خرقات الهوية: تهديد متزايد في عالم الجرائم الإلكترونية
تتربع الهويات على قمة الأنشطة في الويب المظلم، مما يغذي عمليات احتيال تقدر بمليارات الدولارات سنويًا. خروقات بارزة تتضمن كل من Santander وTicketMaster وSnowflake، وأخيرًا Advanced Auto Parts وLendingTree، توضح كيف يستغل المهاجمون الثغرات بسرعة في أمان المؤسسات. وقد أكدت TechCrunch أن كلمات مرور مئات عملاء Snowflake المرتبطة ببرمجيات سرقة المعلومات أصبحت متاحة الآن على الإنترنت. إن اختيار Snowflake جعل المصادقة متعددة العوامل (MFA) اختيارية، بدلاً من إلزامية، قد زاد من تفاقم أزمة الهوية التي يواجهها عملاؤها المتضررون.
ذكاء الجرائم الإلكترونية: بيئة تهديد تعاونية
تكتسب منظمات الجرائم الإلكترونية والدول القومية ثقة متزايدة في تنفيذ خروقات الهوية، حيث يزعم أنهم يتعاونون مع مقدمي ذكاء الجرائم الإلكترونية عبر تطبيق Telegram. وقد نشرت Hudson Rock، مزود ذكاء الجرائم الإلكترونية، مؤخرًا مدونة في 31 مايو، تسلط الضوء على كيفية خرق المهاجمين لـ Snowflake. وشملت المحادثة مع القراصنة الذين نفذوا خروقات سابقة في Santander وTicketMaster.
ذكرت المدونة التي أزيلت لاحقًا أن المهاجم تمكّن من دخول حساب أحد موظفي Snowflake على ServiceNow باستخدام بيانات اعتماد مسروقة، متجاوزًا نظام OKTA. وبمجرد الدخول، قاموا بإنشاء رموز جلسة للتنقل في أنظمة Snowflake دون أن يتم اكتشافهم وسرقة كميات هائلة من البيانات.
المصادقة ذات العامل الواحد: ضعف كبير
تستخدم منصة Snowflake المصادقة ذات العامل الواحد بشكل افتراضي، مما يطرح مخاطر أمنية خطيرة. وتفيد وثائقهم: "كقاعدة عامة، لا يتم تمكين MFA لمستخدمي Snowflake بشكل فردي." وقد استهدف المهاجمون مستخدمين يعتمدون بشكل كبير على المصادقة ذات العامل الواحد باستخدام بيانات اعتماد حصلوا عليها عبر برمجيات سرقة المعلومات. كما أصدرت CISA تحذيرًا لجميع عملاء Snowflake.
أظهرت التحقيقات التي أجرتها Snowflake وCrowdStrike وMandiant أن المهاجمين تمكنوا من الوصول إلى حسابات تجريبية من خلال بيانات اعتماد موظف سابق. لم تكن هذه الحسابات تحتوي على تدابير أمنية قوية مثل Okta أو MFA، مما وفر نقطة دخول إلى أنظمة Snowflake. ومع ذلك، تدعي الشركة أنه لا يوجد دليل على وجود خلل نظامي أو خرق في منصتها.
خروقات واسعة النطاق تؤثر على الملايين
واحدة من أكبر الخروقات في تاريخ Santander قد تكون تعرضت لبطاقات الائتمان ومعلومات شخصية لما يصل إلى 30 مليون عميل. في الوقت نفسه، تم تسريب بيانات 560 مليون عميل من TicketMaster في خرق منفصل، مما كشف عن الأسماء والعناوين والبريد الإلكتروني وأرقام الهواتف وتفاصيل بطاقات الائتمان. كانت مجموعة القراصنة ShinyHunters نشطة في بيع هذه البيانات المسروقة على منتدى BreachForums الذي تم إحياؤه.
علاوة على ذلك، ادعى مستخدم آخر في BreachForums، Sp1d3r، أنه حصل على معلومات من شركتين إضافيتين مرتبطتين بحادثة Snowflake. وتشمل هذه البيانات من Advanced Auto Parts، والتي تتعلق بـ 380 مليون تفاصيل زبون، ومقدمي خدمات الإقراض LendingTree وQuoteWizard، اللذين يحتويان على 190 مليون ملف.
استجابات استباقية: الشفافية في إخطار الخروقات
يدرك رؤساء أمن المعلومات وقادة الأمن أهمية الشفافية عند الإبلاغ عن أحداث الأمن السيبراني الكبيرة. قام Santander وTicketMaster بالإبلاغ بسرعة عن الوصول غير المصرح به إلى قواعد بياناتهم السحابية الخاصة بالطرف الثالث.
قدمت Live Nation، الشركة الأم لـ TicketMaster، نموذج 8-K إلى SEC، مشيرةً إلى أنها رصدت نشاطًا غير مصرح به في 20 مايو وبدأت تحقيقًا. وكشف الوثيقة أنه في 27 مايو، عرض قراصنة بيانات الشركة المزعومة للبيع على الويب المظلم.
وأكد Santander ذلك في بيانهم، معترفًا بالوصول غير المصرح به إلى قواعد بياناتهم المستضافة من قبل مقدمي الخدمات من الطرف الثالث.
إعادة التفكير في الثقة: تعزيز أمان الهوية
تؤكد ثقة المهاجمين في اختراق ما يقرب من 600 مليون سجل على الحاجة الملحة لإعادة تقييم استراتيجيات حماية الهوية. إن الاعتماد المفرط على طرق المصادقة يزيد من التعرض للخروقات.
يُعد اعتماد نهج الثقة المعدومة، الذي يفترض أن الخروقات ربما تكون قد حدثت بالفعل، أمرًا حيويًا. تفيد 78% من الشركات أن خروقات الهوية أثرت سلبًا على العمليات هذا العام. ومن بين المتضررين، يعتقد 96% أن تنفيذ تدابير ثقة صفرية تعتمد على الهوية في وقت سابق كان من الممكن أن يمنع الحوادث.
يعد IAM (إدارة الهوية والوصول) محوريًا في الثقة المعدومة ويمتثل لتوجيهات NIST SP 800-207. بالإضافة إلى ذلك، تعد أمان الهوية جانبًا رئيسيًا في الأمر التنفيذي 14028 للرئيس بايدن.
تقوم المؤسسات بشكل متزايد بتقييم طرق المصادقة المتقدمة للتقليل من المخاطر. على الرغم من التقدم، تستمر كلمات المرور في طرح تحديات كبيرة. يشير محللو Gartner إلى أنه "على الرغم من ظهور المصادقة بدون كلمات مرور، لا تزال الكلمات المرور موجودة في العديد من حالات الاستخدام وتبقى مصدر خطر وإحباط كبيرين للمستخدمين."
يركز رؤساء أمن المعلومات على تعزيز ضوابط المصادقة، مع التأكيد على ما يلي:
- تنفيذ المصادقة المستمرة بسرعة لكل هوية.
- تعزيز نظافة بيانات الاعتماد وزيادة تكرار التدوير.
- تقييد المستخدمين بقائمة معتمدة من التطبيقات للتقليل من المخاطر.
- استخدام أنظمة AM لمراقبة جميع الأنشطة المتعلقة بالهوية.
- تحسين خدمات المستخدم الذاتية، وإحضار الهوية الخاصة بهم، وتوسيع حالات الاستخدام الخارجية.
لمكافحة أزمة الهوية، يحتاج رؤساء أمن المعلومات إلى نظم مصادقة سهلة الاستخدام عديمة الكلمات السرية تتكيف مع أي جهاز دون المساس بالأمان. تشمل الحلول الرائدة Microsoft Authenticator وOkta وDuo Security وAuth0 وYubico وIvanti’s Zero Sign-On (ZSO).
قائمة الترتيب
