthCare.gov에서 확인 된 일부 문제는 공격자가 사이트를 대상으로 할 가능성을 높였습니다. 개인이 사이트의 다른 사용자에게 속한 민감한 정보를보고했다는보고가있었습니다.

사가 전체를 수행 한 임원들은 다음 번에 주요 애플리케이션 롤아웃이있을 때 보안 테스트를 빨리 건너 뛰지 않을 것입니다. 또는 희망합니다.

분산 서비스 거부 공격

DDoS는 새로운 것이 아니지만 올해에는 두 가지 주요한 발전이있었습니다. DDoS는 특히 Ababil 작전의 일환으로 금융 사이트에 자주 사용되었지만 공격자는 다른 산업을 포함하도록 목표를 확장했습니다. 올해 가장 큰 공격 중 하나는 3 월 Spamhaus에 대한 공격으로 최고치가 300gbps에 달했습니다.

주요 사이버 범죄 체포

5 월, 뉴욕 동부 지역의 5 월 미국 변호사는 도난 계정 정보와 관련된 4 천 5 백만 달러의 은행 습격에 대한 고발을 발표했습니다. 갱단은 계좌 정보를 훔치기 위해 금융 기관에 해킹 한 다음 ATM에서 수백만 달러를 인출했다고합니다.

7 월 미국 뉴저지 변호사는 17 개 이상의 주요 소매 업체, 금융 기관 및 지불 처리 업체의 컴퓨터 네트워크를 위반하여 1 억 6 천만 건 이상의 신용 및 직불 카드 번호를 훔친 사이버 범죄자 링을 추가로 청구했습니다. 대상 네트워크로는 Nasdaq, 7-Eleven, Visa 및 JC Penney 등이 있습니다.

러시아 당국은 블랙홀 익스플로잇 키트의 제작자 인 Paunch를 체포했다고 주장했다. 보안 전문가들은 체포로 현재 사이버 범죄자들이 밀려 들고있는 빈 공간이 있다고 믿고있다. Websense의 보안 연구 책임자 인 Alex Watson은 "Blackhole의 후계자 없이는 사이버 범죄 조직이 악성 코드 전달 메커니즘이 정교하지 않아 잃어버린 수입을 보충하기 위해 다른 곳에 투자하고있을 것"이라고 말했다.

관수 공격

올해 웹 사이트가 해킹되어 페이스 북, 애플, 마이크로 소프트, 트위터와 같은 주요 기술 회사의 직원뿐만 아니라 국방 계약자 및 공무원을 상대로 해킹당했습니다. 이러한 워터 링 홀 공격은 Internet Explorer, Java 및 기타 일반적으로 사용되는 기술의 제로 데이 취약점을 이용했습니다.

공격자들이 중부 티베트 행정부와 티베트 주택 재단을 방문하는 중국어 권의 사람들과 동부 투르키스탄 이슬람 협회에 의해 유지되는 위구르어 웹 사이트를 공격하는 중국인을 대상으로하면서 티벳 공격 운동가들에게도 물을주는 공격이 발견되었습니다.

Experian 데이터 위반

우리는 마지막 주요 데이터 유출을 기억하고 이전에 온 다른 모든 데이터를 잊어 버리는 경향이 있습니다. 연말 쇼핑 시즌 동안 거의 4 천만 개의 직불 카드 및 신용 카드 번호가 노출 된 Target이 최근 데이터 유출로 어려움을 겪는 반면 사용자 정보와 관련된 가장 무서운 데이터 유출은 Experian 데이터 유출이었습니다.

Experian은 개인 정보 (사회 보장 번호, 주소, 은행 계좌 정보)를 사고 파는 비즈니스 조직 중 하나입니다. 보안 작가 브라이언 크렙스 (Brian Krebs)의 조사에 따르면이 정보는 해외 범죄 반지에 팔렸다. 또한이 위반은 사람들이 자신의 차량을 소유하거나 거주했던 곳을 말함으로써 자신의 신원을 확인하도록 요청받는 많은 지식 기반 인증 시스템이 이제 훨씬 더 취약하다는 사실을 강조했습니다.

사람들은 온라인 개인 정보 보호를 위해 일어나

구글 글래스 "탐색기"의 첫 물결로 구글이 웨어러블 기술의 미래를 열었을 때 사람들은 놀랐다. 사람들은 마침내 얼굴 인식과 온라인에 게시 할 수있는 모든 내용이 개인 정보 보호에 미칠 수있는 영향을 인식했습니다. 기술의 미래는 프라이버시가 없거나 프라이버시 위협으로 레스토랑이나 다른 시설에서 사람들을 사로 잡을 수 있는가?

우리는 새로운 공격, 전국 인터넷, 온라인 지불, 모바일 보안 및 사물 인터넷에 대한 예측을 통해 이미 2014 년을 앞두고있었습니다. 2014 년에 오신 것을 환영합니다. 1 년의 불확실성 또는 승리일까요? 보안의 기복을 따라 새해에 보안 시계를 고수하십시오.