Cyberbezpieczeństwo

Śmierć zaufania opartego na dokumentach: Dlaczego 6,9 miliona skradzionych praw jazdy wymusza nową architekturę tożsamości

Analiza wycieku danych w AssuranceAmerica, w wyniku którego ujawniono 6,9 mln praw jazdy, oraz zmian architektonicznych niezbędnych do ograniczenia systemowego ryzyka tożsamości.
Śmierć zaufania opartego na dokumentach: Dlaczego 6,9 miliona skradzionych praw jazdy wymusza nową architekturę tożsamości

Prokuratorzy generalni stanów Indiana i Maine przetworzyli niedawno powiadomienia o naruszeniu danych w AssuranceAmerica, potwierdzając ujawnienie 6,99 miliona rekordów. To zdarzenie jest największym udokumentowanym wyciekiem informacji z amerykańskich praw jazdy w tym roku. Organy regulacyjne nie postrzegają już takich incydentów jako odosobnionych awarii korporacyjnych. Zdarzenia te stanowią systemowe zagrożenie dla krajowej infrastruktury tożsamości. W obliczu nacisków rządów stanowych na przepisy dotyczące weryfikacji wieku, które nakazują przesyłanie dokumentów, odpowiedzialność wynikająca z centralizacji dokumentów tożsamości wydawanych przez państwo osiągnęła krytyczny próg. Naruszenie w AssuranceAmerica to sygnał, że tradycyjny model zaufania do dokumentów tożsamości uległ załamaniu.

Analiza mechanizmów naruszenia w AssuranceAmerica

AssuranceAmerica wykryła nieautoryzowany dostęp do swoich systemów komputerowych 17 marca. Późniejsze dochodzenie, zakończone 15 czerwca, ujawniło, że hakerzy skradli nazwiska, informacje kontaktowe i numery praw jazdy. Napastnicy uzyskali również dostęp do polis ubezpieczeń komunikacyjnych, szczegółów roszczeń i informacji o pojazdach. Choć firma nie ujawniła konkretnego punktu wejścia, potwierdziła, że hakerzy wzięli na cel pracownika i wykorzystali przejęte poświadczenia. Wskazuje to na awarię protokołów zarządzania tożsamością i dostępem (IAM).

Napastnicy spędzili wewnątrz sieci niemal trzy miesiące. Ten „dwell time” sugeruje, że środowisku wewnętrznemu brakowało niezbędnej telemetrii do wykrywania ruchu bocznego (lateral movement). W wielu starszych systemach ubezpieczeniowych poświadczenia pracownika zapewniają szeroki dostęp do baz danych, ponieważ architektura sieci zakłada, że uwierzytelniony użytkownik jest użytkownikiem zaufanym. To założenie jest główną wadą współczesnych zabezpieczeń przedsiębiorstw. Gdy napastnicy ominęli wstępną kontrolę poświadczeń, brak mikrosegmentacji pozwolił im uzyskać dostęp do blisko 7 milionów wrażliwych rekordów bez uruchomienia automatycznej blokady.

Odpowiedzialność wynikająca z identyfikatorów wydawanych przez państwo

Numery praw jazdy to nie tylko dane. Są one fundamentalnymi kluczami do oszustw związanych z tożsamością syntetyczną i wyrafinowanych ataków polegających na podszywaniu się. W przeciwieństwie do numeru karty kredytowej, numer prawa jazdy jest trudny i kosztowny do zmiany. Gdy ubezpieczyciel traci 6,9 miliona takich identyfikatorów, stwarza to trwałe ryzyko dla dotkniętej populacji. Branża musi ponownie rozważyć, dlaczego przechowuje te dokumenty w surowym, przeszukiwalnym formacie.

Dostawcy ubezpieczeń gromadzą te dane w celu weryfikacji uprawnień i oceny ryzyka. Jednak przechowywanie faktycznego numeru jest wyborem projektowym, który przedkłada kompatybilność ze starszymi bazami danych nad bezpieczeństwo. Obecny trend globalnych przepisów dotyczących weryfikacji wieku zwiększa to ryzyko. Za każdym razem, gdy użytkownik przesyła dokument w celu potwierdzenia wieku lub tożsamości, tworzy nowy cel dla cyberprzestępców. Jeśli przedsiębiorstwa nadal będą traktować te dokumenty jako aktywa statyczne, liczba wycieków o wysokiej wartości będzie rosła. Logika przesuwa się z prostej ochrony danych w stronę konieczności stosowania dowodów z wiedzą zerową (zero-knowledge proofs), gdzie firma weryfikuje atrybut bez przechowywania faktycznego identyfikatora.

Kradzież poświadczeń i porażka podstawowej higieny

AssuranceAmerica oświadczyła, że po wykryciu incydentu zablokowała przejęte poświadczenia. Ten reaktywny środek nie rozwiązuje problemu sposobu ich kradzieży. Cyberprzestępcy coraz częściej używają złośliwego oprogramowania typu infostealer do przejmowania tokenów sesji i omijania standardowego uwierzytelniania wieloskładnikowego (MFA). Jeśli organizacja polega na MFA opartym na SMS-ach lub powiadomieniach push, jest podatna na ataki typu adversary-in-the-middle.

W tym przypadku celem ataku był prawdopodobnie pracownik, który padł ofiarą kampanii spear-phishingowej lub wyrafinowanej inżynierii społecznej. Wykorzystanie przejętych poświadczeń dowodzi, że obwód sieci nie jest już skuteczną linią obrony. Gdy napastnik posiada ważne poświadczenia, staje się „insiderem”. Jedyną obroną przed takim scenariuszem jest architektura. Odporny system zakłada, że poświadczenia zostaną skradzione i wymaga dodatkowego, kontekstowego dowodu dla każdego zapytania do wrażliwej bazy danych. Deficyt wiedzy specjalistycznej napastnika jest cichym sojusznikiem, jeśli system jest zaprojektowany tak, aby uruchamiać alerty przy nietypowych wzorcach eksfiltracji danych, jednak trzymiesięczny czas przebywania w AssuranceAmerica pokazuje, że ten sojusznik nie został wykorzystany.

Implikacje architektoniczne masowych wycieków tożsamości

Aby złagodzić skutki naruszenia poświadczeń, przedsiębiorstwa muszą wdrożyć architekturę Zero Trust, która traktuje każde połączenie wewnętrzne jako potencjalnie wrogie. Celem jest zapewnienie, że naruszenie nie przerodzi się w katastrofę. Wymaga to przejścia od modelu domniemanego zaufania do modelu ciągłej weryfikacji.

Komponent architektoniczny Podejście tradycyjne Podejście Zero Trust
Segmentacja sieci Płaska sieć z otwartym dostępem wewnętrznym Mikrosegmentacja z dostępem o najniższych uprawnieniach
Weryfikacja tożsamości Hasła i podstawowe MFA MFA odporne na phishing (FIDO2/WebAuthn)
Przechowywanie danych Surowe dane PII w centralnych bazach danych Dane tokenizowane i dowody z wiedzą zerową
Monitorowanie Logi obwodowe i alerty firewall Analityka behawioralna i monitorowanie eksfiltracji danych
Kontrola dostępu Oparta na rolach (RBAC) Oparta na atrybutach (ABAC) z kontekstem

Mikrosegmentacja jest najskuteczniejszym sposobem na ograniczenie promienia rażenia wycieku tożsamości. Jeśli baza danych zawierająca numery praw jazdy jest odizolowana od reszty sieci korporacyjnej, przejęte poświadczenia pracownika nie powinny wystarczyć do uzyskania do niej dostępu. Dostęp musi wymagać drugiego, wysokopoziomowego etapu uwierzytelniania i uzasadnienia biznesowego. Taka konstrukcja gwarantuje, że nawet jeśli napastnik wejdzie do domu, pozostanie zamknięty w jednym pokoju.

Trajektoria regulacyjna dla posiadaczy danych osobowych (PII)

Zaangażowanie prokuratorów generalnych Indiany i Maine wskazuje, że konsekwencje prawne wycieków danych stają się coraz bardziej bezpośrednie. Organy regulacyjne zmierzają w stronę modelu, w którym brak wdrożenia podstawowych zabezpieczeń architektonicznych jest uznawany za zaniedbanie. Zmiana modeli zagrożeń oznacza, że „standardowa praktyka branżowa” nie jest już skuteczną linią obrony, jeśli praktyki te obejmują przechowywanie milionów identyfikatorów w formie otwartego tekstu.

Przyszłe regulacje prawdopodobnie nakażą stosowanie szyfrowania danych w spoczynku i w transmisji, ale skupią się również na koncepcji minimalizacji danych. Jeśli ubezpieczyciel nie potrzebuje numeru prawa jazdy do bieżących operacji, musi on zostać usunięty lub zanonimizowany. Incydent w AssuranceAmerica dowodzi, że posiadanie danych jest zobowiązaniem, które przeważa nad wygodą łatwego dostępu. Podmioty przechowujące dane na dużą skalę muszą przyjąć założenie, że każda informacja PII to potencjalny pozew sądowy.

Plan działania: 12-miesięczna mapa drogowa odporności tożsamości

Szefowie bezpieczeństwa informacji (CISO) muszą działać teraz, aby zapobiec sytuacji, w której ich organizacje staną się kolejną AssuranceAmerica. Poniższe kroki stanowią pragmatyczne ramy restrukturyzacji bezpieczeństwa tożsamości w ciągu najbliższego roku.

  1. Audyt polityk retencji danych (Miesiące 1-2): Zidentyfikuj każdą bazę danych przechowującą numery praw jazdy lub inne dokumenty tożsamości. Usuń wszelkie dane, które nie są prawnie wymagane do bieżących operacji. Wdróż ścisłą politykę zarządzania cyklem życia danych.
  2. Wdrożenie MFA odpornego na phishing (Miesiące 3-5): Wyjdź poza SMS-y i MFA oparte na powiadomieniach push. Wdróż klucze sprzętowe zgodne z FIDO2 lub biometrię opartą na platformie dla wszystkich pracowników mających dostęp do wrażliwych danych klientów. Neutralizuje to zagrożenie ze strony infostealerów i kradzieży poświadczeń.
  3. Wdrożenie mikrosegmentacji (Miesiące 6-9): Odizoluj bazy danych o wysokiej wartości od ogólnej sieci korporacyjnej. Użyj proxy rozpoznających tożsamość (identity-aware proxies), aby zapewnić, że tylko autoryzowani użytkownicy na zarządzanych urządzeniach mogą uzyskać dostęp do PII. Przeprowadź testy penetracyjne skupiające się na ruchu bocznym po początkowym przejęciu konta pracownika.
  4. Adopcja tokenizacji i szyfrowania (Miesiące 10-12): Zastąp surowe numery praw jazdy tokenami w środowiskach nieprodukcyjnych i platformach analitycznych. Upewnij się, że klucze szyfrujące są zarządzane oddzielnie od danych, które chronią. Zbadaj dostawców dowodów z wiedzą zerową pod kątem przyszłych potrzeb weryfikacji tożsamości.

Podsumowanie nowej rzeczywistości

Naruszenie w AssuranceAmerica przypomina, że obwód sieci nie istnieje. 6,99 miliona osób stoi teraz w obliczu dożywotniego ryzyka kradzieży tożsamości, ponieważ skradziono poświadczenia jednego pracownika. Przetrwanie w tym krajobrazie zależy od odporności architektonicznej i szybkości wykrywania. Celem nie jest zapobieganie wszystkim naruszeniom; celem jest zapewnienie, że przejęte poświadczenia nie staną się mapą do całego królestwa. Branża musi odejść od zaufania opartego na dokumentach w stronę przyszłości, w której dane są minimalizowane, segmentowane i stale weryfikowane.

Źródła:
AssuranceAmerica Corporate Notice
Indiana Attorney General Breach Portal
Maine Attorney General Data Disclosure
TechCrunch Cybersecurity Analysis
Texas State Government Breach Reports

Zastrzeżenie: Niniejszy artykuł ma charakter wyłącznie informacyjny i edukacyjny i nie zastępuje profesjonalnego audytu cyberbezpieczeństwa ani usługi reagowania na incydenty.

bg
bg
bg

Do zobaczenia po drugiej stronie.

Nasze kompleksowe, szyfrowane rozwiązanie do poczty e-mail i przechowywania danych w chmurze zapewnia najpotężniejsze środki bezpiecznej wymiany danych, zapewniając bezpieczeństwo i prywatność danych.

/ Utwórz bezpłatne konto