Kibernetinis saugumas

Dokumentais grįsto pasitikėjimo pabaiga: kodėl 6,9 mln. pavogtų pažymėjimų reikalauja naujos tapatybės architektūros

„AssuranceAmerica“ duomenų saugumo pažeidimo, kurio metu buvo paviešinta 6,9 mln. vairuotojo pažymėjimų, analizė ir architektūriniai pokyčiai, būtini sisteminei tapatybės rizikai mažinti.
Dokumentais grįsto pasitikėjimo pabaiga: kodėl 6,9 mln. pavogtų pažymėjimų reikalauja naujos tapatybės architektūros

Indianos ir Meino valstijų generaliniai prokurorai neseniai apdorojo pranešimus apie „AssuranceAmerica“ duomenų saugumo pažeidimus, patvirtindami, kad buvo nutekinta 6,99 mln. įrašų. Šis įvykis yra didžiausias šiais metais dokumentuotas Amerikos vairuotojo pažymėjimų informacijos nutekėjimas. Reguliavimo institucijos tokių incidentų nebelaiko pavienėmis korporacinėmis nesėkmėmis. Šie įvykiai yra sisteminės grėsmės nacionalinei tapatybės infrastruktūrai. Valstijų vyriausybėms skatinant amžiaus patvirtinimo įstatymus, reikalaujančius įkelti dokumentus, vyriausybės išduotų asmens tapatybės dokumentų centralizavimo rizika pasiekė kritinę ribą. „AssuranceAmerica“ pažeidimas yra signalas, kad tradicinis tapatybės dokumentų pasitikėjimo modelis yra sužlugdytas.

„AssuranceAmerica“ pažeidimo mechanikos analizė

„AssuranceAmerica“ kovo 17 d. savo kompiuterių sistemose aptiko neteisėtą prieigą. Vėlesnis tyrimas, pasibaigęs birželio 15 d., atskleidė, kad hakeriai pavogė vardus, kontaktinę informaciją ir vairuotojo pažymėjimų numerius. Užpuolikai taip pat gavo prieigą prie automobilių draudimo polių, informacijos apie žalų atlyginimą ir transporto priemonių duomenų. Nors bendrovė neatskleidė konkretaus įsilaužimo taško, ji patvirtino, kad hakeriai nusitaikė į darbuotoją ir pasinaudojo pažeistais prisijungimo duomenimis. Tai rodo tapatybės ir prieigos valdymo (IAM) protokolų nesėkmę.

Užpuolikai tinkle praleido beveik tris mėnesius. Toks buvimo laikas (dwell time) rodo, kad vidinėje aplinkoje trūko reikiamos telemetrijos, kad būtų galima aptikti judėjimą į šonus (lateral movement). Daugelyje senųjų draudimo sistemų darbuotojo prisijungimo duomenys suteikia plačią prieigą prie duomenų bazių, nes tinklo architektūra daro prielaidą, kad autentifikuotas vartotojas yra patikimas vartotojas. Ši prielaida yra pagrindinis šiuolaikinio įmonių saugumo trūkumas. Kai tik užpuolikai apėjo pradinį prisijungimo duomenų patikrinimą, mikrosegmentavimo trūkumas leido jiems pasiekti beveik 7 milijonus jautrių įrašų nesukeliant automatinio blokavimo.

Vyriausybės išduoto identifikatoriaus rizika

Vairuotojo pažymėjimų numeriai nėra tik paprasti duomenys. Jie yra pagrindiniai raktai sintetinės tapatybės sukčiavimui ir sudėtingoms apsimetinėjimo atakoms vykdyti. Skirtingai nei kredito kortelės numerį, vairuotojo pažymėjimo numerį pakeisti yra sudėtinga ir brangu. Kai draudimo paslaugų teikėjas praranda 6,9 mln. tokių identifikatorių, tai sukuria nuolatinę riziką nukentėjusiems gyventojams. Pramonė privalo persvarstyti, kodėl ji saugo šiuos dokumentus neapdorotu, lengvai ieškomu formatu.

Draudimo paslaugų teikėjai renka šiuos duomenis, kad patvirtintų tinkamumą ir įvertintų riziką. Tačiau paties numerio saugojimas yra projektavimo pasirinkimas, kuriame pirmenybė teikiama suderinamumui su senosiomis duomenų bazėmis, o ne saugumui. Dabartinė pasaulinė amžiaus patvirtinimo įstatymų tendencija šią riziką dar labiau didina. Kiekvieną kartą, kai vartotojas įkelia dokumentą, kad įrodytų savo amžių ar tapatybę, jis sukuria naują taikinį grėsmių sukėlėjams. Jei įmonės ir toliau traktuos šiuos dokumentus kaip statinį turtą, didelės vertės duomenų nutekėjimų kiekis tik augs. Logika turi keistis nuo paprastos duomenų apsaugos prie nulinio žinojimo įrodymų (zero-knowledge proofs) būtinybės, kai įmonė patvirtina požymį nesaugodama paties identifikatoriaus.

Prisijungimo duomenų vagystė ir pagrindinės higienos trūkumas

„AssuranceAmerica“ pareiškė, kad po atradimo išjungė pažeistus prisijungimo duomenis. Ši reaktyvi priemonė nesprendžia klausimo, kaip tie duomenys buvo pavogti. Grėsmių sukėlėjai vis dažniau naudoja informaciją vagiančias kenkėjiškas programas (infostealers), kad surinktų sesijos žetonus (session tokens) ir apeitų standartinį daugiaveiksnį autentifikavimą (MFA). Jei organizacija pasitiki SMS žinutėmis ar tiesioginiais pranešimais (push-notifications) pagrįstu MFA, ji yra pažeidžiama „adversary-in-the-middle“ atakoms.

Šiuo atveju pasirinktas darbuotojas tikriausiai tapo tikslinės sukčiavimo kampanijos (spear-phishing) arba sudėtingo socialinės inžinerijos bandymo auka. Pažeistų prisijungimo duomenų panaudojimas įrodo, kad perimetras nebėra patikima gynybos linija. Kai užpuolikas turi galiojančius prisijungimo duomenis, jis tampa „vidiniu asmeniu“. Architektūra yra vienintelė gynyba prieš tokį scenarijų. Atspari sistema daro prielaidą, kad prisijungimo duomenys bus pavogti, ir reikalauja papildomo, kontekstinio įrodymo kiekvienai jautriai užklausai duomenų bazėje. Užpuoliko kompetencijos trūkumas yra tylus sąjungininkas, jei sistema sukurta taip, kad įspėtų apie neįprastus duomenų išėjimo modelius, tačiau „AssuranceAmerica“ trijų mėnesių buvimo laikas rodo, kad šiuo sąjungininku nebuvo pasinaudota.

Masinio tapatybės duomenų nutekėjimo architektūrinės pasekmės

Norėdamos sušvelninti prisijungimo duomenų pažeidimo poveikį, įmonės privalo įdiegti „Nulinio pasitikėjimo“ (Zero Trust) architektūrą, kuri kiekvieną vidinį ryšį traktuoja kaip potencialiai priešišką. Tikslas yra užtikrinti, kad pažeidimas netaptų katastrofa. Tam reikia pereiti nuo numanomo pasitikėjimo modelio prie nuolatinio tikrinimo modelio.

Architektūrinis komponentas Senasis požiūris „Nulinio pasitikėjimo“ požiūris
Tinklo segmentavimas Plokščias tinklas su atvira vidine prieiga Mikrosegmentavimas su minimalių privilegijų prieiga
Tapatybės patvirtinimas Slaptažodžiai ir bazinis MFA Nuo sukčiavimo apsaugotas MFA (FIDO2/WebAuthn)
Duomenų saugojimas Neapdoroti asmens duomenys (PII) centrinėse duomenų bazėse Tokenizuoti duomenys ir nulinio žinojimo įrodymai
Stebėsena Perimetro žurnalai ir ugniasienės įspėjimai Elgsenos analitika ir duomenų išėjimo stebėsena
Prieigos kontrolė Rolėmis pagrįsta (RBAC) Atributais pagrįsta (ABAC) su kontekstu

Mikrosegmentavimas yra efektyviausias būdas apriboti tapatybės duomenų nutekėjimo poveikio zoną. Jei duomenų bazė, kurioje saugomi vairuotojo pažymėjimų numeriai, yra izoliuota nuo likusio įmonės tinklo, pažeistų darbuotojo prisijungimo duomenų neturėtų pakakti jai pasiekti. Prieigai turi būti reikalingas antrinis, aukšto patikimumo autentifikavimo žingsnis ir pagrįstas verslo poreikis. Tokia konstrukcija užtikrina, kad net jei užpuolikas pateks į namą, jis liks užrakintas viename kambaryje.

Reguliavimo trajektorija asmens duomenų valdytojams

Indianos ir Meino valstijų generalinių prokurorų įsitraukimas rodo, kad teisinės pasekmės už duomenų nutekėjimą tampa vis tiesioginės. Reguliavimo institucijos juda link modelio, kuriame pagrindinių architektūrinių apsaugos priemonių neįgyvendinimas laikomas aplaidumu. Grėsmių modelių pokytis reiškia, kad „standartinė pramonės praktika“ nebėra tinkama gynyba, jei ši praktika apima milijonų paprasto teksto identifikatorių saugojimą.

Ateities taisyklės tikriausiai įpareigos naudoti šifravimą saugomiems ir perduodamiems duomenims, tačiau jos taip pat sutelks dėmesį į duomenų minimizavimo koncepciją. Jei draudimo paslaugų teikėjui vairuotojo pažymėjimo numeris nėra reikalingas kasdienėms operacijoms, jis turi būti pašalintas arba anonimizuotas. „AssuranceAmerica“ incidentas įrodo, kad duomenų saugojimas yra atsakomybė, kuri nusveria lengvos prieigos patogumą. Didelio masto duomenų valdytojai turi priimti mąstyseną, kad kiekvienas asmens duomenų fragmentas yra potencialus būsimas ieškinys.

Veiksmų planas: 12 mėnesių tapatybės atsparumo gairės

Informacijos saugos vadovai (CISO) privalo veikti dabar, kad jų organizacijos netaptų kita „AssuranceAmerica“. Šie žingsniai suteikia pragmatišką pagrindą tapatybės saugumui pertvarkyti per ateinančius metus.

  1. Duomenų saugojimo politikos auditas (1–2 mėnesiai): Identifikuokite kiekvieną duomenų bazę, kurioje saugomi vairuotojo pažymėjimų numeriai ar kiti valstybiniai ID. Pašalinkite visus duomenis, kurie nėra teisiškai privalomi dabartinėms operacijoms. Įgyvendinkite griežtą duomenų gyvavimo ciklo valdymo politiką.
  2. Nuo sukčiavimo apsaugoto MFA diegimas (3–5 mėnesiai): Atsisakykite SMS ir tiesioginiais pranešimais pagrįsto MFA. Visiems darbuotojams, turintiems prieigą prie jautrių klientų duomenų, įdiekite FIDO2 suderinamus aparatūros raktus arba platforminę biometriją. Tai neutralizuoja informacijos vagių ir prisijungimo duomenų vagystės grėsmę.
  3. Mikrosegmentavimo įgyvendinimas (6–9 mėnesiai): Izoliuokite didelės vertės duomenų bazes nuo bendro įmonės tinklo. Naudokite tapatybę atpažįstančius įgaliotuosius serverius (identity-aware proxies), kad užtikrintumėte, jog tik įgalioti vartotojai iš valdomų įrenginių galėtų pasiekti asmens duomenis. Atlikite įsilaužimo testą, sutelkdami dėmesį būtent į judėjimą į šonus po pradinio darbuotojo paskyros pažeidimo.
  4. Tokenizavimo ir šifravimo diegimas (10–12 mėnesių): Pakeiskite neapdorotus vairuotojo pažymėjimų numerius žetonais (tokens) ne gamybinėse aplinkose ir analitikos platformose. Užtikrinkite, kad šifravimo raktai būtų valdomi atskirai nuo duomenų, kuriuos jie saugo. Ištirkite nulinio žinojimo įrodymų teikėjus būsimiems tapatybės patvirtinimo poreikiams.

Naujos realybės santrauka

„AssuranceAmerica“ pažeidimas primena, kad perimetras yra miręs. 6,99 mln. žmonių dabar visą gyvenimą susidurs su tapatybės rizika, nes buvo pavogti vieno darbuotojo prisijungimo duomenys. Išlikimas šioje aplinkoje priklauso nuo architektūrinio atsparumo ir aptikimo greičio. Tikslas nėra užkirsti kelią visiems pažeidimams; tikslas yra užtikrinti, kad pažeisti prisijungimo duomenys nesuteiktų žemėlapio visai karalystei. Pramonė privalo atsisakyti dokumentais grįsto pasitikėjimo ir judėti link ateities, kurioje duomenys yra minimizuojami, segmentuojami ir nuolat tikrinami.

Šaltiniai:
AssuranceAmerica Corporate Notice
Indiana Attorney General Breach Portal
Maine Attorney General Data Disclosure
TechCrunch Cybersecurity Analysis
Texas State Government Breach Reports

Atsakomybės apribojimas: Šis straipsnis yra skirtas tik informaciniams ir edukaciniams tikslams ir nepakeičia profesionalaus kibernetinio saugumo audito ar reagavimo į incidentus paslaugų.

bg
bg
bg

Iki pasimatymo kitoje pusėje.

Pašto ir debesies saugojimo sprendimas suteikia galingiausias saugaus keitimosi duomenimis priemones, užtikrinančias jūsų duomenų saugumą ir privatumą.

/ Sukurti nemokamą paskyrą