Küberturvalisus

Dokumendipõhise usalduse lõpp: Miks 6,9 miljonit varastatud juhiluba nõuavad uut identiteediarhitektuuri

Analüüs AssuranceAmerica andmelekkest, mis paljastas 6,9 miljonit juhiluba, ning arhitektuurilisest muutusest, mis on vajalik süsteemsete identiteediriskide leevendamiseks.
Dokumendipõhise usalduse lõpp: Miks 6,9 miljonit varastatud juhiluba nõuavad uut identiteediarhitektuuri

Indiana ja Maine'i peaprokurörid töötlesid hiljuti AssuranceAmerica andmelekke teavitusi, kinnitades 6,99 miljoni kirje paljastamist. See sündmus on selle aasta suurim dokumenteeritud Ameerika juhiloa andmete leke. Regulaatorid ei vaata selliseid intsidente enam kui üksikuid ettevõtte ebaõnnestumisi. Need sündmused on süsteemsed ohud riiklikule identiteediinfrastruktuurile. Kuna osariikide valitsused suruvad peale vanuse kontrollimise seadusi, mis nõuavad dokumentide üleslaadimist, on riiklikult väljastatud ID-de tsentraliseerimise vastutus jõudnud kriitilise piirini. AssuranceAmerica leke on signaal, et traditsiooniline identiteedidokumentide usaldusmudel on katki.

AssuranceAmerica lekke mehhanismide analüüs

AssuranceAmerica avastas volitamata juurdepääsu oma arvutisüsteemides 17. märtsil. Järgnev uurimine lõppes 15. juunil ja paljastas, et häkkerid varastasid nimesid, kontaktandmeid ja juhiloa numbreid. Ründajad pääsesid ligi ka autokindlustuspoliisidele, kahjunõuete üksikasjadele ja sõidukite teabele. Kuigi ettevõte ei avalikustanud konkreetset sisenemispunkti, kinnitas ta, et häkkerid võtsid sihikule töötaja ja kasutasid kompromiteeritud sisselogimisandmeid. See viitab ebaõnnestumisele identiteedi- ja juurdepääsuhalduse (IAM) protokollides.

Ründajad viibisid võrgus peaaegu kolm kuud. See viibimisaeg viitab sellele, et sisekeskkonnal puudus vajalik telemeetria külgliikumise tuvastamiseks. Paljudes kindlustuse pärandsüsteemides annab töötaja volitus laia juurdepääsu andmebaasidele, kuna võrguarhitektuur eeldab, et autentitud kasutaja on usaldusväärne kasutaja. See eeldus on tänapäevase ettevõtte turvalisuse peamine viga. Kui ründajad olid esialgsest volituste kontrollist mööda pääsenud, võimaldas mikrosegmentatsiooni puudumine neil juurde pääseda peaaegu 7 miljonile tundlikule kirjele, ilma et see oleks käivitanud automaatset sulgemist.

Riiklikult väljastatud identifikaatori vastutus

Juhiloa numbrid ei ole lihtsalt andmed. Need on sünteetilise identiteedipettuse ja keerukate kelmuste alustalad. Erinevalt krediitkaardi numbrist on juhiloa numbrit raske ja kallis muuta. Kui kindlustuspakkuja kaotab 6,9 miljonit sellist identifikaatorit, tekitab see mõjutatud elanikkonnale püsiva riski. Tööstus peab uuesti läbi mõtlema, miks ta säilitab neid dokumente töötlemata, otsitavas vormingus.

Kindlustusandjad koguvad neid andmeid abikõlblikkuse kontrollimiseks ja riski hindamiseks. Tegeliku numbri säilitamine on aga disainivalik, mis seab pärandandmebaaside ühilduvuse turvalisusest ettepoole. Praegune globaalne vanuse kontrollimise seaduste trend suurendab seda riski. Iga kord, kui kasutaja laadib oma vanuse või isiku tõendamiseks üles dokumendi, loob ta ründajatele uue sihtmärgi. Kui ettevõtted jätkavad nende dokumentide käsitlemist staatilise varana, suureneb väärtuslike lekete maht. Loogika nihkub lihtsalt andmekaitselt nullteadmus-tõendite (zero-knowledge proofs) vajadusele, kus ettevõte kontrollib atribuuti ilma tegelikku identifikaatorit salvestamata.

Volituste vargus ja põhihügieeni puudulikkus

AssuranceAmerica teatas, et pärast avastamist blokeeriti kompromiteeritud volitused. See reaktiivne meede ei lahenda küsimust, kuidas volitused varastati. Ründajad kasutavad üha enam teabevarguse pahavara (infostealer), et koguda seansimärke ja mööduda tavapärasest mitmetegurilisest autentimisest (MFA). Kui organisatsioon toetub SMS-põhisele või teavituspõhisele MFA-le, on see haavatav vahendajarünnakute (adversary-in-the-middle) suhtes.

Antud juhul langes sihikule võetud töötaja tõenäoliselt suunatud õngitsemiskampaania või keeruka sotsiaalse manipuleerimise katse ohvriks. Kompromiteeritud volituste kasutamine tõestab, et perimeeter ei ole enam elujõuline kaitseliin. Kui ründajal on kehtivad volitused, on ta siseringi isik. Arhitektuur on ainus kaitse selle stsenaariumi vastu. Vastupidav süsteem eeldab, et volitused varastatakse, ja nõuab iga tundliku andmebaasipäringu jaoks täiendavat kontekstuaalset tõendit. Ründaja asjatundlikkuse puudujääk on varjatud liitlane, kui süsteem on loodud andma hoiatusi ebatavaliste andmete väljastamise mustrite kohta, kuid AssuranceAmerica kolmekuuline viibimisaeg näitab, et seda liitlast ei kasutatud.

Massiliste identiteedilekete arhitektuurilised tagajärjed

Volituste kompromiteerimise mõju leevendamiseks peavad ettevõtted rakendama nullusalduse (Zero Trust) arhitektuuri, mis käsitleb iga sisemist ühendust potentsiaalselt vaenulikuna. Eesmärk on tagada, et kompromiss ei muutuks katastroofiks. See nõuab üleminekut kaudse usalduse mudelilt pideva kontrolli mudelile.

Arhitektuuriline komponent Pärandlähenemine Nullusalduse lähenemine
Võrgu segmentimine Lame võrk avatud sisejuurdepääsuga Mikrosegmentimine vähimate õigustega juurdepääsuga
Identiteedi kontrollimine Paroolid ja tavaline MFA Õngitsemiskindel MFA (FIDO2/WebAuthn)
Andmete säilitamine Töötlemata PII tsentraalsetes andmebaasides Tokeniseeritud andmed ja nullteadmus-tõendid
Seire Perimeetri logid ja tulemüüri hoiatused Käitumisanalüütika ja andmete väljastamise seire
Juurdepääsu kontroll Rollipõhine (RBAC) Atribuudipõhine (ABAC) koos kontekstiga

Mikrosegmentimine on kõige tõhusam viis identiteedilekke mõjuala piiramiseks. Kui juhiloa numbreid sisaldav andmebaas on ülejäänud ettevõtte võrgust isoleeritud, ei tohiks kompromiteeritud töötaja volitustest piisata selleni jõudmiseks. Juurdepääs peab nõudma täiendavat, kõrge usaldusväärsusega autentimisetappi ja kehtivat ärilist põhjendust. See disain tagab, et isegi kui ründaja siseneb majja, jääb ta lukustatuks ühte ruumi.

Reguleeriv trajektoor isikuandmete valdajatele

Indiana ja Maine'i peaprokuröride kaasamine viitab sellele, et andmeleketega kaasnevad õiguslikud tagajärjed muutuvad otsesemaks. Reguleerivad asutused liiguvad mudeli poole, kus põhiliste arhitektuuriliste kaitsemeetmete rakendamata jätmist peetakse hooletuseks. Ohumudelite muutus tähendab, et "standardne tööstusharu tava" ei ole enam pädev kaitse, kui need tavad hõlmavad miljonite lihttekstina esitatud identifikaatorite säilitamist.

Tulevased eeskirjad nõuavad tõenäoliselt krüpteerimise kasutamist nii puhkeolekus kui ka edastatavate andmete puhul, kuid keskenduvad ka andmete minimeerimise kontseptsioonile. Kui kindlustusandja ei vaja igapäevaseks tegevuseks juhiloa numbrit, tuleb see kustutada või anonümiseerida. AssuranceAmerica intsident tõestab, et andmete hoidmine on vastutus, mis kaalub üles lihtsa juurdepääsu mugavuse. Suuremahuliste andmete valdajad peavad omaks võtma mõtteviisi, kus iga isikuandmete (PII) üksus on potentsiaalne kohtuasi, mis ootab toimumist.

Tegevuskava: 12-kuuline teekond identiteedi vastupidavuseni

Infojuhtid (CISO-d) peavad tegutsema kohe, et vältida oma organisatsioonide saamist järgmiseks AssuranceAmericaks. Järgmised sammud pakuvad pragmaatilist raamistikku identiteedi turvalisuse ümberstruktureerimiseks järgmise aasta jooksul.

  1. Andmete säilitamise poliitikate audit (1.–2. kuu): Tuvastage iga andmebaas, mis salvestab juhiloa numbreid või muid riiklikke ID-sid. Kustutage kõik andmed, mis ei ole praeguse tegevuse jaoks seaduslikult nõutavad. Rakendage ranget andmete elutsükli haldamise poliitikat.
  2. Õngitsemiskindla MFA juurutamine (3.–5. kuu): Liikuge SMS- ja teavituspõhisest MFA-st kaugemale. Võtke kasutusele FIDO2-ühilduvad riistvaravõtmed või platvormipõhine biomeetria kõigi töötajate jaoks, kellel on juurdepääs tundlikele kliendiandmetele. See neutraliseerib teabevarguse ja volituste varguse ohu.
  3. Mikrosegmentimise rakendamine (6.–9. kuu): Isoleerige väärtuslikud andmebaasid üldisest ettevõtte võrgust. Kasutage identiteediteadlikke prokse, et tagada ainult volitatud kasutajate juurdepääs PII-le hallatavates seadmetes. Viige läbi läbistustest, keskendudes konkreetselt külgliikumisele pärast töötaja esialgset kompromiteerimist.
  4. Tokeniseerimise ja krüpteerimise kasutuselevõtt (10.–12. kuu): Asendage töötlemata juhiloa numbrid tokenitega mitte-tootmiskeskkondades ja analüüsiplatvormidel. Tagage, et krüpteerimisvõtmeid hallatakse eraldi andmetest, mida need kaitsevad. Uurige nullteadmus-tõendite pakkujaid tulevaste identiteedi kontrollimise vajaduste jaoks.

Kokkuvõte uuest reaalsusest

AssuranceAmerica leke on meeldetuletus, et perimeeter on surnud. 6,99 miljonit inimest seisavad nüüd silmitsi eluaegse identiteediriskiga, kuna ühe töötaja volitused varastati. Ellujäämine sellel maastikul sõltub arhitektuurilisest vastupidavusest ja tuvastamise kiirusest. Eesmärk ei ole vältida kõiki lekkeid; eesmärk on tagada, et kompromiteeritud volitus ei annaks kaarti kogu kuningriigile. Tööstus peab liikuma dokumendipõhiselt usalduselt tuleviku poole, kus andmed on minimeeritud, segmenteeritud ja pidevalt kontrollitud.

Allikad:
AssuranceAmerica Corporate Notice
Indiana Attorney General Breach Portal
Maine Attorney General Data Disclosure
TechCrunch Cybersecurity Analysis
Texas State Government Breach Reports

Hoiatus: See artikkel on mõeldud ainult teavitamiseks ja harimiseks ning ei asenda professionaalset küberjulgeoleku auditit ega intsidentidele reageerimise teenust.

bg
bg
bg

Kohtumiseni teisel poolel.

Meie läbivalt krüpteeritud e-posti ja pilvesalvestuse lahendus pakub kõige võimsamaid vahendeid turvaliseks andmevahetuseks, tagades teie andmete turvalisuse ja privaatsuse.

/ Tasuta konto loomin