Ende November wurde bekannt gegeben, dass Uber 100.000 US-Dollar für die erhaltenen Cyber-Angriffe zahlen würde, um die gehackten Daten zu löschen, die über ein Jahr lang erhalten und versteckt wurden. Nach den Nachrichten musste Ubers Sicherheitschef Joe Sullivan aus dem Unternehmen ausscheiden.
Die Verletzung von Uber unterstreicht die Tatsache, dass Passwörter und eine einfache Zwei-Faktor-Authentifizierung nicht mehr ausreichen, um Angreifer aufzuhalten. 81% der Datenverletzungen stammen von Angreifern, die gestohlene Anmeldeinformationen verwenden, und Uber ist jetzt für den Verlust weiterer 57 Millionen Benutzernamen und Passwörter verantwortlich. In Ubers Fall war das schwache Glied der Authentifizierungsprozess um GitHub und AWS.
Dieser Verstoß wird sich positiv auf die Cybersicherheitsbranche auswirken, da gestohlene Anmeldeinformationen häufig im dunklen Internet oder im Besitz von Cyberkriminellen ruhen, um in Zukunft wieder aufzutauchen. Uber-Benutzer müssen die Kontokennwörter für die App und alle anderen Konten zurücksetzen, bei denen sie möglicherweise wiederverwendet wurden.
Unternehmen (insbesondere globale Unternehmen wie Uber!) Müssen intelligente und adaptive Authentifizierungsmethoden mit integrierter kontextbezogener Risikoanalyse implementieren, um den Schaden durch gestohlene oder verlorene Anmeldeinformationen rückgängig zu machen.
Hier ist eine Zusammenfassung des Uber-Angriffs: Hacker erhielten Zugriff auf eine private GitHub-Codierungssite, die von Uber-Softwareentwicklern verwendet wird. Anschließend verwendeten sie die erhaltenen Anmeldeinformationen, um auf Daten zuzugreifen, die in einem Amazon Web Services-Konto (AWS) gespeichert waren, das die Verarbeitungsaktivitäten für das Unternehmen abwickelte. Von diesem Punkt an konnten die Hacker ein wertvolles Archiv von Fahrern und Fahrerinformationen aufdecken. Mit diesen Daten bewaffnet, kontaktierten sie Uber, um um Geld zu bitten.
Aus Ubers Fehlern lernen, gibt es drei wichtige Schritte, die Unternehmen unternehmen können, um sicherzustellen, dass sie nicht einem ähnlichen Angriff zum Opfer fallen:
Sichere GitHub-Repositorys mit starker Multi-Faktor-Authentifizierung (MFA) - Zusätzliche Authentifizierungsschritte können durch Funktionen wie verdächtiges Quellnetzwerkverhalten (z. B. Verwendung eines anonymen Proxys oder IP mit hohem Risiko) oder Standort ausgelöst werden ungewohnte und telefonische Nutzung des Geräts.
Rufen Sie Code-Review-Prozesse ab und stellen Sie sicher, dass alle Anmeldedaten aus den GitHub-Repositorys entfernt wurden: Dies ist die beste Vorgehensweise, die von allen Entwicklungsteams übernommen werden sollte.
Schützen Sie Systeme, die unter AWS ausgeführt werden, mit adaptiver Authentifizierung - Adaptive Zugriffskontrollen bieten zusätzliche Sicherheit über Kennwörter oder sogar MFA hinaus. Durch die Analyse der kontextbezogenen Risikofaktoren jedes Benutzers können Unternehmen risikoreiche oder ungewöhnliche Anmeldeversuche ablehnen.
Verstöße wie die von Uber können auch vermieden werden, indem die Art und Weise, wie Unternehmen mit Identität und Sicherheit umgehen, grundlegend geändert wird. Ein proaktiver Ansatz zum Schutz von Identitäten und Anmeldeinformationen sollte das Hauptziel eines jeden IT-Sicherheitsteams sein. Dies verhindert nicht nur den Missbrauch von Benutzeranmeldeinformationen, sondern verringert vor allem das Risiko von Cyberangriffen.
Unternehmen versuchen oft, Lecks unter den Teppich zu kehren. Dies kann auf die Angst vor Markenschäden, den Ruf, das Zögern bei der Offenlegung von Geschäftsdetails, die Angst vor weiteren Fragen zu Praktiken und Richtlinien oder einfach auf die kostspielige Reinigung zurückzuführen sein, die nach einem Verstoß erforderlich ist. All dies sind gültige Probleme. Indem Unternehmen Verstöße jedoch effektiv und zeitnah offenlegen, können sie sich mit der Geschichte (und dem Spiel) auseinandersetzen und der Branche dabei helfen, aus dem Verstoß zu lernen und entsprechend zu handeln, um die Wahrscheinlichkeit eines erneuten Auftretens zu minimieren.
Es stehen viele Daten zur Verfügung, um Minderungsstrategien zu entwickeln, die speziell auf vertikale Sektoren oder Unternehmensgrößen zugeschnitten sind. Diese Daten können zum Schutz eines Unternehmens oder sogar von Best Practices innerhalb einer gesamten Branche beitragen. Die Daten können Aufschluss darüber geben, wo die Bedrohungen liegen und wie groß und umfangreich das Problem ist.
Das Szenario mit weniger als 1%, genauer gesagt 0,003%, ist für Unternehmen das tödlichste. Dies sind Anmeldeversuche von verdächtigen oder bekannten böswilligen IPs. In diesen Fällen ist es fast sicher, dass ein Angriff im Gange ist. Berechtigte Benutzer geben mit wenigen Ausnahmen keine anonymen IPs oder Proxys ein. Dies ist ein klassisches Angriffsverhalten und wir stoppen es, indem wir zusätzliche Faktoren anfordern.
Um diese Risiken weiter zu untersuchen, hat SecureAuth in diesem Jahr seinen ersten Authentifizierungsstatusbericht veröffentlicht. Innerhalb von zwölf Monaten sammelte unser Team mithilfe der adaptiven Authentifizierung Daten von ungefähr 500 Kunden. Anschließend analysierten wir 617,3 Millionen Benutzerauthentifizierungsversuche, um die Erfolgsraten, die Häufigkeit der Anforderung einer Multi-Faktor-Authentifizierung und die Gründe für fehlgeschlagene Authentifizierungsversuche zu ermitteln. In fast 90% der Fälle verlief die Authentifizierung reibungslos.
Die verbleibenden 69,1 Millionen Authentifizierungsversuche wurden jedoch für eine zusätzliche Authentifizierung abgelehnt oder erweitert, z. B. ein Pass-One-Code (OTP) oder ein Push / Symbol-to-Accept-Code. Die fünf wichtigsten Gründe für die Verweigerung des Zugriffs waren folgende:
Falsche Passwörter: 60,3 Millionen Male.
Verdächtige IP-Adresse: 2,45 Millionen Anmeldeversuche haben auf Multi-Faktor-Authentifizierung umgestellt, da eine Anmeldeanforderung von einer ungewöhnlichen IP-Adresse kam.
Ein unerkanntes Gerät benutzt: 830.000 mal.
Verdächtiger einmaliger Passcode verwendet: 524.000 Mal, einschließlich des Empfangs von "Verweigern" auf Push-to-Accept-Anforderung.
Zurücksetzen des Kennworts im Self-Service-Modus: 200.000-Kennwortänderungsanforderungen wurden abgelehnt.
Von den 2,45 Millionen Authentifizierungsversuchen von verdächtigen IP-Adressen ergab eine weitere Analyse, dass mehr als 77.000 sofort abgelehnt wurden, weil die IP-Adresse als bösartig eingestuft wurde, was sehr besorgniserregend ist. Zu den böswilligen IP-Adressen gehören Adressen, von denen bekannt ist, dass sie mit einer anomalen Internetinfrastruktur, APT-Aktivitäten (Advanced Persistent Threat), Hacktivismus oder Cyberkriminellen verbunden sind.
In den letzten Jahren, in denen viele der bekanntesten Verstöße und zuletzt Uber untersucht wurden, ist nur ein einziger Missbrauch von Anmeldeinformationen erforderlich, um hochsensible und vertrauliche Unternehmens- und vertrauliche Daten offenzulegen. Diese Ereignisse können zu erheblichen Geschäftskosten und Schäden führen, deren Wiederherstellung Jahre dauern kann. Wenn Unternehmen für 2018 planen, sollten sie sicherstellen, dass alle ihre Systeme durch adaptive oder multifaktorielle Authentifizierungstechnologien geschützt sind. Dieser wesentliche Schritt bietet eine dynamische Verteidigung gegen opportunistische Cyberkriminelle und ist für den Schutz wertvoller Unternehmensdaten von entscheidender Bedeutung.