网络安全

基于文档的信任之死:为何 690 万份被盗驾照迫切需要新的身份架构

分析 AssuranceAmerica 泄露事件(涉及 690 万份驾照)以及缓解系统性身份风险所需的架构转型。
基于文档的信任之死:为何 690 万份被盗驾照迫切需要新的身份架构

印第安纳州和缅因州总检察长最近处理了 AssuranceAmerica 的数据泄露通知,确认了 699 万条记录遭到泄露。这一事件是今年记录在案的美国驾驶执照信息泄露规模最大的一次。监管机构不再将此类事件视为孤立的企业失败,而是将其视为对国家身份基础设施的系统性威胁。随着各州政府推动强制要求上传文档的年龄验证法,集中存储政府颁发身份证件的法律责任已达到临界点。AssuranceAmerica 泄露事件是一个信号,表明传统的身份文档信任模型已经崩溃。

AssuranceAmerica 泄露机制分析

AssuranceAmerica 于 3 月 17 日发现其计算机系统遭到未经授权的访问。随后的调查于 6 月 15 日结束,结果显示黑客窃取了姓名、联系信息和驾驶执照号码。攻击者还访问了汽车保险保单、理赔详情和车辆信息。虽然该公司未披露具体的切入点,但确认黑客针对一名员工并使用了被盗凭据。这表明身份与访问管理 (IAM) 协议存在缺陷。

攻击者在网络内部停留了近三个月。这种停留时间表明内部环境缺乏检测横向移动所需的遥测技术。在许多保险遗留系统中,员工凭据提供对数据库的广泛访问权限,因为网络架构假设经过身份验证的用户就是受信任的用户。这一假设是现代企业安全的主要缺陷。一旦攻击者绕过了初始凭据检查,由于缺乏微隔离,他们能够在不触发自动锁定的情况下访问近 700 万条敏感记录。

政府颁发标识符的风险责任

驾驶执照号码不仅仅是数据片段。它们是合成身份欺诈和复杂冒充攻击的基础密钥。与信用卡号不同,驾驶执照号码很难且更改成本高昂。当保险提供商丢失 690 万个此类标识符时,会给受影响人群带来永久性风险。行业必须重新考虑为何以原始、可搜索的格式存储这些文档。

保险提供商收集这些数据是为了验证资格和评估风险。然而,存储实际号码是一种设计选择,它优先考虑了遗留数据库的兼容性而非安全性。当前全球年龄验证法律的趋势增加了这种风险。每当用户上传文档以证明其年龄或身份时,他们就为威胁行为者创造了一个新目标。如果企业继续将这些文档视为静态资产,高价值泄露的规模将会增加。逻辑必须从简单的数据保护转向零知识证明的必要性,即公司在不存储实际标识符的情况下验证属性。

凭据窃取与基础安全防护的失败

AssuranceAmerica 表示在发现后禁用了被盗凭据。这种反应性措施并未解决凭据是如何被窃取的。威胁行为者越来越多地使用窃密木马 (infostealer) 来获取会话令牌并绕过标准的多因素身份验证 (MFA)。如果组织依赖基于短信或推送通知的 MFA,它很容易受到中间人攻击。

在这种情况下,目标员工很可能是鱼叉式网络钓鱼活动或复杂的社会工程攻击的受害者。使用被盗凭据证明了边界不再是有效的防御线。当攻击者拥有有效凭据时,他们就是内部人员。架构是应对这种情况的唯一防御手段。一个具有韧性的系统会假设凭据会被盗,并对每个敏感数据库查询要求额外的、上下文相关的证明。如果系统设计为在异常数据流出模式下触发警报,攻击者的专业知识不足本可以成为“暗中盟友”,但 AssuranceAmerica 三个月的停留时间表明这一盟友并未被利用。

大规模身份泄露对架构的影响

为了减轻凭据被盗的影响,企业必须实施零信任架构,将每个内部连接视为潜在的敌对连接。目标是确保局部失守不会演变成灾难。这需要从隐含信任模型转变为持续验证模型。

架构组件 传统方法 零信任方法
网络分段 具有开放内部访问权限的扁平网络 具有最小权限访问的微隔离
身份验证 密码和基础 MFA 抗钓鱼 MFA (FIDO2/WebAuthn)
数据存储 存储在中央数据库中的原始 PII 令牌化数据和零知识证明
监控 边界日志和防火墙警报 行为分析和数据流出监控
访问控制 基于角色 (RBAC) 基于属性 (ABAC) 且带有上下文

微隔离是限制身份泄露波及范围最有效的方法。如果包含驾驶执照号码的数据库与公司网络的其余部分隔离,那么被盗的员工凭据就不应足以访问它。访问必须要求二次高保证身份验证步骤和合法的业务理由。这种设计确保了即使攻击者进入了房子,他们也会被锁在单个房间里。

个人身份信息 (PII) 持有者的监管趋势

印第安纳州和缅因州总检察长的介入表明,数据泄露的法律后果正变得更加直接。监管机构正转向一种模型,即未能实施基本架构保护措施将被视为疏忽。威胁模型的转变意味着,如果“行业标准做法”包括存储数百万个明文标识符,那么这些做法将不再是有效的辩护理由。

未来的法规可能会强制要求对静态和传输中的数据进行加密,但它们也将关注数据最小化的概念。如果保险提供商在日常运营中不需要驾驶执照号码,则必须将其清除或匿名化。AssuranceAmerica 事件证明,持有数据是一种负担,其风险超过了访问便利带来的好处。大规模数据持有者必须建立这样一种心态:每一件 PII 都是一个潜在的等待发生的诉讼。

行动计划:身份韧性 12 个月路线图

首席信息安全官 (CISO) 必须立即采取行动,防止其组织成为下一个 AssuranceAmerica。以下步骤为未来一年的身份安全重组提供了一个务实的框架。

  1. 审计数据保留政策(第 1-2 个月): 识别存储驾驶执照号码或其他政府身份证件的每个数据库。清除当前运营法律不要求的任何数据。实施严格的数据生命周期管理政策。
  2. 部署抗钓鱼 MFA(第 3-5 个月): 超越短信和基于推送的 MFA。为所有有权访问敏感客户数据的员工实施符合 FIDO2 标准的硬件密钥或基于平台的生物识别。这可以中和窃密木马和凭据窃取的威胁。
  3. 实施微隔离(第 6-9 个月): 将高价值数据库与一般公司网络隔离。使用身份感知代理,确保只有受管设备上的授权用户才能访问 PII。进行专门针对初始员工失守后横向移动的渗透测试。
  4. 采用令牌化和加密(第 10-12 个月): 在非生产环境和分析平台中用令牌替换原始驾驶执照号码。确保加密密钥与受保护的数据分开管理。为未来的身份验证需求探索零知识证明提供商。

新现状总结

AssuranceAmerica 泄露事件提醒我们,边界已死。由于一名员工的凭据被盗,699 万人现在面临终身的身份风险。在这种环境下生存取决于架构韧性和检测速度。目标不是防止所有入侵;目标是确保被盗的凭据不会提供通往整个王国的地图。行业必须摆脱基于文档的信任,转向数据最小化、分段化和持续验证的未来。

来源:
AssuranceAmerica Corporate Notice
Indiana Attorney General Breach Portal
Maine Attorney General Data Disclosure
TechCrunch Cybersecurity Analysis
Texas State Government Breach Reports

免责声明:本文仅供信息参考和教育目的,不能替代专业的网络安全审计或事件响应服务。

bg
bg
bg

另一边见

我们的端到端加密电子邮件和云存储解决方案提供了最强大的安全通信手段,确保您的数据安全和隐私。

/ 创建免费账户