身份泄露:网络犯罪日益严重的威胁
在黑市上,身份信息拥有巨大的价值,每年造成数十亿美元的欺诈损失。桑坦德(Santander)、票务公司TicketMaster、数据云平台Snowflake,以及近期的Advanced Auto Parts和LendingTree等公司高调遭遇的泄露事件,揭示了攻击者如何迅速利用组织安全中的漏洞。TechCrunch证实,数百个与信息窃取恶意软件相关的Snowflake用户密码现已在网上被人访问。Snowflake将多重身份验证(MFA)设为可选而非强制,进一步加剧了其受到攻击客户的身份危机。
网络犯罪情报:协同的威胁环境
网络犯罪组织与国家之间在实施身份泄露方面的信心日益增强,二者通过Telegram等平台 allegedly 与网络犯罪情报提供商合作。网络犯罪情报提供商Hudson Rock在5月31日发布了一篇博客,详述了威胁者如何攻击Snowflake,还提到与负责桑坦德和TicketMaster遗失事件的黑客的对话。
这篇现已删除的博客中指出,攻击者通过被盗的凭证访问了Snowflake一名员工的ServiceNow账户,绕过了OKTA。进入系统后,他们生成会话令牌以在Snowflake系统中隐秘活动,并提取大量数据。
单因素认证:重大安全隐患
Snowflake平台默认使用单因素认证,这带来了严重的安全风险。其文档指出:“默认情况下,单个Snowflake用户未启用MFA。”攻击者专门针对依赖单因素认证的用户,利用通过信息窃取恶意软件获得的凭证。美国网络安全和基础设施安全局(CISA)已对所有Snowflake客户发出警告。
Snowflake、CrowdStrike和Mandiant的调查显示,攻击者通过一名前员工的凭证访问了演示账户。这些账户并未使用Okta或MFA等强安全措施,成为攻击者进入Snowflake系统的入口。然而,该公司坚称没有证据表明其平台存在系统性漏洞或泄露。
大规模数据泄露影响数百万用户
在桑坦德历史上,这次最大的泄露事件使多达3000万客户的信用卡和个人信息受到影响。与此相关,另有5.6亿TicketMaster客户的数据在一场独立的泄露中被盗,包括姓名、地址、电子邮件、电话号码和信用卡信息。黑客组织ShinyHunters活跃地在复兴的BreachForums上出售这些被盗数据。
此外,BreachForums的另一用户Sp1d3r声称已获得与Snowflake事件相关的其他两家公司信息,包括Advanced Auto Parts的3.8亿客户信息以及LendingTree和QuoteWizard的1.9亿用户档案。
积极应对:透明的泄露通知
首席信息安全官(CISO)和安全领导者认识到在披露重大网络事件时透明度的重要性。桑坦德与TicketMaster迅速报告了对其第三方云数据库的未授权访问。
Live Nation,TicketMaster的母公司,向证券交易委员会(SEC)提交了8-K,表明他们在5月20日检测到未授权活动并启动调查。文件透露,黑客在5月27日向暗网上出售所称的公司数据。
桑坦德在其声明中证实,未授权访问了其由第三方提供商托管的数据库。
重新审视信任:增强身份安全
攻击者能够入侵近6亿条记录,突显了重新评估身份保护策略的紧迫性。对认证方法的过度依赖增加了泄露的风险。
采取零信任(Zero Trust)策略至关重要,即假设可能已经发生了泄露。今年,有78%的企业表示,基于身份的泄露对运营产生了负面影响。在被泄露的企业中,有96%的人认为,如果提前实施基于身份的零信任措施,可能会避免这些事件。
身份和访问管理(IAM)是零信任的核心,符合NIST SP 800-207的指导方针。此外,身份安全也是拜登总统签署的行政命令14028的重要内容。
企业正日益评估先进的认证方法以降低风险。尽管技术不断进步,密码依然存在重大挑战。Gartner分析师指出:“尽管无密码认证已逐步普及,密码仍在许多应用场景中使用,成为风险和用户挫折感的重要来源。”
CISO们集中精力加强认证控制,强调以下几点:
- 快速实施对所有身份的持续认证。
- 增强凭证卫生并增加更新频率。
- 限制用户使用经验证的应用程序以降低风险。
- 利用身份管理系统监控所有身份相关活动。
- 改善用户自助服务、个人设备使用(BYOI)和拓展外部用例。
为应对身份危机,CISO们需要用户友好的无密码认证系统,确保在任何设备上都能灵活适应而不妥协安全性。领先的解决方案包括Microsoft Authenticator、Okta、Duo Security、Auth0、Yubico和Ivanti的Zero Sign-On(ZSO)。
排行榜
