Pod koniec listopada ujawniono, że Uber zapłaci 100.000 XNUMX dolarów za otrzymane cyberataki, aby usunąć zhakowane dane pozyskane i ukryte przez ponad rok. W wyniku tych wiadomości szef ochrony Ubera, Joe Sullivan, musiał zrezygnować z firmy.
Naruszenie przez Ubera uwydatnia fakt, że hasła i proste uwierzytelnianie dwuskładnikowe nie wystarczają już, aby powstrzymać napastników. 81% wycieków danych pochodzi od napastników wykorzystujących skradzione dane uwierzytelniające, a Uber jest teraz odpowiedzialny za utratę kolejnych 57 milionów nazw użytkowników i haseł. W przypadku Ubera słabym ogniwem był proces uwierzytelniania wokół GitHub i AWS.
Naruszenie to będzie miało pozytywne skutki w branży cyberbezpieczeństwa, ponieważ skradzione dane uwierzytelniające często pozostają uśpione w ciemnej sieci lub są w posiadaniu cyberprzestępców tylko po to, aby powrócić w przyszłości. Użytkownicy Ubera muszą zresetować hasła do kont aplikacji i wszystkich innych kont, na których mogła zostać ponownie wykorzystana.
Organizacje (zwłaszcza firmy globalne, takie jak Uber!) Muszą wdrożyć inteligentne i adaptacyjne metody uwierzytelniania ze zintegrowaną kontekstową analizą ryzyka, cofając szkody spowodowane kradzieżą lub utratą danych uwierzytelniających.
Oto podsumowanie tego, jak doszło do ataku Ubera: hakerzy uzyskali dostęp do prywatnej witryny kodowania GitHub, z której korzystają inżynierowie oprogramowania Uber. Następnie wykorzystali dane logowania, które uzyskali, aby uzyskać dostęp do danych przechowywanych na koncie Amazon Web Services (AWS), które obsługiwało czynności przetwarzania dla firmy. Od tego momentu hakerzy byli w stanie odkryć cenne archiwum informacji o sterownikach i sterownikach. Uzbrojeni w te dane skontaktowali się z firmą Uber, aby poprosić o pieniądze.
Ucząc się na błędach Ubera, firmy mogą podjąć trzy kluczowe kroki, aby upewnić się, że nie padną ofiarą podobnego ataku:
Bezpieczne repozytoria GitHub z silnym uwierzytelnianiem wieloskładnikowym (MFA) - dodatkowe kroki uwierzytelniania mogą być uruchamiane przez funkcje, takie jak podejrzane zachowanie sieci źródłowej (takie jak użycie anonimowego serwera proxy lub adresu IP wysokiego ryzyka) lub lokalizacja nieznane i telefoniczne korzystanie z urządzenia.
Wywołaj procesy sprawdzania kodu i upewnij się, że wszystkie poświadczenia zostały usunięte z repozytoriów GitHub - jest to najlepsza praktyka, którą powinny przyjąć wszystkie zespoły programistów.
Chroń systemy działające na AWS dzięki Adaptive Authentication - Adaptacyjna kontrola dostępu zapewnia dodatkowe bezpieczeństwo poza hasłami, a nawet MFA. Analiza kontekstowych czynników ryzyka każdego użytkownika oznacza, że firmy mogą odmówić wysokiego ryzyka lub nietypowych prób logowania.
Takich naruszeń jak Uber można również uniknąć, radykalnie zmieniając sposób, w jaki firmy podchodzą do tożsamości i bezpieczeństwa. Proaktywne podejście do ochrony tożsamości i poświadczeń powinno być głównym celem każdego zespołu ds. Bezpieczeństwa IT. To nie tylko zapobiega niewłaściwemu wykorzystaniu danych uwierzytelniających użytkownika, ale przede wszystkim zmniejsza ryzyko cyberataków.
Organizacje często próbują zamieść wycieki pod dywan. Może to wynikać z obawy przed zniszczeniem marki, reputacji, wahania się przed ujawnieniem danych firmy, obawy przed dalszymi pytaniami o praktyki i zasady lub po prostu kosztownym czyszczeniem wymaganym po naruszeniu. Wszystko to są ważne problemy. Jednak dzięki skutecznemu i szybkiemu ujawnianiu naruszeń firmy mogą skonfrontować się z historią (i grą), pomagając całej branży uczyć się na podstawie naruszenia i odpowiednio działać, aby zminimalizować ryzyko jego ponownego wystąpienia.
Dostępnych jest wiele danych potrzebnych do opracowania strategii łagodzenia skutków, specjalnie dostosowanych do sektorów pionowych lub wielkości firmy. Te dane mogą pomóc chronić organizację, a nawet najlepsze praktyki w całej branży. Dane mogą pomóc w ustaleniu, gdzie leżą zagrożenia oraz zakres i skalę problemu.
Scenariusz poniżej 1%, a dokładnie 0,003%, jest najbardziej zabójczy dla firm. Są to próby logowania z podejrzanych lub znanych złośliwych adresów IP. W takich przypadkach jest prawie pewne, że atak trwa. Uprawnieni użytkownicy nie wchodzą, z kilkoma wyjątkami, z anonimowych adresów IP lub serwerów proxy. Jest to klasyczne zachowanie związane z atakiem i zatrzymujemy je, żądając dodatkowych czynników.
Aby dokładniej zbadać te zagrożenia, SecureAuth opublikował w tym roku inauguracyjny raport o stanie uwierzytelniania. W ciągu dwunastu miesięcy nasz zespół zebrał dane od około 500 klientów korzystających z uwierzytelniania adaptacyjnego. Następnie przeanalizowaliśmy 617,3 miliona prób uwierzytelnienia użytkowników, aby zidentyfikować wskaźniki powodzenia, częstotliwość żądań uwierzytelnienia wieloskładnikowego oraz przyczyny nieudanych prób uwierzytelnienia. W prawie 90% przypadków uwierzytelnianie przebiegało bezproblemowo.
Jednak pozostałe 69,1 miliona prób uwierzytelnienia zostało odrzuconych lub ulepszonych w celu dodatkowego uwierzytelnienia, takiego jak kod typu pass-one (OTP) lub kod push / symbol-to-accept. Oto pięć głównych powodów odmowy dostępu:
Niepoprawne hasła: 60,3 miliona razy.
Podejrzany adres IP: 2,45 miliona prób logowania przeszło na uwierzytelnianie wieloskładnikowe, ponieważ żądanie logowania pochodziło z nietypowego adresu IP.
Użyto nierozpoznanego urządzenia: 830.000 XNUMX razy.
Użyto podejrzanego hasła jednorazowego: 524.000 XNUMX razy, w tym w przypadku otrzymania „odmowy” na żądanie akceptacji.
Samoobsługowe resetowanie hasła: odrzucono 200.000 XNUMX żądań zmiany hasła.
Z 2,45 miliona prób uwierzytelnienia z podejrzanych adresów IP dalsza analiza wykazała, że ponad 77.000 XNUMX zostało całkowicie odrzuconych, ponieważ adres IP został uznany za złośliwy, co jest bardzo niepokojące. Złośliwe adresy IP obejmują te, o których wiadomo, że są powiązane z anomalną infrastrukturą internetową, aktywnością zaawansowanego trwałego zagrożenia (APT), haktywizmem lub działalnością cyberprzestępczą.
W ciągu ostatnich kilku lat, patrząc na wiele głośnych naruszeń, a ostatnio na Uber, wystarczy jedno nadużycie poświadczeń, aby ujawnić bardzo wrażliwe i poufne dane biznesowe i poufne. Zdarzenia te mogą skutkować poważnymi kosztami biznesowymi i szkodami, których zwrot może zająć lata. Planując 2018 rok, firmy powinny zapewnić ochronę wszystkich swoich systemów za pomocą adaptacyjnej lub wieloczynnikowej technologii uwierzytelniania. Ten niezbędny krok zapewnia dynamiczną ochronę przed oportunistycznymi cyberprzestępcami i ma kluczowe znaczenie dla ochrony cennych danych korporacyjnych.