100.000月末に、Uberは、受信したサイバー攻撃に対してXNUMXドルを支払い、XNUMX年以上にわたって取得および非表示にされたハッキングされたデータを消去することが明らかになりました。 このニュースを受けて、Uberのセキュリティ責任者であるJoeSullivanは会社を辞任しなければなりませんでした。
Uberの違反は、パスワードと単純な81要素認証では攻撃者を阻止するのにもはや十分ではないという事実を浮き彫りにします。 データ侵害の57%は、盗まれた資格情報を使用する攻撃者によるものであり、Uberは現在、さらにXNUMX万のユーザー名とパスワードを失う責任があります。 Uberの場合、弱点はGitHubとAWS周辺の認証プロセスでした。
盗まれた資格情報はダークウェブ上で休止状態にあるか、サイバー犯罪者が将来再浮上するためだけに所有していることが多いため、この違反はサイバーセキュリティ業界にプラスの影響を及ぼします。 Uberユーザーは、アプリおよび再利用された可能性のあるその他のアカウントのアカウントパスワードをリセットする必要があります。
組織(特にUberのようなグローバル企業!)は、統合されたコンテキストリスク分析を備えたインテリジェントで適応性のある認証方法を実装し、資格情報の盗難や紛失による被害を元に戻す必要があります。
Uber攻撃がどのように発生したかを要約すると、ハッカーはUberソフトウェアエンジニアが使用するプライベートGitHubコーディングサイトにアクセスできました。 次に、取得したログイン資格情報を使用して、会社の処理アクティビティを処理するAmazon Web Services(AWS)アカウントに保存されているデータにアクセスしました。 この時点から、ハッカーはドライバーとドライバー情報の貴重なアーカイブを発見することができました。 このデータを武器に、彼らはUberに連絡してお金を求めました。
Uberの過ちから学ぶには、企業が同様の攻撃の犠牲にならないようにするために企業が取ることができる3つの重要なステップがあります。
強力なマルチファクター認証(MFA)を備えた安全なGitHubリポジトリ-疑わしいソースネットワークの動作(匿名プロキシや高リスクIPの使用など)や場所などの機能によって、追加の認証手順をトリガーできます。デバイスのなじみのない電話の使用。
コードレビュープロセスを思い出し、すべての資格がGitHubリポジトリから削除されていることを確認します。これは、すべての開発チームが採用するベストプラクティスです。
AWSで実行されているシステムを適応認証で保護する-適応アクセス制御は、パスワードやMFAを超えた追加のセキュリティを提供します。 各ユーザーのコンテキストリスク要因を分析することは、企業が高リスクまたは異常なログイン試行を拒否できることを意味します。
Uberのような違反は、企業がアイデンティティとセキュリティにアプローチする方法を根本的に変えることによっても回避できます。 IDと資格情報を保護するために積極的なアプローチを取ることは、ITセキュリティチームの主要な目標である必要があります。 これにより、ユーザー資格情報の誤用を防ぐだけでなく、何よりもサイバー攻撃のリスクを軽減できます。
組織はしばしば敷物の下で漏れを一掃しようとします。 これは、ブランドの損傷、評判、ビジネスの詳細を開示することへの躊躇、慣行や方針に関するさらなる質問への恐れ、または単に違反後に必要な費用のかかる清掃が原因である可能性があります。 これらはすべて有効な問題です。 ただし、違反を効果的かつ迅速に開示することで、企業はストーリー(およびゲーム)に立ち向かい、業界全体が違反から学び、それに応じて行動し、再発の可能性を最小限に抑えることができます。
緩和戦略を開発するために利用できるデータはたくさんあり、特に垂直セクターや企業規模に合わせて調整されています。 このデータは、組織または業界全体のベストプラクティスを保護するのに役立ちます。 データは、脅威がどこにあるか、問題の範囲と規模を明らかにするのに役立ちます。
1%未満のシナリオ、正確には0,003%は、企業にとって最も致命的です。 これらは、疑わしいまたは既知の悪意のあるIPからのログイン試行です。 これらの場合、攻撃が進行中であることはほぼ確実です。 正当なユーザーは、いくつかの例外を除いて、匿名のIPまたはプロキシからは入りません。 これは古典的な攻撃動作であり、追加の要素を要求することで停止します。
これらのリスクをさらに調査するために、SecureAuthは今年最初の認証ステータスレポートをリリースしました。 私たちのチームは、500か月の間に、適応認証を使用して約617,3人の顧客からデータを収集しました。 次に、90億XNUMX万回のユーザー認証の試行を分析して、成功率、多要素認証が要求された頻度、および認証試行が失敗した理由を特定しました。 ほぼXNUMX%の時間、認証はスムーズに進みました。
ただし、残りの69,1万回の認証試行は、パスXNUMX(OTP)やプッシュ/シンボルから承認へのコードなどの追加の認証のために拒否または拡張されました。 アクセスを拒否する上位XNUMXつの理由は次のとおりです。
間違ったパスワード:60,3何百万回。
疑わしいIPアドレス:ログイン要求が異常なIPアドレスから送信されたため、2,45万回のログイン試行が多要素認証に切り替わりました。
認識されないデバイスが使用されました:830.000回。
使用された疑わしい524.000回限りのパスコード:プッシュツーアクセプトリクエストで「拒否」が受信された場合を含め、XNUMX回。
セルフサービスモードでのパスワードリセット:200.000のパスワード変更要求が拒否されました。
疑わしいIPアドレスからの2,45万回の認証試行のうち、77.000以上が、IPアドレスが悪意があると見なされたために完全に拒否されたことが判明しました。これは、非常に懸念されます。 悪意のあるIPアドレスには、異常なインターネットインフラストラクチャ、高度な永続的脅威(APT)アクティビティ、ハッキング、またはサイバー犯罪アクティビティに関連することがわかっているアドレスが含まれます。
近年、注目を集めている違反の多くと最近ではUberを調査しましたが、機密性の高い企業データや機密データを公開するのに、資格情報の乱用は2018回だけで済みます。 これらのイベントは、回復するのに何年もかかる可能性のある深刻なビジネスコストと損害をもたらす可能性があります。 企業はXNUMX年を計画しているため、すべてのシステムが適応型または多因子認証テクノロジーによって保護されていることを確認する必要があります。 この重要なステップは、日和見的なサイバー犯罪者に対する動的な防御を提供し、貴重な企業データを保護するために重要です。