Stigende bruddtall og skiftende angrepsmønstre signaliserer tøffe tider fremover
Innholdsfortegnelse:
Hvis du trodde datainnbrudd var dårlig, spenn deg fast; de blir verre. I januar publiserte US Identity Theft Resource Center (ITRC) sin 2023-rapport om databrudd. Funnene er forferdelige. Rapporten, nå på sitt 18. år, dokumenterte en enorm økning i antall datainnbruddshendelser. Den sporet totalt 3,205 kompromisser i 2023, en økning på 72% fra en all-time high på 1,860 i 2021.
Eksperter er bekymret for at utsatte forsyningskjeder og mangelen på en nasjonal databeskyttelseslov gir motstandere en fordel.
En mor til alle brudd
I samme måned så vi en av de største enkeltdatalekkasjene i historien. Kallenavnet "Mother of All Breaches" (MOAB), så over 26 milliarder poster stjålet fra Leak-Lookup, en søkemotor for brutte personlige rekorder samlet inn fra over 4,000 brudd som strekker seg år tilbake.
Bob Diachenko, grunnlegger av Security Discovery, fant de stjålne postene i en feilkonfigurert instans på nettet, noe som betyr at hvem som helst kunne ha fått tilgang til dem.
Cybersikkerhetsselskapet SpyCloud funnet at mens de fleste av postene var gamle og tidligere hadde blitt avslørt, inneholdt dataene fortsatt anslagsvis 1.6 milliarder poster fra 274 brudd som ikke var i dens egen eksisterende database med kompromitterte poster. Rundt 30 av de tidligere ikke avslørte bruddene inneholdt duplikater eller fabrikkerte data, men registrene inkluderte også noen brudddata som tidligere hadde blitt tilbudt privat salg på nettet.
En dobbel trussel
Datainnbrudd som fører til publisering av personopplysninger på nettet har flere farer. Den første er at de kan brukes til credential stuffing-angrep, der angripere automatiserer brute-force-angrep på flere kontoer ved å bruke ett angreps eksponerte legitimasjon.
"Det skumleste for et sikkerhetsteam er at noen får tilgang til legitimasjon og kan fortsette i en organisasjon," forteller Will Lin, administrerende direktør ved stealth security-startup AKA Identity, til ISMS.online.
Brudde rekorder lekket på nettet er også et nyttig verktøy for å starte målrettede angrep, sier Venky Raju, felt-CTO i ColorTokens. Raju bemerker et fall i gjennomsnittlig antall ofre per brudd på det siste. Mens bruddhendelser økte kraftig i 2023, falt antallet totale ofre med 16 % fra 425.2 millioner i 2022 til litt over 353 millioner i fjor. For seks år siden ble 2.2 millioner poster avslørt i 1,175 brudd, ifølge ITRC.
"Grunnen til at antallet ofre faller er fordi [angrep] er veldig målrettet nå," sier Raju til ISMS.online. "Det er mer penger å tjene ved å målrette et lite antall mennesker som du vet mer om enn å bare utføre et spray-og-be-angrep."
Brudd opptegnelser kan inneholde alt fra enkel tilgangslegitimasjon til detaljert helseinformasjon eller økonomiske data. I januar, forsikring gruppe sa Chaucer at 53 millioner individers økonomiske data ble kompromittert i brudd i fjor.
Personopplysninger fra brudd lar angripere lære mer om ofrene sine, sier Raju, noe som betyr at de kan målrette mot enkeltpersoner mer effektivt. Han advarer mot angripere som forbedrer disse dataene med enda mer informasjon kjøpt fra datameglere. Disse kan brukes til svindel, inkludert griseslakting, der angripere lokker folk inn i forhold og deretter overtaler dem til å investere i falske foretak. Disse angrepene er sterkt avhengige av sosial ingeniørkunst.
Forsyningskjeder i fare
ITRCs driftssjef James Lee argumenterer for at MOAB, med sin store andel av allerede eksponerte poster, ikke vil ha stor innvirkning. Han er bekymret for en annen trend som fremheves i rapporten.
"Jeg er mye mer bekymret for økningen i forsyningskjedeangrep og den økende evnen til trusselaktører til å komme inn i kildekoden til programvare for å finne zero-day feil og utnytte dem," sier han til ISMS.online. ITRCs statistikk viser en 2,600 % økning i organisasjoner som er målrettet mot forsyningskjedeangrep siden 2018, og en 1,400 % økning i antall ofre.
Så hvordan stopper vi at antallet brudd øker ytterligere?
"Mangelen på enhetlige nettsikkerhetsstandarder kombinert med mangel på enhetlige datainnbruddsvarsling og utbedringsstandarder [i USA] er viktige bidragsytere til hvorfor vi ikke har gjort fremskritt mot datainnbrudd," sier Lee. Han etterlyser mer standardiserte rapporteringsmekanismer, sammen med initiativer for etterlevelse.
Behovet for standard rapporteringsregler
Å delegere personvernlover til individuelle stater i USA skaper et forvirrende lappeteppe. I mangel av en nasjonal personvernlov må vi ta det nest beste alternativet, sier han.
"Den eneste måten å forbedre status quo på er å få hver stat til å oppdatere sine lover og forskrifter for å oppfylle visse minimumsstandarder," forklarer Lee. "Det er ikke umulig, men det er ikke raskt eller ideelt."
SECs nylig innførte rapporteringsregler vil bidra til å gjøre børsnoterte selskaper mer ansvarlige. Imidlertid ble færre enn 10 % av bruddene i fjor rapportert av disse selskapene, legger han til. Kanskje vil reguleringen øke den andelen i år. Lee påpeker at selskaper allerede rapporterer uten å vente med å fastslå om et brudd har en vesentlig effekt eller ikke. Likevel vil de fleste brudd fortsatt falle utenfor SECs virkeområde, advarer han.
Hva du kan gjøre nå
Mens føderal regulering fra SEC utvilsomt vil hjelpe, er utfordringen fortsatt stor ettersom angripere fortsetter å sikte mot økonomiens myke underliv. Bruddene fortsetter å komme, ettersom januar så en angripe på Global Affairs Canada, selv om dens fulle omfang ikke ble avslørt. I februar, et ransomware-angrep hos UnitedHealths datterselskap Change Healthcare forstyrret resepter og truet liv. Nettkriminelle nær BlackCat, som tok på seg ansvaret for treffet, hevdet at UnitedHealth betalte 22 millioner dollar for å forhindre publisering av databrudd.
Bedrifter kan iverksette tiltak ved å bygge robuste sikkerhetskontroller basert på standarder som ISO 27001, sammen med andre bransjegodkjente sertifiseringer som passer til deres egen region, sektor og størrelse. Vi er kanskje ikke i stand til å dempe en stigende tidevann av stadig mer målrettede angrep, men vi kan i det minste ta hensyn og flytte til høyere terreng.
