Οι γενικοί εισαγγελείς της Ιντιάνα και του Μέιν επεξεργάστηκαν πρόσφατα ειδοποιήσεις παραβίασης δεδομένων για την AssuranceAmerica, επιβεβαιώνοντας την έκθεση 6,99 εκατομμυρίων αρχείων. Αυτό το γεγονός αποτελεί τη μεγαλύτερη τεκμηριωμένη διαρροή πληροφοριών αμερικανικών αδειών οδήγησης φέτος. Οι ρυθμιστικές αρχές δεν θεωρούν πλέον τέτοια περιστατικά ως μεμονωμένες εταιρικές αποτυχίες. Αυτά τα γεγονότα αποτελούν συστημικές απειλές για την εθνική υποδομή ταυτότητας. Καθώς οι πολιτειακές κυβερνήσεις προωθούν νόμους για την επαλήθευση της ηλικίας που επιβάλλουν τη μεταφόρτωση εγγράφων, η ευθύνη της συγκέντρωσης κρατικών ταυτοτήτων έχει φτάσει σε ένα κρίσιμο όριο. Η παραβίαση της AssuranceAmerica είναι ένα σήμα ότι το παραδοσιακό μοντέλο εμπιστοσύνης για τα έγγραφα ταυτότητας έχει καταρρεύσει.
Η AssuranceAmerica ανακάλυψε μη εξουσιοδοτημένη πρόσβαση στα συστήματα υπολογιστών της στις 17 Μαρτίου. Η επακόλουθη έρευνα ολοκληρώθηκε στις 15 Ιουνίου και αποκάλυψε ότι οι χάκερ έκλεψαν ονόματα, στοιχεία επικοινωνίας και αριθμούς αδειών οδήγησης. Οι επιτιθέμενοι απέκτησαν επίσης πρόσβαση σε ασφαλιστήρια συμβόλαια αυτοκινήτων, λεπτομέρειες απαιτήσεων και πληροφορίες οχημάτων. Αν και η εταιρεία δεν αποκάλυψε το συγκεκριμένο σημείο εισόδου, επιβεβαίωσε ότι οι χάκερ στόχευσαν έναν υπάλληλο και χρησιμοποίησαν παραβιασμένα διαπιστευτήρια. Αυτό υποδηλώνει αποτυχία στα πρωτόκολλα διαχείρισης ταυτότητας και πρόσβασης (IAM).
Οι επιτιθέμενοι πέρασαν σχεδόν τρεις μήνες μέσα στο δίκτυο. Αυτός ο χρόνος παραμονής (dwell time) υποδηλώνει ότι το εσωτερικό περιβάλλον στερούνταν της απαραίτητης τηλεμετρίας για τον εντοπισμό πλευρικών κινήσεων (lateral movement). Σε πολλά παλαιά συστήματα ασφάλισης, ένα διαπιστευτήριο υπαλλήλου παρέχει ευρεία πρόσβαση σε βάσεις δεδομένων, επειδή η αρχιτεκτονική του δικτύου υποθέτει ότι ένας πιστοποιημένος χρήστης είναι ένας έμπιστος χρήστης. Αυτή η παραδοχή είναι ένα πρωταρχικό ελάττωμα στη σύγχρονη εταιρική ασφάλεια. Μόλις οι επιτιθέμενοι παρέκαμψαν τον αρχικό έλεγχο διαπιστευτηρίων, η έλλειψη μικροτμηματοποίησης (microsegmentation) τους επέτρεψε να έχουν πρόσβαση σε σχεδόν 7 εκατομμύρια ευαίσθητα αρχεία χωρίς να ενεργοποιηθεί ένα αυτόματο κλείδωμα.
Οι αριθμοί των αδειών οδήγησης δεν είναι απλώς κομμάτια δεδομένων. Είναι θεμελιώδη κλειδιά για συνθετική απάτη ταυτότητας και εξελιγμένες επιθέσεις προσωποποίησης. Σε αντίθεση με έναν αριθμό πιστωτικής κάρτας, ένας αριθμός άδειας οδήγησης είναι δύσκολο και ακριβό να αλλάξει. Όταν ένας ασφαλιστικός πάροχος χάνει 6,9 εκατομμύρια από αυτά τα αναγνωριστικά, δημιουργεί έναν μόνιμο κίνδυνο για τον πληγέντα πληθυσμό. Ο κλάδος πρέπει να επανεξετάσει γιατί αποθηκεύει αυτά τα έγγραφα σε μια ακατέργαστη, αναζητήσιμη μορφή.
Οι ασφαλιστικοί πάροχοι συλλέγουν αυτά τα δεδομένα για να επαληθεύσουν την επιλεξιμότητα και να αξιολογήσουν τον κίνδυνο. Ωστόσο, η αποθήκευση του πραγματικού αριθμού είναι μια σχεδιαστική επιλογή που δίνει προτεραιότητα στη συμβατότητα με παλαιές βάσεις δεδομένων έναντι της ασφάλειας. Η τρέχουσα τάση των παγκόσμιων νόμων για την επαλήθευση της ηλικίας αυξάνει αυτόν τον κίνδυνο. Κάθε φορά που ένας χρήστης ανεβάζει ένα έγγραφο για να αποδείξει την ηλικία ή την ταυτότητά του, δημιουργεί έναν νέο στόχο για κακόβουλους παράγοντες. Εάν οι επιχειρήσεις συνεχίσουν να αντιμετωπίζουν αυτά τα έγγραφα ως στατικά περιουσιακά στοιχεία, ο όγκος των διαρροών υψηλής αξίας θα αυξηθεί. Η λογική μετατοπίζεται από την απλή προστασία δεδομένων στην αναγκαιότητα των αποδείξεων μηδενικής γνώσης (zero-knowledge proofs), όπου η εταιρεία επαληθεύει το χαρακτηριστικό χωρίς να αποθηκεύει το πραγματικό αναγνωριστικό.
Η AssuranceAmerica δήλωσε ότι απενεργοποίησε τα παραβιασμένα διαπιστευτήρια μετά την ανακάλυψη. Αυτό το αντιδραστικό μέτρο δεν αντιμετωπίζει τον τρόπο με τον οποίο κλάπηκαν τα διαπιστευτήρια. Οι κακόβουλοι παράγοντες χρησιμοποιούν όλο και περισσότερο κακόβουλο λογισμικό υποκλοπής πληροφοριών (infostealer malware) για τη συλλογή διακριτικών συνεδρίας (session tokens) και την παράκαμψη του τυπικού ελέγχου ταυτότητας πολλαπλών παραγόντων (MFA). Εάν ένας οργανισμός βασίζεται σε MFA μέσω SMS ή ειδοποιήσεων push, είναι ευάλωτος σε επιθέσεις adversary-in-the-middle.
Σε αυτή την περίπτωση, ο στοχευμένος υπάλληλος ήταν πιθανότατα θύμα μιας εκστρατείας spear-phishing ή μιας εξελιγμένης απόπειρας κοινωνικής μηχανικής. Η χρήση παραβιασμένων διαπιστευτηρίων αποδεικνύει ότι η περίμετρος δεν αποτελεί πλέον βιώσιμη γραμμή άμυνας. Όταν ένας επιτιθέμενος κατέχει έγκυρα διαπιστευτήρια, θεωρείται εσωτερικός χρήστης. Η αρχιτεκτονική είναι η μόνη άμυνα έναντι αυτού του σεναρίου. Ένα ανθεκτικό σύστημα υποθέτει ότι τα διαπιστευτήρια θα κλαπούν και απαιτεί πρόσθετη, σχετική με το πλαίσιο απόδειξη για κάθε ευαίσθητο ερώτημα στη βάση δεδομένων. Το έλλειμμα τεχνογνωσίας του επιτιθέμενου είναι ένας σιωπηλός σύμμαχος εάν το σύστημα έχει σχεδιαστεί για να ενεργοποιεί ειδοποιήσεις σε ασυνήθιστα μοτίβα εξαγωγής δεδομένων, αλλά ο χρόνος παραμονής των τριών μηνών της AssuranceAmerica δείχνει ότι αυτός ο σύμμαχος δεν χρησιμοποιήθηκε.
Για να μετριάσουν τον αντίκτυπο μιας παραβίασης διαπιστευτηρίων, οι επιχειρήσεις πρέπει να εφαρμόσουν μια αρχιτεκτονική Μηδενικής Εμπιστοσύνης (Zero Trust) που αντιμετωπίζει κάθε εσωτερική σύνδεση ως δυνητικά εχθρική. Στόχος είναι να διασφαλιστεί ότι μια παραβίαση δεν θα μετατραπεί σε καταστροφή. Αυτό απαιτεί μετάβαση από ένα μοντέλο σιωπηρής εμπιστοσύνης σε ένα μοντέλο συνεχούς επαλήθευσης.
| Αρχιτεκτονικό Στοιχείο | Παραδοσιακή Προσέγγιση | Προσέγγιση Μηδενικής Εμπιστοσύνης |
|---|---|---|
| Τμηματοποίηση Δικτύου | Επίπεδο δίκτυο με ανοιχτή εσωτερική πρόσβαση | Μικροτμηματοποίηση με πρόσβαση ελάχιστων προνομίων |
| Επαλήθευση Ταυτότητας | Κωδικοί πρόσβασης και βασικό MFA | MFA ανθεκτικό στο phishing (FIDO2/WebAuthn) |
| Αποθήκευση Δεδομένων | Ανεπεξέργαστα PII σε κεντρικές βάσεις δεδομένων | Δεδομένα με διακριτικά (tokens) και αποδείξεις μηδενικής γνώσης |
| Παρακολούθηση | Αρχεία καταγραφής περιμέτρου και ειδοποιήσεις τείχους προστασίας | Αναλυτική συμπεριφοράς και παρακολούθηση εξαγωγής δεδομένων |
| Έλεγχος Πρόσβασης | Βασισμένος σε ρόλους (RBAC) | Βασισμένος σε χαρακτηριστικά (ABAC) με πλαίσιο |
Η μικροτμηματοποίηση είναι ο πιο αποτελεσματικός τρόπος για τον περιορισμό της ακτίνας έκρηξης μιας διαρροής ταυτότητας. Εάν η βάση δεδομένων που περιέχει τους αριθμούς των αδειών οδήγησης είναι απομονωμένη από το υπόλοιπο εταιρικό δίκτυο, ένα παραβιασμένο διαπιστευτήριο υπαλλήλου δεν θα πρέπει να αρκεί για την πρόσβαση σε αυτήν. Η πρόσβαση πρέπει να απαιτεί ένα δευτερεύον βήμα ελέγχου ταυτότητας υψηλής διασφάλισης και μια έγκυρη επιχειρηματική αιτιολόγηση. Αυτός ο σχεδιασμός διασφαλίζει ότι ακόμη και αν ένας επιτιθέμενος μπει στο σπίτι, παραμένει κλειδωμένος σε ένα μόνο δωμάτιο.
Η εμπλοκή των γενικών εισαγγελέων της Ιντιάνα και του Μέιν υποδηλώνει ότι οι νομικές επιπτώσεις για τις διαρροές δεδομένων γίνονται πιο άμεσες. Οι ρυθμιστικές αρχές κινούνται προς ένα μοντέλο όπου η αποτυχία εφαρμογής βασικών αρχιτεκτονικών διασφαλίσεων θεωρείται αμέλεια. Η αλλαγή στα μοντέλα απειλών σημαίνει ότι η «τυπική πρακτική του κλάδου» δεν αποτελεί πλέον έγκυρη άμυνα εάν αυτές οι πρακτικές περιλαμβάνουν την αποθήκευση εκατομμυρίων αναγνωριστικών σε απλό κείμενο.
Οι μελλοντικοί κανονισμοί πιθανότατα θα επιβάλλουν τη χρήση κρυπτογράφησης για δεδομένα σε ηρεμία και σε κίνηση, αλλά θα επικεντρωθούν επίσης στην έννοια της ελαχιστοποίησης των δεδομένων. Εάν ένας ασφαλιστικός πάροχος δεν χρειάζεται έναν αριθμό άδειας οδήγησης για τις τρέχουσες λειτουργίες, αυτός πρέπει να διαγραφεί ή να ανωνυμοποιηθεί. Το περιστατικό της AssuranceAmerica αποδεικνύει ότι η κατοχή δεδομένων είναι μια ευθύνη που υπερτερεί της ευκολίας της εύκολης πρόσβασης. Οι κάτοχοι δεδομένων μεγάλης κλίμακας πρέπει να υιοθετήσουν μια νοοτροπία όπου κάθε κομμάτι PII είναι μια πιθανή αγωγή που περιμένει να συμβεί.
Οι CISO πρέπει να δράσουν τώρα για να αποτρέψουν τους οργανισμούς τους από το να γίνουν η επόμενη AssuranceAmerica. Τα ακόλουθα βήματα παρέχουν ένα ρεαλιστικό πλαίσιο για την αναδιάρθρωση της ασφάλειας ταυτότητας κατά το επόμενο έτος.
Η παραβίαση της AssuranceAmerica είναι μια υπενθύμιση ότι η περίμετρος είναι νεκρή. 6,99 εκατομμύρια άνθρωποι αντιμετωπίζουν τώρα έναν ισόβιο κίνδυνο ταυτότητας επειδή κλάπηκαν τα διαπιστευτήρια ενός μόνο υπαλλήλου. Η επιβίωση σε αυτό το τοπίο εξαρτάται από την αρχιτεκτονική ανθεκτικότητα και την ταχύτητα ανίχνευσης. Ο στόχος δεν είναι να αποτραπούν όλες οι παραβιάσεις· ο στόχος είναι να διασφαλιστεί ότι ένα παραβιασμένο διαπιστευτήριο δεν παρέχει έναν χάρτη για ολόκληρο το βασίλειο. Ο κλάδος πρέπει να απομακρυνθεί από την εμπιστοσύνη που βασίζεται σε έγγραφα και να κινηθεί προς ένα μέλλον όπου τα δεδομένα ελαχιστοποιούνται, τμηματοποιούνται και επαληθεύονται συνεχώς.
Πηγές:
AssuranceAmerica Corporate Notice
Indiana Attorney General Breach Portal
Maine Attorney General Data Disclosure
TechCrunch Cybersecurity Analysis
Texas State Government Breach Reports
Αποποίηση ευθύνης: Αυτό το άρθρο προορίζεται μόνο για ενημερωτικούς και εκπαιδευτικούς σκοπούς και δεν αντικαθιστά έναν επαγγελματικό έλεγχο κυβερνοασφάλειας ή μια υπηρεσία απόκρισης σε περιστατικά.



Η από άκρη σε άκρη κρυπτογραφημένη λύση ηλεκτρονικού ταχυδρομείου και αποθήκευσης στο cloud παρέχει τα πιο ισχυρά μέσα ασφαλούς ανταλλαγής δεδομένων, εξασφαλίζοντας την ασφάλεια και το απόρρητο των δεδομένων σας.
/ Εγγραφείτε δωρεάν