В конце ноября выяснилось, что Uber заплатит 100.000 долларов за полученные кибератаки, чтобы стереть взломанные данные, полученные и скрытые более года. После появления новостей главе службы безопасности Uber Джо Салливану пришлось уйти из компании.
Взлом Uber подчеркивает тот факт, что паролей и простой двухфакторной аутентификации уже недостаточно, чтобы остановить злоумышленников. 81% утечек данных происходит от злоумышленников, использующих украденные учетные данные, и теперь Uber несет ответственность за потерю еще 57 миллионов имен пользователей и паролей. В случае с Uber слабым звеном был процесс аутентификации на GitHub и AWS.
Это нарушение окажет положительное влияние на индустрию кибербезопасности, поскольку украденные учетные данные часто бездействуют в темной сети или находятся во владении киберпреступников только для того, чтобы снова появиться в будущем. Пользователи Uber должны сбросить пароли учетных записей для приложения и любых других учетных записей, в которых оно могло использоваться повторно.
Организациям (особенно глобальным компаниям, таким как Uber!) Необходимо внедрять интеллектуальные и адаптивные методы аутентификации с интегрированным контекстным анализом рисков, устраняя ущерб от кражи или утери учетных данных.
Вот краткое описание того, как произошла атака Uber: хакеры получили доступ к частному сайту кодирования GitHub, используемому разработчиками программного обеспечения Uber. Затем они использовали полученные учетные данные для доступа к данным, хранящимся в учетной записи Amazon Web Services (AWS), которая обрабатывала операции для компании. С этого момента хакеры смогли раскрыть ценный архив драйверов и информации о драйверах. Вооружившись этими данными, они связались с Uber и попросили денег.
Изучая ошибки Убера, есть три ключевых шага, которые могут предпринять компании, чтобы они не стали жертвами подобной атаки:
Безопасные репозитории GitHub с надежной многофакторной аутентификацией (MFA) - дополнительные шаги аутентификации могут быть вызваны функциями, включая подозрительное поведение исходной сети (например, использование анонимного прокси или IP-адрес с высоким риском) или местоположение незнакомое и телефонное использование устройства.
Вызовите процессы проверки кода и убедитесь, что все учетные данные были удалены из репозиториев GitHub: это лучшая практика, которая должна быть принята всеми командами разработчиков.
Защитите системы, работающие на AWS, с помощью адаптивной аутентификации - адаптивные элементы управления доступом обеспечивают дополнительную безопасность помимо паролей или даже MFA. Анализ контекстуальных факторов риска каждого пользователя означает, что компании могут отклонять попытки входа в систему с высоким риском или необычные.
Взломов, таких как Uber, также можно избежать, коренным образом изменив подход компаний к идентификации и безопасности. Упреждающий подход к защите личности и учетных данных должен быть основной целью любой группы ИТ-безопасности. Это не только предотвращает неправильное использование учетных данных пользователя, но, прежде всего, снижает риск кибератак.
Организации часто пытаются скрыть утечки. Это может быть связано со страхом нанесения ущерба бренду, репутацией, нерешительностью в раскрытии сведений о бизнесе, опасением дополнительных вопросов о методах и политиках или просто дорогостоящей очисткой, необходимой после нарушения. Все это серьезные проблемы. Однако, эффективно и быстро раскрывая нарушения, компании могут противостоять истории (и игре), помогая отрасли в целом извлекать уроки из нарушения и действовать соответствующим образом, чтобы минимизировать вероятность его повторения.
Существует много данных для разработки стратегий смягчения последствий, специально адаптированных для вертикальных секторов или размера компании. Эти данные могут помочь защитить организацию или даже передовой опыт в отрасли. Эти данные могут помочь выявить, где кроются угрозы, а также степень и масштаб проблемы.
Сценарий менее 1%, а точнее 0,003%, является самым опасным для бизнеса. Это попытки входа с подозреваемых или известных вредоносных IP-адресов. В этих случаях почти наверняка идет атака. Законные пользователи не входят, за некоторыми исключениями, с анонимных IP-адресов или прокси-серверов. Это классическое поведение атаки, и мы останавливаем его, запрашивая дополнительные факторы.
Для дальнейшего изучения этих рисков SecureAuth выпустила в этом году первый отчет о состоянии аутентификации. В течение двенадцати месяцев наша команда собрала данные примерно от 500 клиентов с помощью адаптивной аутентификации. Затем мы проанализировали 617,3 миллиона попыток аутентификации пользователей, чтобы определить процент успешных попыток, частоту запросов на многофакторную аутентификацию и причины неудачных попыток аутентификации. Почти в 90% случаев аутентификация проходила без проблем.
Однако оставшиеся 69,1 миллиона попыток аутентификации были отклонены или расширены для дополнительной аутентификации, такой как код с проходом один (OTP) или push / symbol-to-accept code. Пять основных причин отказа в доступе заключались в следующем:
Неправильные пароли: 60,3 миллионы раз.
Подозрительный IP-адрес: 2,45 миллиона попыток входа в систему переключились на многофакторную аутентификацию, поскольку запрос на вход пришел с необычного IP-адреса.
Использовано нераспознанное устройство: 830.000 раз.
Использован подозрительный одноразовый код доступа: 524.000 XNUMX раз, в том числе, когда в запросе push-to-accept получено сообщение «deny».
Сброс пароля в режиме самообслуживания: запросы на изменение пароля 200.000 были отклонены.
Дальнейший анализ показал, что из 2,45 миллиона попыток аутентификации с подозрительных IP-адресов более 77.000 были полностью отклонены, потому что IP-адрес был признан вредоносным, что очень тревожно. К вредоносным IP-адресам относятся те, которые, как известно, связаны с аномальной интернет-инфраструктурой, активностью повышенной постоянной угрозы (APT), хактивизмом или киберпреступной деятельностью.
В последние годы, изучая многие громкие нарушения, в том числе и Uber, достаточно всего одного злоупотребления учетными данными, чтобы раскрыть высокочувствительные и конфиденциальные корпоративные и конфиденциальные данные. Эти события могут привести к серьезным затратам и ущербу, на восстановление которого могут уйти годы. В соответствии с планами компаний на 2018 год, они должны обеспечить защиту всех своих систем с помощью технологии адаптивной или многофакторной аутентификации. Этот важный шаг обеспечивает динамическую защиту от оппортунистических киберпреступников и имеет решающее значение для защиты ценных корпоративных данных.