¿Qué precauciones podría haber tomado Sony para evitar el hack?

Además de los controles de tecnología, deben evaluar a los posibles candidatos y empleados muy a fondo, específicamente aquellos en TI y otros departamentos, como Finanzas, que tienen privilegios elevados con respecto al acceso al sistema. Sin embargo, si un delincuente puede llegar a un empleado que tiene acceso administrativo, la única forma de combatirlo es la segregación adecuada de los deberes dentro de controles automatizados extremadamente estrictos de TI (no políticas) que incluyen DLP de última generación con capacidades de monitoreo e informes en tiempo real. De lo contrario, las personas son personas.

La mayoría de las sugerencias anteriores son reactivas (es decir, ya se ha producido algún nivel de pérdida de datos) y están diseñadas para compartimentar y / o limitar la pérdida. Estos son necesarios, pero no suficientes, para implementar una defensa en profundidad adecuada.

Si Sony fuera realmente serio con respecto a la seguridad, podrían haber asegurado los datos contra el compromiso de los atacantes de los niveles de habilidad de los involucrados en el ataque reciente (la pérdida de datos siempre puede ocurrir si hay una información privilegiada a quien se le otorga acceso a los datos y roba o si se emplean todos los recursos de un estado del primer mundo). En este caso particular, parece que una persona con información privilegiada anterior pudo haber estado involucrada, pero el compromiso de personas con información privilegiada anterior puede evitarse de manera efectiva mediante prácticas adecuadas de rotación de claves y frases de contraseña.

La forma de proteger los datos de manera efectiva (incluso en presencia de penetración de la red y acceso de nivel raíz a los servidores por parte de los atacantes) es emplear tecnologías antisabotaje para fortalecer todas las aplicaciones que acceden a datos confidenciales. Estas pueden ser aplicaciones de cliente o aplicaciones de servidor. Todos los datos deben estar encriptados con claves efectivamente ocultas y cualquier acceso a los datos que controlan las aplicaciones debe ser objeto de una autenticación lógica rigurosa (autenticación del dispositivo y del usuario). Con una efectiva tecnología antisabotaje en el lugar, estos rigurosos mecanismos de autenticación no se pueden eludir y, por lo tanto, se evita el acceso a los datos confidenciales, incluso si tanto la aplicación como los datos se levantan o se accede a ellos con privilegios escalados.

Casi ninguna organización civil emplea este nivel de protección para sistemas considerados “seguros” (en virtud del hecho de que están detrás de una defensa perimetral de algún tipo).

Yo agregaría 2 cosas:

Primero, había un puñado de contraseñas que eran “contraseña” o “sony12345”. Por favor amigos, desterremos estos. Ni siquiera necesita un intento de fuerza bruta en este punto, esas serían cosas simples para escribir para probar.

Segundo, si se robaron muchos terabytes, entonces claramente no hay software de monitoreo en los sistemas. Eso debería haberse detectado como patrones de tráfico anormales.

Mi instinto me dice que esto no era RPDC. Se siente como si alguien en el interior pasara credenciales a alguien en el exterior. La forma más fácil de escapar de esa cantidad de datos es en un disco duro en lugar de a través de una puerta de enlace WAN. Supongo que la conexión de la RPDC ocurrió mucho más tarde, como una forma de cubrir sus huellas.

Para agregar a las excelentes respuestas aquí, y dado que la retrospectiva es 20/20, muchas de las etapas del ataque de Sony se pueden asignar a una cadena de asesinato cibernético.

Al monitorear y alertar sobre la actividad en cada etapa, podrían atrapar un ataque antes de que sea demasiado tarde; con el análisis de comportamiento del usuario, se les alertaría sobre el comportamiento sospechoso y la actividad inusual del archivo.

Con la cadena de asesinato cibernético, podrían reconocer, e idealmente prevenir, la actividad que conduce a violaciones de datos y pirateo de redes, desde las fases iniciales de la exploración del sistema, hasta descubrir comportamientos inusuales en la bandeja de entrada del presidente, y copiar sacando los datos de su sistema.

Otras lecturas:

The Cyber ​​Kill Chain o: cómo aprendí a dejar de preocuparme y amar las violaciones de datos \

y

Anatomía de una brecha: Sony

La segregación inadecuada de TI es muy importante. No debería haber una cuenta de super administrador. Si realmente tenían a alguien en el interior, o si solo usaban keyloggers y similares, solo necesitaban obtener la contraseña correcta y podían manipular a Sony.

Contraseña de super administrador combinada con monitoreo limitado (si lo hay) y la infracción no se detecta durante bastante tiempo. Muchas empresas se quedan cortas en seguridad de esta manera.

Puntos más importantes:
La contraseña de superadministrador NO debe tener acceso a datos importantes de la empresa. Los archivos clave de la empresa deben cifrarse en cuentas de usuarios ejecutivos. Los datos en las bases de datos deben estar protegidos contra el acceso de super administrador. Se deben utilizar herramientas de monitoreo de red que señalen picos de datos grandes desde una sola máquina, o si un solo usuario vpn está extrayendo una gran cantidad de datos. Ciertas máquinas deben estar segregadas para que no se pueda acceder a ellas a través de VPN, y esas máquinas deben usarse para asegurar los archivos más críticos (Finanzas, planes de marketing, planes de sucesión de recursos humanos, planes de productos).

Tratar a sus empleados más amables.

Varios ex empleados de Sony han declarado en foros en línea que Sony Studios es el lugar más repugnante para trabajar. Los peces gordos siguen usando a otros humanos como sacos de boxeo. Todo esto es ampliamente conocido. La mayoría de esos sacos de boxeo simplemente se van. Pero de vez en cuando, alguien se defiende.

Si el estudio quiere mantener a los imbéciles por su talento, está bien, pero deben hacer un intento genuino de compensar los sacos de boxeo humanos.

Quiero agregar algunas cosas a las excelentes respuestas aquí.

-Por lo que sabemos, parece que Sony tiene información de seguridad muy sensible en alguna hoja de Excel.

-No se utilizó encriptación alguna en muchos documentos.

Quiero decir, estas cosas no se trata de no tener un profesional de TI haciendo su trabajo, se trata de que las personas sean flojas y tontas.

Si creemos que el informe de la CIA, el 90% de todas las compañías estadounidenses habrían caído en un ataque similar. Pero no tiene que ser tan fácil.