dxdt.ru: занимательный интернет-журнал

Осенью прошлого года у большой штатовской торговой компании – Target – случилась утечка данных. Утекли дампы платёжных карт клиентов. Дампы собирались в POS-терминалах, заражённых специальным ПО, а позже переправлялись наружу, как говорят, через пару захваченных узлов внутри сети Target. История шумная.

Так вот, пишут, что для получения удалённого доступа к сетям Target авторы атаки использовали реквизиты третьей компании – подрядчика, занимавшегося холодильным оборудованием. Если это так, то мы тут можем наблюдать хрестоматийный пример неверной модели угроз, использовавшейся в Target. Конечно, нужно предположить, что у них в службе ИБ вообще была разработана и использовалась какая-то модель угроз.

Платёжные системы у Target были подключены к общей инфраструктуре. В таком случае, внешние подрядчики, имеющие удалённый доступ к защищаемой сети, и, потенциально, распространяющие его где вздумается – это замечательная дыра в периметре. Но её не учли, вероятно потому, что защищались от традиционного “проникновения вирусов” и “вторжения из Интернета”. Сценарий же, похоже, был таким: кто-то, ради интереса просматривая снаружи взломанные (ввиду общей дырявости) вычислительные системы подрядчика Target, случайно наткнулся на реквизиты доступа к сетям последнего, сохранённые в какой-нибудь инструкции для сотрудников бухгалтерии, в интранете. Удачно.

Да, так оно обычно бывает.

Адрес записки: https://dxdt.ru/2014/02/07/6611/