KOMMENTÁR
A felhőre való migráció, a mesterséges intelligencia (AI) és a gépi tanulás térnyerésével párosulva, exponenciálisan felgyorsította az adatok felhőben való felhasználását, terjedését és tárolását. Az ezeket a folyamatokat segítő új technológiák bevezetése, valamint az ezeket próbáló, egyre több adatvédelmi törvény és szabályozás felerősítette a tudatosság, hogy az adatokkal 2023-ban önálló biztonsági prioritásként kell kezelni.
A támadók, mint mindig, most sem maradtak el a megállításukra tett erőfeszítésektől. Az adatbiztonsági eszközök és folyamatok bevezetése mellett 2023 az adatszivárgások éve volt, érzékeny rekordok milliárdjai kerültek nyilvánosságra és milliók érintettek. Vessen egy pillantást a 2023-as év három legnagyobb adatvédelmi incidensére, hatástípusok szerint kategorizálva, és mérje fel, mi vár a dinamikus biztonsági szektorra.
A globális hatás csúcsa: MOVEit
2023 májusában elindult egy zsarolóprogram-csoport, amely a CL0P (TA505) néven fut. visszaél a MOVEit nulladik napi kihasználásával, egy felügyelt fájlátviteli szoftver. A támadás a Progress Software MOVEit Transfer – CVE-2023-34362 – SQL Injection formáját öltötte. Az internetre néző MOVEit Transfer webalkalmazásait kihasználták és megfertőzték egy LEMURLOOT nevű webhéjjal, amelyet adatok ellopására használtak a mögöttes MOVEit Transfer adatbázisokból és belső szerverekről.
A szabálysértés a számok szerint:
-
Több mint 62 millió személy érintett.
-
Több mint 2,000 szervezetet törtek fel.
-
A jogsértő szervezetek körülbelül 84%-a az Egyesült Államokban található.
-
A jogsértő szervezetek körülbelül 30%-a a pénzügyi szektorból származik.
-
A tömeges hackelések eddigi összköltsége 10 milliárd dollár.
A MOVEit adatszivárgása figyelemre méltó mértéke és az érintett áldozatok sokfélesége miatt. Bebizonyította, hogy egyetlen szoftver hibája miként válthat ki globális adatvédelmi katasztrófát, számos kormánytól és iparágtól származó adatokat, pénzügyi információkat, valamint érzékeny egészségügyi adatokat fedve fel – és a hatókör folyamatosan bővül.
Bár a Progress Software három egymást követő javítást adott ki a jogsértés enyhítésére, a kár már megtörtént. A támadás kezdete óta minden hónapban új szervezetek jelentenek be, köztük a Sony Interactive Entertainment, a BBC, a British Airways, az Egyesült Államok Energiaügyi Minisztériuma és a Shell. Egyre több számítógépes incidens kapcsolódik az eredeti MOVEit incidenshez, amely a hitelesítő adatokat és az „adathalász műtrágya” részleteit fedte fel.
A legnagyobb nyilvánosságra hozott adatok mennyisége: Indian Council of Medical Research (ICMR)
2023 októberében egy „pwn0001” álnevet használó fenyegetett szereplő közzétett egy szálat a Breach Forums oldalon, amely 81.5 millió indiai állampolgár személyazonossági és útlevéladataihoz (beleértve a nevét, címét és telefonszámát) való hozzáférést közvetítette. Bizonyították képességeiket azáltal, hogy mintákat szolgáltattak ezekből a dokumentumokból, több százezer megerősített személyazonosításra alkalmas információval (PII) az ICMR COVID-19 adatbázisaiból.
A szabálysértés a számok szerint:
-
5 millió megsértett személyes rekord és COVID-teszt részletei az újdelhi székhelyű szervezettől.
-
90 GB adatot kínálnak eladásra 80,000 XNUMX dollárért.
Ez India történetének legjelentősebb adatvédelmi incidensének számít, és figyelmet kell fordítani a kinyert adatok mennyiségére és érzékenységére egyaránt. Az ilyen nagy és stratégiai adatbázist szabályozó adatbiztonsági folyamatok és protokollok hiánya nagy kockázatnak teszi ki a kormányzati szerveket és a minisztériumokat. Robusztus és dedikált nélkül adatbiztonsági terveket helyén hasonló jogsértésekre számíthatunk az érzékeny adatok bűnügyi célú felhasználásával.
Legjobb érzékenységi szint: 23andMe
2023 októberében a 23andMe genetikai tesztelő cég illetéktelen hozzáférést észlelt. Azt mondták a támadók hitelesítő adatok kitöltési módszereit használta valamint a 23andMe DNS-rokonok funkciójának lekaparása, amely mellett a felhasználók több adatot oszthatnak meg barátaival és családjával. A 23andMe szerint az észlelt hackerek meg tudták találni az ellenőrzött felhasználók bejelentkezési adatait, hogy hozzáférhessenek 23andMe-fiókjukhoz. A hozzáférés megszerzése után a hackerek a DNS-rokonok funkciót használták, hogy még több információt szerezzenek meg más felhasználókról, beleértve a neveket, e-mail címeket, születési dátumokat, genetikai származást és előzményeket stb.
A szabálysértés a számok szerint:
-
9 millió felhasználói fiókot sértettek fel – a vállalat felhasználóinak körülbelül a felét.
-
Több mint 5.5 millió ügyfélrekordot kapartak ki és szivárogtattak ki.
-
6 dollár egy feltört számla átlagos feketepiaci ára.
A rendkívül érzékeny adatbázisok szigorú adatbiztonsági higiéniája nélkül a fenyegetés szereplői könnyen hozzáférhetnek ellopott hitelesítő adatokkal, ami egyre népszerűbb és népszerűbb. A 23andMe válaszul megkövetelte minden ügyféltől a kétlépcsős azonosítás használatát, ideiglenesen letiltotta a DNA Relatives eszköz egyes funkcióit, és azt tanácsolta a felhasználóknak, hogy módosítsák bejelentkezési adataikat és engedélyezzék a többtényezős hitelesítést.
Kulcsfontosságú információk az adatbiztonsági tervezéshez 2024-ben
Az elszámoltathatóság és az ügyfelekkel szembeni bizalom újraépítése kulcsfontosságú alapelvei azoknak a szervezeteknek, amelyek megértik a támadások elkerülhetetlenségét, valamint a károk és zavarok megelőzésében betöltött szerepüket. Az adatok felhasználása és biztonsága közötti egyensúly továbbra is kihívást jelent, különösen a generatív AI-eszközök körüli elmosódott vonalak miatt. Továbbra is látni fogjuk az elhúzódó becsapódási támadások és „másodlagos robbantások” tendenciáját, melynek során az identitáson alapuló jogsértések olyan technikákat alkalmaznak, mint például a hitelesítő adatok kitöltése, és egyre nagyobb a száma és a hatása.
Mit lehet tenni?
Számos kockázati szint és különböző fokú adatbiztonsági higiénia tette lehetővé az ilyen jogsértések előfordulását. Minden szervezet támadás utáni biztonsági protokolljának pillére kell, hogy legyen, hogy gyorsan felelősséget vállaljon a vállalat érzékeny adataiért, és reagáljon a kockázat csökkentésére a szükségtelen adatok kiiktatásával, a titkosítással és a hozzáférési engedélyekkel.
A „left-of-boom” (támadás előtti) és a „left-of-boom” (támadás utáni) felelősségvállalás egyaránt segít a szervezeteknek abban, hogy gyorsan reagáljanak és csökkentsék a hatást, feltéve, hogy részletes rálátásuk van a biztonsági ellenőrzésekre és hozzáférési szabályzatok. Az érzékeny adatok teljes körű feltárása, bárhol is legyenek a szervezeten belül, olyan alapvető képesség, amely segít a vállalatoknak a kockázatcsökkentésre összpontosítani és ellenőrizni az adatok szétterülését.
- SEO által támogatott tartalom és PR terjesztés. Erősödjön még ma.
- PlatoData.Network Vertical Generative Ai. Erősítse meg magát. Hozzáférés itt.
- PlatoAiStream. Web3 Intelligence. Felerősített tudás. Hozzáférés itt.
- PlatoESG. Carbon, CleanTech, Energia, Környezet, Nap, Hulladékgazdálkodás. Hozzáférés itt.
- PlatoHealth. Biotechnológiai és klinikai vizsgálatok intelligencia. Hozzáférés itt.
- Forrás: https://www.darkreading.com/cyberattacks-data-breaches/top-3-data-breaches-2023-what-lies-ahead-2024
- :is
- :nem
- 000
- 2023
- 2024
- 7
- 8
- a
- képességek
- képesség
- Képes
- Rólunk
- felgyorsult
- hozzáférés
- Szerint
- Fiók
- felelősségre vonhatóság
- Fiókok
- szerez
- szereplők
- cím
- címek
- Örökbefogadás
- tanácsadás
- érintett
- Után
- ügynökségek
- előre
- AI
- légutak
- Minden termék
- mellett
- már
- mindig
- összeg
- an
- és a
- számít
- alkalmazások
- VANNAK
- körül
- mesterséges
- mesterséges intelligencia
- Mesterséges intelligencia (AI)
- AS
- értékeli
- segít
- At
- támadás
- Támadások
- figyelem
- Hitelesítés
- átlagos
- tudatosság
- Egyenleg
- bbc
- BE
- válik
- óta
- kezdődött
- mögött
- között
- Billió
- milliárd
- születés
- mindkét
- megsértése
- megsértésének
- Brit
- by
- A számok
- TUD
- kihívás
- változik
- Kör
- Állampolgárok
- felhő
- Companies
- vállalat
- teljes
- Veszélyeztetett
- MEGERŐSÍTETT
- figyelembe vett
- folytatódik
- tovább
- ellenőrzés
- ellenőrzések
- Mag
- Költség
- Tanács
- összekapcsolt
- Covidien
- Covid-19
- HITELEZÉS
- Hitelesítő adatok
- Bűnügyi
- vevő
- Ügyfelek
- cyber
- kár
- dátum
- adatok megsértése
- Adatok megsértése
- Adatvédelem
- adatbiztonság
- adatbázis
- adatbázisok
- Időpontok
- elszánt
- igazolták
- osztály
- részletek
- észlelt
- Érzékelés
- katasztrófa
- felfedezés
- Zavar
- dna
- dokumentumok
- csinált
- dinamikus
- könnyen
- erőfeszítések
- megszüntetése
- lehetővé
- titkosítás
- energia
- Szórakozás
- különösen
- Még
- Minden
- Exploit
- Hasznosított
- exponenciálisan
- kitett
- család
- messze
- Funkció
- Jellemzők
- trágya
- filé
- pénzügyi
- pénzügyi információ
- Pénzügyi szektor
- hibája
- Összpontosít
- A
- forma
- fórumok
- barátok
- ból ből
- Nyereség
- egyre
- nemző
- Generatív AI
- genetikai
- Genetika
- Globális
- Goes
- kormányoz
- irányító
- Kormány
- kormányzati szervek
- A kormányok
- Csoport
- Növekvő
- hackerek
- hack
- fél
- kárt
- Legyen
- egészségügyi
- fokozott
- segít
- Magas
- nagyon
- történelem
- Hogyan
- HTTPS
- Több száz
- ICON
- Azonosítás
- azonosító
- Hatás
- befolyásolta
- in
- Beleértve
- növekvő
- India
- indián
- egyének
- iparágak
- információ
- meglátások
- Intelligencia
- interaktív
- belső
- bele
- Kiadott
- IT
- ITS
- jpg
- tartás
- Kulcs
- hiány
- nagy
- törvények
- Törvények és rendeletek
- tanulás
- szint
- szintek
- erőfölény
- fekszik
- vonalak
- összekapcsolt
- Belépés
- néz
- gép
- gépi tanulás
- sikerült
- Tömeg
- Lehet..
- orvosi
- orvosi kutatás
- módszer
- elvándorlás
- millió
- Több millió
- Enyhít
- Hónap
- több
- a legtöbb
- többtényezős hitelesítés
- kell
- név
- Nevezett
- nevek
- Szükség
- Új
- Új technológiák
- figyelemre méltó
- szám
- számok
- számos
- megszerzése
- október
- of
- felajánlott
- on
- szervezet
- szervezetek
- eredeti
- Más
- fizetett
- útlevél
- Patches
- engedélyek
- személyes
- Személyesen
- Adathalászat
- telefon
- darab
- pilléreket
- Hely
- Helyek
- tervezés
- Plató
- Platón adatintelligencia
- PlatoData
- Politikák
- népszerűség
- kiküldött
- megakadályozása
- ár
- prioritás
- magánélet
- Folyamatok
- Haladás
- protokoll
- protokollok
- bizonyított
- feltéve,
- amely
- célokra
- Quick
- gyorsan
- ransomware
- Reagál
- újjáépítés
- nyilvántartások
- csökkenteni
- csökkentés
- előírások
- rokonok
- jelentést
- Számolt
- kutatás
- lakik
- felelősség
- Emelkedik
- felkelő
- Kockázat
- erős
- Szerep
- s
- Mondott
- eladás
- Skála
- hatálya
- másodlagos
- szektor
- biztonság
- biztonság
- látás
- érzékeny
- Érzékenység
- Szerverek
- Megosztás
- Héj
- kellene
- jelentős
- hasonló
- óta
- egyetlen
- So
- eddig
- szoftver
- néhány
- Sony
- terjedése
- önálló
- lopott
- megáll
- tárolás
- Stratégiai
- erős
- töltelék
- ilyen
- Vesz
- bevétel
- technikák
- Technologies
- tételek
- teszt
- Tesztelés
- mint
- hogy
- A
- azok
- Őket
- Ezek
- ők
- ezer
- fenyegetés
- fenyegetés szereplői
- három
- nak nek
- vett
- szerszám
- szerszámok
- felső
- Végösszeg
- vontatás
- átruházás
- tendencia
- kiváltó
- Bízzon
- megpróbál
- típus
- jogtalan
- mögöttes
- megért
- felesleges
- us
- használ
- használt
- használó
- Felhasználók
- segítségével
- fajta
- változó
- Igazolás
- ellenőrzött
- áldozatok
- láthatóság
- volt
- we
- háló
- webes alkalmazások
- JÓL
- voltak
- Mit
- ami
- szélesíteni
- lesz
- val vel
- belül
- nélkül
- év
- zephyrnet