Утечки Личных Данных: Увеличивающаяся Угроза Киберпреступности
Личные данные царят в темной паутине, принося миллиарды долларов мошенничества ежегодно. Высокопрофильные утечки, связанные с Santander, TicketMaster, Snowflake и недавно Advanced Auto Parts и LendingTree, показывают, как быстро злоумышленники используют уязвимости в организационной безопасности. TechCrunch подтвердил, что сотни паролей клиентов Snowflake, связанных с вредоносным ПО для кражи данных, сейчас доступны онлайн. Решение Snowflake сделать многофакторную аутентификацию (MFA) необязательной, а не обязательной, усугубило кризис идентичности для его скомпрометированных клиентов.
Интеллект Киберпреступности: Совместная Угроза
Организации киберпреступности и государства с каждым годом становятся все более уверенными в проведении утечек данных, предположительно сотрудничая с поставщиками киберпреступного интеллекта через Telegram. Hudson Rock, поставщик киберразведки, недавно опубликовал блог от 31 мая, в котором описывается, как злоумышленники проникли в систему Snowflake. В блоге упоминалась беседа с хакером, ответственным за предыдущие утечки в Santander и TicketMaster.
Удалённый блог описывал, как злоумышленник получил доступ к учетной записи ServiceNow сотрудника Snowflake с помощью украденных учетных данных, минуя OKTA. Побывав внутри, он создал токены сессии, чтобы бесшумно перемещаться по системам Snowflake и извлекать огромные объемы данных.
Однофакторная Аутентификация: Серьезная Уязвимость
Платформа Snowflake по умолчанию использует однофакторную аутентификацию, что представляет серьезные риски для безопасности. В их документации говорится: "По умолчанию MFA не включена для отдельных пользователей Snowflake." Злоумышленники специально нацелились на пользователей, использующих однофакторную аутентификацию, применяя учетные данные, полученные через вредоносное ПО. CISA выпустила предупреждение для всех клиентов Snowflake.
Расследования Snowflake, CrowdStrike и Mandiant показывают, что злоумышленники получили доступ к демонстрационным аккаунтам с помощью учетных данных бывшего сотрудника. Эти аккаунты, не имеющие надежных мер безопасности, таких как Okta или MFA, стали точкой входа в системы Snowflake. Однако компания утверждает, что нет доказательств системной уязвимости или утечки на их платформе.
Широкие Утечки Данных, Затрагивающие Миллионы
Одна из крупнейших утечек в истории Santander затронула кредитные карты и личные данные до 30 миллионов клиентов. Тем временем, в результате отдельной утечки данные 560 миллионов клиентов TicketMaster были украдены, включая имена, адреса, электронные почты, номера телефонов и данные кредитных карт. Хакерская группа ShinyHunters активно продает эти украденные данные на возобновленных BreachForums.
Кроме того, еще один пользователь BreachForums, Sp1d3r, заявил, что получил информацию от двух дополнительных компаний, связанных с инцидентом Snowflake. В это входит информация от Advanced Auto Parts, содержащая данные о 380 миллионах клиентов, а также от кредитных сервисов LendingTree и QuoteWizard, содержащих 190 миллионов профилей.
Проактивные Меры: Прозрачность Уведомлений о Нарушениях
CISO и руководители по безопасности признают важность прозрачности при раскрытии значительных событий кибербезопасности. Santander и TicketMaster быстро сообщили о несанкционированном доступе к своим облачным базам данных сторонних поставщиков.
Live Nation, материнская компания TicketMaster, подала 8-K в SEC, в котором сообщается, что 20 мая они обнаружили несанкционированные действия и начали расследование. В документе раскрывается, что 27 мая хакер предложил данные компании на продажу в темной сети. Santander подтвердила это своим заявлением, подтвердив несанкционированный доступ к своим базам данных, размещённым у сторонних поставщиков.
Переосмысляя Доверие: Укрепление Безопасности Идентичности
Уверенность злоумышленников в компрометации почти 600 миллионов записей подчеркивает необходимость пересмотра стратегий защиты идентичности. Чрезмерная зависимость от методов аутентификации увеличивает уязвимость к утечкам.
Применение модели нулевого доверия, предполагающей, что утечки могли уже произойти, является жизненно важным. 78% предприятий сообщают, что утечки, связанные с идентификацией, негативно сказались на их работе в этом году. Среди пострадавших 96% считают, что более раннее внедрение мер нулевого доверия могло бы предотвратить инциденты.
IAM (Управление Идентификацией и Доступом) является центральным элементом нулевого доверия и соответствует рекомендациям NIST SP 800-207. Кроме того, безопасность личных данных является ключевым аспектом Исполнительного указа президента Байдена номер 14028.
Организации всё чаще оценивают современные методы аутентификации для снижения рисков. Несмотря на достижения, пароли по-прежнему представляют собой значительные проблемы. Аналитики Gartner отмечают: "Несмотря на появление беспарольной аутентификации, пароли остаются в многих случаях использования и продолжают быть источником риска и неудовлетворенности пользователей."
CISO сосредоточены на укреплении контроля аутентификации, подчеркивая следующее:
- Быстрая реализация непрерывной аутентификации для каждой идентичности.
- Улучшение гигиеничности учетных данных и увеличение частоты их изменения.
- Ограничение пользователей проверенным списком приложений для снижения рисков.
- Использование систем AM для мониторинга всех действий, связанных с идентичностью.
- Улучшение самообслуживания пользователей, BYOI и расширение внешних случаев использования.
Для борьбы с кризисом идентичности CISO нужны удобные системы беспарольной аутентификации, которые адаптируются к любому устройству, не жертвуя при этом безопасностью. Ведущие решения включают Microsoft Authenticator, Okta, Duo Security, Auth0, Yubico и Ivanti’s Zero Sign-On (ZSO).