身份洩露:網路犯罪日益嚴重的威脅
身份資訊在黑市上盛行,每年造成數十億美元的詐騙。包括Santander、TicketMaster、Snowflake,近期更有Advanced Auto Parts和LendingTree等知名企業的重大洩露事件,顯示攻擊者能迅速利用組織安全中的漏洞。根據TechCrunch的確認,大量與情報竊取惡意軟體相關的Snowflake客戶密碼目前已在網路上流出。Snowflake選擇將多因素驗證(MFA)設為可選,而非強制,進一步加劇了其受害客戶面臨的身份危機。
網路犯罪情報:協作威脅環境
網路犯罪組織與國家行為者越來越多地合作實施身份洩露,據稱通過Telegram與網路犯罪情報提供者進行聯繫。Hudson Rock,一家網路犯罪情報公司,最近於5月31日發表了一篇部落格,詳述了攻擊者如何入侵Snowflake,並與先前在Santander和TicketMaster進行過攻擊的黑客進行對話。
該已刪除的部落格指出,攻擊者使用被竊取的憑證訪問了一位Snowflake員工的ServiceNow帳號,繞過了OKTA。進入系統後,他們生成會話令牌,在Snowflake的系統中未被發現地進行操作,並竊取大量數據。
單一因素驗證:主要漏洞
Snowflake平台預設為單一因素驗證,這帶來了嚴重的安全風險。其文件指出:「預設情況下,個別Snowflake用戶不啟用MFA。」攻擊者專門針對依賴單一因素驗證的用戶,利用通過信息竊取惡意軟體獲得的憑證。CISA已對所有Snowflake客戶發出警告。
Snowflake、CrowdStrike和Mandiant的調查顯示,攻擊者使用前員工的憑證訪問了演示帳戶。這些帳戶缺乏強大的安全措施如Okta或MFA,為進入Snowflake系統提供了漏洞。然而,該公司堅稱,沒有證據表明其平台存在系統性缺陷或洩露。
廣泛的數據洩露影響數百萬人
Santander歷史上最大的洩露事件之一洩露了多達3000萬客戶的信用卡和個人信息。同時,在另一個洩露事件中,560萬TicketMaster用戶的數據被竊取,包括姓名、地址、電子郵件、電話號碼和信用卡信息。黑客團體ShinyHunters一直在贖金論壇上出售這些被竊取的數據。
此外,另一名贖金論壇用戶Sp1d3r聲稱獲得了與Snowflake事件相關的另一兩家公司的信息,包括Advanced Auto Parts的3.8億客戶資料及貸款服務提供商LendingTree和QuoteWizard的1.9億個個人檔案。
主動應對:洩露通知透明化
CISO和安全領導者認識到,在披露重大網路安全事件時,透明性的重要性。Santander和TicketMaster迅速報告了第三方雲數據庫的未經授權訪問。
Live Nation,即TicketMaster的母公司,向SEC提交了8-K報告,表示他們在5月20日檢測到未經授權的活動並啟動了調查。文件顯示,5月27日,一名黑客在黑市上出售所謂的公司數據。
Santander在聲明中重申了此點,確認其由第三方供應商托管的數據庫遭到了未經授權的訪問。
重新思考信任:提升身份安全
攻擊者對近6億條記錄的破壞能力,突顯了重新評估身份保護策略的迫切需求。過度依賴驗證方法將使企業更易受到攻擊。
採取零信任理念,假設洩露事件可能已經發生,顯得至關重要。今年,78%的企業報告稱身份相關的洩露事件對其業務造成了負面影響。在受侵犯的企業中,96%認為如果之前實施身份基於的零信任措施,可以防止這些事件的發生。
身份與訪問管理(IAM)是零信任的核心,遵循NIST SP 800-207的指導方針。此外,身份安全也是拜登總統第14028號行政命令的重要方面。
企業越來越重視先進的驗證方法以降低風險。儘管技術進步,密碼仍然面臨重大挑戰。Gartner分析師指出:「儘管無密碼驗證已經出現,密碼在許多應用場景中依然存在,並成為重大風險和用戶挫折的來源。」
CISO專注於強化驗證控製,強調以下幾點:
- 迅速為每個身份實施持續驗證。
- 加強憑證衛生,增加更換頻率。
- 限制用戶僅能訪問經過驗證的應用列表以降低風險。
- 利用AM系統監控所有身份相關的活動。
- 改進用戶自助服務、引入BYOI及擴大外部應用案例。
為了解決身份危機,CISO需要用戶友好的無密碼驗證系統,該系統能適應任何設備而不降低安全性。領先的解決方案包括Microsoft Authenticator、Okta、Duo Security、Auth0、Yubico及Ivanti的零登錄(ZSO)。
排行榜
