Alla fine di novembre è stato rivelato che Uber avrebbe pagato $ 100.000 per gli attacchi informatici ricevuti, per cancellare i dati violati ottenuti e nascosti per oltre un anno. Sulla scia della notizia, il capo della sicurezza di Uber, Joe Sullivan, ha dovuto dimettersi dall’azienda.
La violazione di Uber mette in evidenza il fatto che le password e l’autenticazione semplice a due fattori non sono più sufficienti per fermare gli aggressori. L’81% delle violazioni dei dati proviene da aggressori che utilizzano credenziali rubate e Uber è ora responsabile della perdita di altri 57 milioni di nomi utente e password. Nel caso di Uber il collegamento debole era il processo di autenticazione attorno a GitHub e AWS.
Questa violazione avrà effetti positivi nel settore della cibersicurezza poiché le credenziali rubate spesso giacciono dormienti sul web oscuro o in possesso di criminali informatici solo per riaffiorare in futuro. Gli utenti Uber devono reimpostare le password dell’account per l’app e tutti gli altri account in cui potrebbe essere stato riutilizzato.
Le organizzazioni (in particolare aziende globali come Uber!) Devono implementare metodi di autenticazione intelligenti e adattivi con l’analisi del rischio contestuale integrata, annullando il danno derivante da credenziali rubate o perse.
Ecco un riepilogo di come è avvenuto l’attacco Uber: gli hacker hanno ottenuto l’accesso a un sito di codifica GitHub privato utilizzato dagli ingegneri del software Uber. Hanno quindi utilizzato le credenziali di accesso ottenute per accedere ai dati memorizzati su un account Amazon Web Services (AWS) che gestiva le attività di elaborazione per l’azienda. Da questo punto, gli hacker sono stati in grado di scoprire un prezioso archivio di informazioni su guidatore e pilota. Armati di questi dati, contattarono Uber per chiedere denaro.
Imparando dagli errori di Uber, ci sono tre passaggi chiave che le aziende possono intraprendere per assicurarsi che non cadano vittima di un attacco simile:
Proteggi i repository GitHub con una forte autenticazione a più fattori (MFA): ulteriori passaggi di autenticazione possono essere attivati da caratteristiche che includono comportamenti sospetti di rete di origine (come l’utilizzo di proxy anonimo o IP ad alto rischio) o posizione non familiare e telefono di utilizzo del dispositivo.
Richiama i processi di revisione del codice e assicurati che tutte le credenziali siano state rimosse dai repository GitHub: questa è la best practice che dovrebbe essere adottata da tutti i team di sviluppo.
Proteggi i sistemi in esecuzione in AWS con Adaptive Authentication: i controlli di accesso adattivi forniscono ulteriore sicurezza oltre le password o persino l’MFA. Analizzare i fattori di rischio contestuali di ogni utente significa che le aziende possono negare i tentativi di accesso ad alto rischio o insoliti.
Violazioni come quelle di Uber possono anche essere evitate cambiando radicalmente il modo in cui le aziende si avvicinano all’identità e alla sicurezza. Adottare un approccio proattivo alla protezione delle identità e delle credenziali dovrebbe essere l’obiettivo principale di qualsiasi team di sicurezza IT. Ciò impedisce non solo l’uso improprio delle credenziali dell’utente, ma soprattutto riduce il rischio di attacchi informatici.
Le organizzazioni spesso cercano di spazzare le falle sotto il tappeto. Ciò potrebbe essere dovuto al timore di danni al marchio, alla reputazione, all’esitazione di rivelare dettagli aziendali, alla paura di ulteriori domande su pratiche e politiche o semplicemente alla pulizia costosa necessaria dopo una violazione. Tutti questi sono problemi validi. Tuttavia, divulgando efficacemente e tempestivamente le violazioni, le aziende possono mettersi di fronte alla storia (e al gioco), aiutando l’industria in generale a imparare dalla violazione e agire di conseguenza per ridurre al minimo la possibilità che accada di nuovo.
Sono disponibili molti dati per sviluppare strategie di mitigazione, specificamente adattate per settori verticali o dimensioni aziendali. Questi dati possono aiutare a proteggere un’organizzazione o anche le migliori pratiche all’interno di un intero settore. I dati possono aiutare a rivelare dove si trovano le minacce e la portata e le dimensioni del problema.
Lo scenario inferiore all’1%, lo 0,003% per essere esatti, è il più letale per le imprese. Questi sono i tentativi di accesso da IP malevoli sospetti o noti. In questi casi è quasi certo che un attacco è in corso. Gli utenti legittimi non entrano, con poche eccezioni, da IP o proxy anonimi. Questo è un classico comportamento di attacco e lo interrompiamo richiedendo ulteriori fattori.
Per esplorare ulteriormente questi rischi, SecureAuth ha rilasciato il suo rapporto sullo stato di autenticazione inaugurale quest’anno. Nel corso di dodici mesi, il nostro team ha raccolto dati da circa 500 clienti utilizzando l’autenticazione adattiva. Abbiamo quindi analizzato 617,3 milioni di tentativi di autenticazione dell’utente per identificare le percentuali di successo, la frequenza con cui è stata richiesta l’autenticazione a più fattori e i motivi dei tentativi di autenticazione falliti. Quasi il 90% delle volte l’autenticazione è avvenuta senza intoppi.
Tuttavia, i rimanenti 69,1 milioni di tentativi di autenticazione sono stati negati o potenziati per un’autenticazione aggiuntiva, come un codice pass-one (OTP) o push / symbol-to-accept. I cinque principali motivi per negare l’accesso erano i seguenti:
Password errate: 60,3 milioni di volte.
Indirizzo IP sospetto: 2,45 milioni di tentativi di accesso sono passati all’autenticazione a più fattori perché una richiesta di accesso proveniva da un indirizzo IP insolito.
Un dispositivo non riconosciuto utilizzato: 830.000 volte.
Codice di accesso monouso sospetto utilizzato: 524.000 volte, incluso quando “negare” è stato ricevuto sulla richiesta push-to-accept.
Ripristino password in modalità self-service: sono state negate 200.000 richieste di modifica della password.
Dei 2,45 milioni di tentativi di autenticazione provenienti da indirizzi IP sospetti, un’ulteriore analisi ha rilevato che oltre 77.000 sono stati negati a titolo definitivo perché l’indirizzo IP era ritenuto dannoso, il che è molto preoccupante. Gli indirizzi IP dannosi includono quelli noti per essere associati ad un’infrastruttura internet anomala, attività di Advanced persistent threat (APT), hacktivism o attività cybercriminale.
Negli ultimi anni, esaminando molte delle violazioni di alto profilo e, più recentemente, Uber, ci vuole solo un singolo abuso di credenziali per esporre dati aziendali e riservati altamente sensibili e riservati. Questi eventi possono comportare gravi costi per l’azienda e danni che potrebbero richiedere anni di recupero. Poiché le aziende pianificano per il 2018, dovrebbero garantire che tutti i loro sistemi siano protetti da una tecnologia di autenticazione adattiva o multifattoriale. Questo passaggio essenziale fornisce una difesa dinamica contro i cyber-criminali opportunisti ed è fondamentale per proteggere preziosi dati aziendali.