Based on data driven security (Verizon DBIR2019) and Incident Response ported from aviation, we analysed cognitive biases of underlying cybersecurity incidents and data breaches building action plan that covers human factors detected. Illustrated with Equifax data breach reach reports.
5. brown bag:
Data breaches requires deeper analysis based on data and facts, not surface review
Perspective shift is required for Incident Response process (grey box testing)
Technology issues are symptoms not root cause of data breach incidents
Processes are critically dependent on people habits
People are not guided how to mitigate Dirty Dozen of human error factors
Golden Triangle of People, Processes and Technology is in reality cognitive biased
13. https://www.csoonline.com/article/2130877/the-biggest-data-breaches-of-the-21st-century.html
testing as a user…
When Who How What
2018 Marriott Acquired hacked company
(Starwood)
500 million
2017 Equifax Hacking (platform vulnerability) 143 million
2016 Adult Friend Finder Hacking (Local File Inclusion) 412 million
2016 Uber AWS credentials on Github 57 million
2015 Anthem Phishing/malware 78 million
2014 eBay User credentials 145 million
JP Morgan Chase Hacking 83 million
Home Depot Malware/trojanAV 56 million
2013 Yahoo User account hacked 3 billion
2012 Target Stores Third party HVAC system 110 million
2008 OPM Hacking 22 million
2006 Sony Hacking 77 million
14. dirty dozen of human errors
is root cause of all cyber incidents.
15. testing as User with Access to Internals
…Who How Why
Marriott Acquired hacked company
(Starwood)
Lack of communication, norms, lack of team work, lack of knowledge
Equifax Hacking (platform vulnerability) Lack of resources, pressure, lack of team work, lack of awareness
Adult Friend Finder Hacking (Local File Inclusion) Lack of resources, pressure, lack of team work, lack of awareness, stress
Uber AWS credentials on Github Norms, complacency, pressure, lack of resources, lack of team work
Anthem Phishing/malware Lack of assertiveness, stress, pressure, fatigue, complacency, lack of awareness
eBay User credentials Norms, lack of awareness, pressure, fatigue, lack of resources
JP Morgan Chase Hacking Lack of resources, pressure, lack of team work, lack of awareness, stress
Home Depot Malware/trojanAV Lack of resources, pressure, lack of team work, lack of awareness, stress
Yahoo User account hacked Norms, lack of awareness, pressure, fatigue, lack of resources
Target Stores Third party HVAC system Lack of communication, norms, lack of team work, lack of knowledge
OPM Hacking Lack of resources, pressure, lack of team work, lack of awareness, stress
Sony Hacking Lack of resources, pressure, lack of team work, lack of awareness, stress
16. cybersecurity Dunning-Kruger Effect
confidence vs competence
What you really know
Realized lack of knowledge
You are sure you are safe
You think you know,
but still don’t know
what you don’t know
You think you are safe
But you don’t know
what you don’t know You find your self vulnerable
You know what you don’t know
External audit, penetration tests, awareness exercise or cyber incident
You know what to do to feel safe
You know, what you need to know
to minimalize impact on you
from what you don’t know yet
21. impact of Equifax data breach
loss or theft of resources, including money
and intellectual property, and identity theft
harm to national security
loss of privacy, emotional distress, or
reputational harm
loss of public confidence
inappropriate access to and disclosure, modification,
or destruction of sensitive information
use of computer services for unauthorized purposes
or to launch an attack on other computer systems
damage to networks and equipment
high costs to remediate the effects of the breach
Security budget
Oct 2017 $38 mln
22. testing as User with Access to Internals
B. Failed traffic inspection caused by expired certificate
A. Ineffective CISO location
https://www.gao.gov/assets/700/694158.pdf
https://republicans-oversight.house.gov/wp-content/uploads/2018/12/Equifax-Report.pdf
25. timeline of events:
https://www.gao.gov/assets/700/694158.pdf
https://republicans-oversight.house.gov/wp-content/uploads/2018/12/Equifax-Report.pdf
https://www.gracefulsecurity.com/equifax-breach-timeline/
2016
Jan Equifax’s network encrypted traffic inspection system SSL certificate is expired
2017
Mar 7 CVE-2017-5638 Apache Struts and patch announcement
Mar 8 US-CERT sends Equifax an alert to patch Apache Struts software
Mar 9 Equifax’s internal communication to apply the critical patch within 48 hours
Mar 10 First evidence of malicious activity (system commands execution) at Equifax network
Mar 15 Equifax based on security scans failed to find any vulnerability on external systems
May 13 Repeated malicious activity at ACIS application and dropping about 30 web-shells in network
Hackers gained unauthorized access to Equifax databases through an Equifax legacy environment.
Malicious actor leverage clear text credentials to access over 50 Equifax databases
Attackers perform approximately 9,000 queries to sensitive databases within Equifax system.
Jul 29 Equifax renews the expired security certificate, found and block suspicious traffic
Jul 30 Equifax’s detect additional malicious activity, disable the ACIS system. Internal incident notification.
Jul 31 Equifax’s CIO informs CEO about incident with impacted PII
Aug 2 Equifax engages law firm King and Spalding, hires cybersecurity firm Mandiant and informs the FBI
Aug 24 Mandiant confirms volume of PII accessed
Sept 7 Equifax notifies the public of the breach
Sept 9 Equifax twitter account accidentally and repeatedly directs users to phishing/research site
Sept 15 Equifax CIO and CSO announce their retirements
Sept 26 Equifax CEO announces his retirement
Oct 12 Equifax announces it has removed malicious software from its Credit Assistance site.
2018
Mar 1 Equifax releases updated information on the 2017 breach
Equifax time to patch: 138 Days
Equifax time to notice compromise: 78 Days
Equifax time to notify public: 117 Days
27. documented risks before data breach:
https://republicans-oversight.house.gov/wp-content/uploads/2018/12/Equifax-Report.pdf
Security Concern 1
There is no segmentation between the Sun application
servers and the rest of the [Equifax] network. An attacker
that gains control of the application server from the internet
can pivot to any other device, database, or server within the
[Equifax] network, globally.
Security Concern 2
File Integrity Monitoring (FIM) is not in place on either
the application or webservers, which would allow for
alerting and detecting of any unauthorized changes
within either environment.
Security Concern 3
The Sun systems have a shared file system across the
environment that allows for access to any of the
administrator files from one system to the next. This
allows for any notes or configuration files from one
system to be accessed from any other system.
Security Concern 4
Logging of the web servers is only retained for 14 days,
and 30 days online, making it difficult, to impossible, to
reconstruct any malicious activity.
Security Concern 5
A complete software inventory of the resources used
within the application is not maintained. This requires
a complete code review to identify any potential
weaknesses, rather than rapid identification of
individual component vulnerabilities, as the individual
open source components are not well understood or
documented.
Security Concern 6
Consistent and timely patching of [the legacy
Sun/Solaris] systems as a general observation is a
concern.
33. creates, implements and maintains PROCESSES
designs TECHNOLOGY to support PROCESSES
uses TECHNOLOGY to run BUSINESSPEOPLE
PEOPLE
REAL GOLDEN TRIANGLE
34. norms
pressure
lack of teamwork lack of
assertiveness
lack of
communication
lack of
awareness
Action plan:
Use Checklists
Ask questions
Have doubt
Confirm when in doubt
Don’t try (know what to do)
Update yourself
Challenge others
Consider diversity
Have a plan
Don’t accept if not agree
Do what’s right, not easy
Welcome feedback
Take a brake
Never cross your rules
Take care of yourself
Dirty Dozen Human Errors Triangle
36. Brak komunikacji personalny
Słaba lub nieistniejąca komunikacja
Przekłamania w komunikacji
Odbiorca informacji tworzy założenia odnośnie treści komunikacji
Powinieneś wiedzieć, że zrozumiałe jest tylko 30% komunikacji werbalnej
Powinieneś wiedzieć, że zwykle zapamiętany i zrozumiany jest tylko początek
i koniec wiadomości
Język ciała jest źle rozumiany lub lekceważony w komunikacji międzyludzkiej
Zapisz złożone instrukcje
Używaj list kontrolnych, dzienników, aby informować o postępie pracy
Nigdy nie zakładaj, że praca została zakończona
Zapytaj, jeśli nie rozumiesz
Potwierdź, jeśli nie jesteś pewien
Strzeż się wpływu kultury na interpretację wiadomości
Zwróć uwagę na język ciała
Zawsze powtarzaj najbardziej krytyczną część komunikatu na końcu
Brak wiedzy organizacyjny
Działanie w oparciu o przestarzałą dokumentację może spowodować chaos
lub błąd w procesie
Wykonywanie pracy bez wcześniejszego szkolenia może narazić pracownika
na ryzyko i zaszkodzić reputacji firmy
Próba rozwiązania problemu bez wiedzy i umiejętności skutecznego działania
może zmienić problem w kryzys
Wykonuj tylko zadanie, do którego jesteś przeszkolony
Nie próbuj pomagać, jeśli nie wiesz jak
Jeśli nie wiesz, poproś o pomoc
Zaktualizuj swoją wiedzę i dokumentację do aktualnego stanu
Brak pracy zespołowej organizacyjny
Pojedynczy punkt awarii, pięta achillesowa
Wiedza, siła, koncentracja działań - tworzenie sytuacji: szyjki butelki,
wąskiego przesmyku
Marnowanie zasobów z powodu braku zrozumienia wspólnego celu
Degradacja komunikacji z powodu problemów społecznych lub braku
zasobów ludzkich
Marnowanie zasobów z powodu dowodzenia kompetencji
Zachęcaj do gry zespołowej i komunikacji
Wszyscy członkowie zespołu muszą rozumieć wspólny cel i sposób radzenia sobie z nim, w tym swoje obowiązki
Promuj współpracowników którzy myślą o bezpieczeństwie
Promuj dyskusję, aby rozwiązać problemy
Urozmaicaj umiejętności i punkty widzenia
Zachęcaj do wyzwania
Świętuj sukces
Brak zasobów organizacyjny
Obawy dotyczące bezpieczeństwa i jakości ze względu na improwizowane lub
przestarzałe zasoby
Presja na pracownika, która wzmacnia negatywne efekty innych elementów
błędów ludzkich
Przekraczanie wyznaczonej granicy lub wymuszona kreatywność
pracowników prowadząće do szkodliwego wpływu na zgodność i
bezpieczeństwo
Planuj wykorzystanie zasobów, utrzymuj zasoby i zapasy
Zarządzaj cyklem życia zasobów
Optymalizuj wykorzystanie zasobów
Proś o zasoby, jeśli może to mieć wpływ na bezpieczeństwo
Nie zgadzaj się z naruszeniami bezpieczeństwa - prawdopodobnie weźmiesz na siebie odpowiedzialność, gdy coś
pójdzie nie tak
Zwyczaje personalny
Przekroczenie wyznaczonych standardami zasad w większości przypadków
jest błędnym pomysłem i powoduje straty i potencjalną szkodę dla
pracownika
Utrzymywanie niewłaściwej normy jako standardowej procedury działania lub
cichej umowy pracownika może poważnie zaszkodzić pracownikowi, wpłynąć
na proces lub firmę
Upewnij się, że wszyscy przestrzegają tego samego standardu
Nawet jeśli coś wygląda normalnie, nie oznacza to automatycznie że jest poprawne
Najłatwiejszy sposób osiągnięcia czegoś nie koniecznie musi być tym co zaleca standard
Wyeliminuj negatywne standardy, dyskutując na ten temat
Brak asertywności personalny
Tłumienie obaw, uczuć, opini, przekonań i potrzeb
Stosowanie kultury strachu i fałszywej odpowiedzialności
Fałszowanie lub nieudana komunikacja i unikanie rozwiązania głównej
przyczyny problemu
Tworzenie fałszywego obrazu poprzez uogólnienia
Nigdy nie łam swoich standardów
Zapewnij wyraźną informację zwrotną, gdy ryzyko lub zagrożenie są postrzegane
Wypowiadaj się zachowując spokój, racjonalnie i używając konkretnych przykładów zamiast uogólnień
Jeśli krytykujesz, to zawsze działania i ich konsekwencje, a nie ludzi i ich osobowości
Przyjmij opinię i informację zwrotną
Zdaj sobie sprawę, że to Twój obowiązek, twoja decyzja i przyszłość
37. Brak
świadomości
personalny
Brak świadomości co do piastowanej roli i zrozumienia jej wpływu może wyrządzić szkody
pracownikowi lub firmie
Brak szerszej perspektywy i dostępu do informacji może prowadzić do selektywnego postrzegania i
wpływać na wykonywane czynności w tym ich skuteczność
Brak przewidywania skuktów może prowadzić do poważnych incydentów wpływających na ludzkie
życie lub markę firmy
Używaj list kontrolnych, dzienników itp.
Nie zakładaj sytuacji, poproś o wyjaśnienie, poproś o sprawdzenie
Ciągłe pytaj „co jeśli ...?”
Promuj doświadczenie poprzez dzielenie się wiedzą i świadomość sytuacyjną
Promuj rozwój oceny konsekwencji
Przecenianie
siebie
personalny
Poleganie na zwyczaju, przyzwyczajeniu lub nawyku
Posiadanie nadmiernego optymizmu z tendencją do ignorowania oczywistych informacji
Przecenianie sił, wiara w niezawodność
Ignorowanie znaków ostrzegawczych, działanie wbrew rozsądkowi w imię nawyku
Zawsze oczekuj, że coś pójdzie nie tak
Nigdy nie podpisuj się pod czymś, co nie zostało w pełni zweryfikowane lub
dostarczone
Zawsze sprawdzaj swoją pracę
Nigdy nie narażaj się na ryzykowną sytuację, licząc na szczęście lub doświadczenie
Utrata uwagi personalny
Rozproszony pracownik może łatwo przegapić część procesu i doprowadzić do błędu
Może być spowodowana lub wzmocniona przez inne czynniki, takie jak zmęczenie, stres, pewność
siebie, przez co znacząco może wpłynąć na wydajność
Doprowadza do powstania opóźnień, błędów spowodowanych chaotyczną lub niechlujną pracą
Użyj szczegółowej listy kontrolnej
Zabezpiecz swoje miejsce pracy i narzędzia, utrzymuj je w bezpiecznym i czystym
miejscu, aby uniknąć niespodzianek
Jeśli nie możesz skupić się na pracy, zrób sobie przerwę, aby odzyskać skupienie
Po wznowieniu pracy, zacznij od ponownego sprawdzenia tego, co według Ciebie
jest już ukończone
Zmęczenie organizacyjny
Zmęczony pracownik może podejmować szkodliwe decyzje,
Gdy objawy są ignorowane, może doprowadzić do ryzykownych dla zdrowia sytuacji (jak np.
omdlenie czy upadki, ale również inne wypadki przy pracy)
Próby ukończenia pracy za wszelką cenę mogą doprowadzić do poważnych zagrożeń dla
pracownika i procesu z powodu popełnionego błędu lub utraty kontroli nad stosowanymi
narzędziami.
Zwiększony negatywny wpływ i prawdopodobieństwo wystąpienia w połączeniu z innym
czynnikiem błędów ludzkich.
Zadbaj o siebie, odżywiaj się zdrowo, bądź aktywny i utrzymuj regularny sen
Odłóż złożone zadania, jeśli wiesz, że jesteś wyczerpany
Bądź świadomy objawów zmęczenia u siebie i współpracowników
Zrób sobie krótką przerwę, aby odświeżyć mięśnie i umysł
Presja organizacyjny
Bez względu na to czy wewnętrzna czy zewnętrzna, presja może wpływać na proces lub produkt w
sposób, który szkodzi reputacji organizacji
Tworzenie fałszywego obrazu warunków pracy lub ukrywanie realnych warunków pracy może
wpłynąć na termin realizacji projektu lub relacje z klientem w Twojej firmie
Upewnij się, że samodzielnienie nie tworzysz zbędnej presji na siebie
Poproś o dodatkową pomoc, jeśli czas jest problemem
Zamiast się spieszyć, poproś o więcej czasu jeśli uważasz że będzie Ci potrzebny do
ukończenia pracy.
Stres organizacyjny
Jeśli wymagania są zbyt wysokie lub nie są zarządzane, Twoja podświadomość zareaguje stresem,
który długoterminowo wpływa szkodliwie na Twoją postawę i stan zdrowia.
Stres znacznie wzmacnia reakcję pracownika na inne czynniki, zwiększając ryzyko utraty zdrowia
pracownika lub błędu w procesie
Zmniejsz poziom stresu, biorąc czas wolny lub krótką przerwę
Poproś współpracowników o monitorowanie Twojej pracy
Ćwicz, jedz zdrowo i zapewnij sobie wystarczającą ilość odpoczynku, aby utrzymać
poziom stresu pod kontrolą
Poznaj swoje ograniczenia i gdy oczekiwania wobec Ciebie wzrosną wyraźnie się do
nich odnieś w komunikacji z przełożonym