Fin novembre, il a été révélé qu'Uber paierait 100.000 dollars pour les cyberattaques reçues, afin d'effacer les données piratées obtenues et cachées pendant plus d'un an. À la suite de la nouvelle, le chef de la sécurité d'Uber, Joe Sullivan, a dû démissionner de l'entreprise.
La violation d'Uber met en évidence le fait que les mots de passe et la simple authentification à deux facteurs ne suffisent plus pour arrêter les attaquants. 81% des violations de données proviennent d'attaquants utilisant des informations d'identification volées, et Uber est désormais responsable de la perte de 57 millions de noms d'utilisateur et de mots de passe supplémentaires. Dans le cas d'Uber, le maillon faible était le processus d'authentification autour de GitHub et AWS.
Cette violation aura des effets positifs sur le secteur de la cybersécurité, car les informations d'identification volées sont souvent en sommeil sur le dark web ou en possession de cybercriminels pour refaire surface à l'avenir. Les utilisateurs d'Uber doivent réinitialiser les mots de passe de compte pour l'application et tous les autres comptes sur lesquels elle a pu être réutilisée.
Les organisations (en particulier les entreprises mondiales comme Uber!) Doivent mettre en œuvre des méthodes d'authentification intelligentes et adaptatives avec une analyse contextuelle intégrée des risques, afin de réparer les dommages causés par les informations d'identification volées ou perdues.
Voici un récapitulatif de la façon dont l'attaque Uber s'est produite: les pirates ont eu accès à un site de codage GitHub privé utilisé par les ingénieurs logiciels d'Uber. Ils ont ensuite utilisé les informations de connexion qu'ils ont obtenues pour accéder aux données stockées sur un compte Amazon Web Services (AWS) qui gérait les activités de traitement pour l'entreprise. À partir de là, les pirates ont pu découvrir une archive précieuse d'informations sur les pilotes et les pilotes. Armés de ces données, ils ont contacté Uber pour demander de l'argent.
En apprenant des erreurs d'Uber, il y a trois étapes principales que les compagnies peuvent prendre pour s'assurer qu'elles ne sont pas victimes d'une attaque semblable:
Référentiels GitHub sécurisés avec une authentification multifacteur (MFA) forte - Des étapes d'authentification supplémentaires peuvent être déclenchées par des fonctionnalités telles que le comportement suspect du réseau source (comme l'utilisation d'un proxy anonyme ou d'une adresse IP à haut risque) ou l'emplacement utilisation inconnue et par téléphone de l'appareil.
Rappelez les processus de révision de code et assurez-vous que toutes les informations d'identification ont été retirées des référentiels GitHub: c'est la meilleure pratique qui devrait être adoptée par toutes les équipes de développement.
Protégez les systèmes exécutés sur AWS avec l'authentification adaptative - Les contrôles d'accès adaptatifs offrent une sécurité supplémentaire au-delà des mots de passe ou même de l'authentification multifacteur. L'analyse des facteurs de risque contextuels de chaque utilisateur signifie que les entreprises peuvent refuser les tentatives de connexion à haut risque ou inhabituelles.
Des violations telles que celles d'Uber peuvent également être évitées en modifiant fondamentalement la façon dont les entreprises abordent l'identité et la sécurité. Adopter une approche proactive pour protéger les identités et les informations d'identification devrait être l'objectif principal de toute équipe de sécurité informatique. Cela empêche non seulement l'utilisation abusive des informations d'identification des utilisateurs, mais surtout réduit le risque de cyberattaques.
Les organisations essaient souvent de balayer les fuites sous le tapis. Cela peut être dû à la crainte de dommages à la marque, à la réputation, à l'hésitation à divulguer les détails de l'entreprise, à la peur de nouvelles questions sur les pratiques et les politiques, ou simplement au nettoyage coûteux requis après une violation. Tous ces problèmes sont valables. Cependant, en révélant efficacement et rapidement les violations, les entreprises peuvent faire face à l'histoire (et au jeu), aidant ainsi l'industrie dans son ensemble à tirer des leçons de la violation et à agir en conséquence pour minimiser le risque qu'elle se reproduise.
De nombreuses données sont disponibles pour développer des stratégies d'atténuation, spécifiquement adaptées aux secteurs verticaux ou à la taille de l'entreprise. Ces données peuvent aider à protéger une organisation ou même les meilleures pratiques dans tout un secteur. Les données peuvent aider à révéler où se situent les menaces ainsi que l'étendue et l'ampleur du problème.
Le scénario de moins de 1%, 0,003% pour être exact, est le plus meurtrier pour les entreprises. Il s'agit de tentatives de connexion à partir d'adresses IP malveillantes suspectées ou connues. Dans ces cas, il est presque certain qu'une attaque est en cours. Les utilisateurs légitimes n'entrent pas, à quelques exceptions près, à partir d'adresses IP ou de proxys anonymes. Il s'agit d'un comportement d'attaque classique et nous l'arrêtons en demandant des facteurs supplémentaires.
Pour explorer davantage ces risques, SecureAuth a publié cette année son premier rapport sur l'état de l'authentification. Au cours de douze mois, notre équipe a collecté les données d'environ 500 clients à l'aide de l'authentification adaptative. Nous avons ensuite analysé 617,3 millions de tentatives d'authentification d'utilisateurs pour identifier les taux de réussite, la fréquence à laquelle l'authentification multifacteur était demandée et les raisons des tentatives d'authentification échouées. Presque 90% du temps, l'authentification s'est déroulée sans problème.
Cependant, les 69,1 millions de tentatives d'authentification restantes ont été refusées ou améliorées pour une authentification supplémentaire, comme un code passe-un (OTP) ou push / symbol-to-accept. Les cinq principales raisons de refuser l'accès étaient les suivantes:
Mots de passe incorrects: 60,3 millions de fois.
Adresse IP suspecte: 2,45 millions de tentatives de connexion sont passées à l'authentification multifacteur car une demande de connexion provenait d'une adresse IP inhabituelle.
Un périphérique non reconnu utilisé: 830.000 fois.
Code secret suspect à usage unique utilisé: 524.000 XNUMX fois, y compris lorsque le message «Refuser» a été reçu lors d'une demande push-to-accept.
Réinitialisation du mot de passe en mode libre-service: les demandes de changement de mot de passe 200.000 ont été refusées.
Sur les 2,45 millions de tentatives d'authentification à partir d'adresses IP suspectes, une analyse plus approfondie a révélé que plus de 77.000 XNUMX ont été purement et simplement refusées parce que l'adresse IP a été jugée malveillante, ce qui est très préoccupant. Les adresses IP malveillantes incluent celles connues pour être associées à une infrastructure Internet anormale, à une activité de menace persistante avancée (APT), au hacktivisme ou à une activité cybercriminelle.
Au cours des dernières années, en examinant de nombreuses violations très médiatisées et plus récemment Uber, il suffit d'un seul abus d'informations d'identification pour exposer des données d'entreprise et confidentielles hautement sensibles et confidentielles. Ces événements peuvent entraîner des coûts commerciaux importants et des dommages dont le remboursement pourrait prendre des années. Alors que les entreprises planifient pour 2018, elles doivent s'assurer que tous leurs systèmes sont protégés par une technologie d'authentification adaptative ou multifactorielle. Cette étape essentielle fournit une défense dynamique contre les cybercriminels opportunistes et est essentielle à la protection des données d'entreprise précieuses.