解説
クラウドへの移行は、人工知能 (AI) と機械学習の台頭と相まって、クラウドでのデータの使用、普及、保存を飛躍的に加速させました。これらのプロセスを支援する新しいテクノロジーの導入と、それらを管理するためのプライバシー法や規制の増加により、2023 年には独立したセキュリティの優先事項としてデータに対処する必要性に対する意識が高まりました。
いつものように、攻撃者は阻止の努力にそれほど遅れをとっていませんでした。データ セキュリティ ツールとプロセスの導入に加えて、2023 年はデータ侵害の年であり、数十億の機密記録が暴露され、数百万が影響を受けました。 2023 年の上位 XNUMX 件のデータ侵害を影響の種類別に分類して確認し、ダイナミックなセキュリティ分野の今後を評価してください。
世界的な影響力でトップ: MOVEit
2023 年 0 月、CL505P (TAXNUMX) という名前のランサムウェア グループが活動を開始しました。 MOVEit でのゼロデイ エクスプロイトの悪用、マネージド ファイル転送ソフトウェア。この攻撃は、Progress Software の MOVEit Transfer (CVE-2023-34362) の SQL インジェクションの形で行われました。インターネットに接続された MOVEit Transfer の Web アプリケーションが悪用され、LEMURLOOT という名前の Web シェルに感染しました。このシェルは、基盤となる MOVEit Transfer データベースおよび内部サーバーからデータを盗むために使用されました。
数字による違反:
-
62万人以上が影響を受けました。
-
2,000 を超える組織が侵害されました。
-
侵害された組織の約 84% は米国に拠点を置いています。
-
侵害された組織の約 30% は金融セクターからのものです。
-
これまでの大規模ハッキングの総費用は10億ドルだ。
MOVEit のデータ侵害は、その規模と被害者の多様性で注目に値します。これは、単一のソフトウェアの欠陥が世界的なデータ プライバシーの大災害を引き起こし、多数の政府や業界、金融情報、さらには機密の医療データを暴露する可能性があることを実証しました。そしてその範囲は拡大し続けています。
Progress Software は侵害を軽減するために 3 回連続でパッチを発行しましたが、被害はすでに発生していました。攻撃が始まってから毎月、ソニー・インタラクティブエンタテインメント、BBC、ブリティッシュ・エアウェイズ、米国エネルギー省、シェルなどの新たな組織が侵害を受けたと報告している。資格情報や「フィッシング肥料」の詳細を暴露する経路として、最初の MOVEit 侵害に関連するサイバー インシデントの数が増えています。
公開データ量トップ: インド医学研究評議会 (ICMR)
2023 年 0001 月、エイリアス「pwn81.5」を使用する攻撃者が、インド国民 XNUMX 万人の身分証明書とパスポートの詳細 (名前、住所、電話番号を含む) へのアクセスを仲介するスレッドをブリーチ フォーラムに投稿しました。彼らは、確認された数十万件の個人識別情報 (PII) の詳細が含まれるこれらの文書のサンプルを提供することで、自分たちの能力を証明しました。 ICMR の COVID-19 データベースから取得.
数字による違反:
-
ニューデリーに本拠を置く組織から、5万件の個人記録と新型コロナウイルス検査の詳細が侵害された。
-
90 GB のデータが 80,000 ドルで販売されます。
これはインドの歴史の中で最も重大なデータ侵害と考えられており、抽出されたデータの量とその機密性の両方に注意を払う必要があります。このような大規模で戦略的なデータベースを管理するデータ セキュリティ プロセスとプロトコルが欠如しているため、政府機関や省庁は高いリスクにさらされています。堅牢かつ専用のものがなければ データセキュリティ計画 そのため、機密データを犯罪目的に利用した同様の侵害が予想されます。
感度レベルトップ: 23andMe
2023年23月、遺伝子検査会社XNUMXandMeが不正アクセスの検知を報告。攻撃者たちはこう言った 使用されたクレデンシャルスタッフィング手法 そして、23andMe の DNA Relatives 機能のスクレイピングです。ユーザーはこの機能をオプトインして、より多くのデータを友人や家族と共有できます。 23andMe によると、検出されたハッカーは認証済みユーザーのログイン資格情報を推測して、23andMe アカウントにアクセスすることができました。アクセスを取得した後、ハッカーは DNA 親戚機能を使用して、名前、電子メール アドレス、生年月日、遺伝的祖先と履歴など、他のユーザーに関するさらに詳しい情報を取得しました。
数字による違反:
-
同社のユーザーの約半数にあたる 9 万のユーザー アカウントが侵害されました。
-
5.5万件以上の顧客記録がスクレイピングされ、流出した。
-
6 ドルは、侵害されたアカウントの平均闇市場価格です。
機密性の高いデータベースに強力なデータ セキュリティ衛生がなければ、攻撃者は盗んだ資格情報を使用して簡単にアクセスできるため、この方法が注目を集め人気を集めています。 23andMe はこれに応え、すべての顧客に XNUMX 段階認証の使用を義務付け、DNA Relatives ツールの機能の一部を一時的に無効にし、ログイン情報を変更して多要素認証を有効にするようユーザーにアドバイスしました。
2024 年のデータ セキュリティ計画に関する重要な洞察
責任を負い、顧客との信頼を再構築することは、攻撃の必然性と、損害や混乱を防ぐ役割を理解している組織にとって重要な原則です。データの使用と安全性の維持の間のバランスは、特に生成 AI ツールをめぐる境界があいまいであるため、今後も課題となるでしょう。クレデンシャル スタッフィングなどの技術を使用した ID ベースの侵害の数と影響力が増大し、長引く影響攻撃と「二次爆発」の傾向が今後も見られるでしょう。
何ができるのか?
これらの侵害の発生を許したリスクにはさまざまなレベルがあり、データ セキュリティ衛生の程度もさまざまです。企業の機密データに対する責任を迅速に取り、不必要なデータ、暗号化、およびアクセス許可を排除することでリスクを軽減するように対応することが、すべての組織の攻撃後のセキュリティ プロトコルの柱でなければなりません。
「ブームの左側」(攻撃前)と「ブームの右側」(攻撃後)の両方の責任を受け入れることで、組織はセキュリティ管理とセキュリティをきめ細かく可視化できれば、迅速に対応して影響を軽減できます。アクセスポリシー。機密データが組織内のどこにあっても、そのデータを完全に検出することは、企業がリスク軽減に注力し、データのスプロール化を制御するのに役立つ中核的な機能です。
- SEO を活用したコンテンツと PR 配信。 今日増幅されます。
- PlatoData.Network 垂直生成 Ai。 自分自身に力を与えましょう。 こちらからアクセスしてください。
- プラトアイストリーム。 Web3 インテリジェンス。 知識増幅。 こちらからアクセスしてください。
- プラトンESG。 カーボン、 クリーンテック、 エネルギー、 環境、 太陽、 廃棄物管理。 こちらからアクセスしてください。
- プラトンヘルス。 バイオテクノロジーと臨床試験のインテリジェンス。 こちらからアクセスしてください。
- 情報源: https://www.darkreading.com/cyberattacks-data-breaches/top-3-data-breaches-2023-what-lies-ahead-2024
- :は
- :not
- 000
- 2023
- 2024
- 7
- 8
- a
- 能力
- 能力
- できる
- 私たちについて
- 加速された
- アクセス
- 従った
- 説明責任
- アカウント
- 取得する
- 俳優
- 住所
- アドレス
- 養子縁組
- アドバイス
- 影響を受けました
- 後
- 機関
- 先んじて
- AI
- エアウェイズ
- すべて
- 並んで
- 既に
- 常に
- 量
- an
- および
- 予想する
- です
- 周りに
- 人工の
- 人工知能
- 人工知能(AI)
- AS
- 評価する
- アシスト
- At
- 攻撃
- 攻撃
- 注意
- 認証
- 平均
- 認知度
- BBC
- BE
- になる
- き
- 始まった
- 背後に
- の間に
- 10億
- 億
- 出産
- 両言語で
- 違反
- 違反
- 英国の
- by
- 数字で見ます
- 缶
- 挑戦する
- 変化する
- サークル
- 住民
- クラウド
- 企業
- 会社
- コンプリート
- 損害を受けた
- 確認済み
- 見なさ
- 続ける
- 続ける
- コントロール
- controls
- 基本
- 費用
- 協議会
- 結合しました
- コビッド
- コロナ
- クレデンシャル
- Credentials
- 刑事上の
- 顧客
- Customers
- サイバー
- 損傷
- データ
- データ侵害
- データ侵害
- データプライバシー
- データセキュリティ
- データベース
- データベースを追加しました
- 試合日
- 専用の
- 実証
- 部門
- 細部
- 検出された
- 検出
- 災害
- 発見
- 途絶
- DNA
- ドキュメント
- 行われ
- ダイナミック
- 簡単に
- 努力
- 排除
- enable
- 暗号化
- エネルギー
- エンターテインメント
- 特に
- さらに
- あらゆる
- 悪用する
- 搾取
- 指数関数的に
- 露出した
- 家族
- 遠く
- 特徴
- 特徴
- 肥料
- File
- ファイナンシャル
- 財務情報
- 金融部門
- 欠陥
- フォーカス
- フォーム
- フォーラム
- 友達
- から
- 利得
- 獲得
- 生々しい
- 生成AI
- 遺伝子の
- 遺伝学
- グローバル
- ゴエス
- 支配する
- 統治
- 政府・公共機関
- 政府機関
- 政府
- グループ
- 成長
- ハッカー
- ハック
- 半分
- 害
- 持ってる
- ヘルスケア
- 高められた
- ことができます
- ハイ
- 非常に
- history
- 認定条件
- HTTPS
- 何百
- ICON
- 識別
- 識別
- 影響
- 影響を受けた
- in
- 含めて
- の増加
- インド
- インディアン
- 個人
- 産業
- 情報
- 洞察
- インテリジェンス
- 相互作用的
- 内部
- に
- 発行済み
- IT
- ITS
- JPG
- 保管
- キー
- 欠如
- 大
- 法制
- 法令
- 学習
- レベル
- レベル
- 活用
- ある
- ライン
- リンク
- ログイン
- 見て
- 機械
- 機械学習
- マネージド
- 質量
- 五月..
- 医療の
- 医学研究
- 方法
- 移行
- 百万
- 何百万
- 軽減する
- 月
- 他には?
- 最も
- 多要素認証
- しなければなりません
- 名
- 名前付き
- 名
- 必要
- 新作
- 新技術
- 注目すべき
- 数
- 番号
- 多数の
- 入手
- 10月
- of
- 提供
- on
- 組織
- 組織
- オリジナル
- その他
- 支払われた
- パスポート
- パッチ
- パーミッション
- 個人的な
- 個人的に
- フィッシング詐欺
- 電話
- ピース
- 柱
- 場所
- 場所
- 計画
- プラトン
- プラトンデータインテリジェンス
- プラトデータ
- ポリシー
- 人気
- 掲示
- 予防
- ブランド
- 優先順位
- プライバシー
- ラボレーション
- 進捗
- プロトコル
- 証明
- 提供
- 提供
- 目的
- クイック
- すぐに
- ランサムウェア
- 反応する
- 再建
- 記録
- 減らします
- 削減
- 規制
- 親族
- レポート
- 報告
- 研究
- 常駐
- 責任
- 上昇
- 上昇
- リスク
- 堅牢な
- 職種
- s
- 前記
- 塩
- 規模
- スコープ
- 二次
- セクター
- 安全に
- セキュリティ
- 見ること
- 敏感な
- 感度
- サーバー
- シェアする
- シェル(Shell)
- すべき
- 重要
- 同様の
- から
- So
- これまでのところ
- ソフトウェア
- 一部
- Sony
- 広がる
- スタンドアロン
- 盗まれました
- Force Stop
- ストレージ利用料
- 戦略的
- 強い
- 詰め物
- そのような
- 取る
- 取得
- テクニック
- テクノロジー
- 信条
- test
- テスト
- より
- それ
- アプリ環境に合わせて
- それら
- ボーマン
- 彼ら
- 数千
- 脅威
- 脅威アクター
- 三
- 〜へ
- 取った
- ツール
- 豊富なツール群
- top
- トータル
- 牽引力
- 転送
- トレンド
- トリガー
- 信頼
- 試します
- type
- 無許可
- 根本的な
- わかる
- 不要
- us
- つかいます
- 中古
- ユーザー
- users
- 多様
- 変化する
- Verification
- 検証
- 犠牲者
- 視認性
- ました
- we
- ウェブ
- Webアプリケーション
- WELL
- した
- この試験は
- which
- 広がる
- 意志
- 以内
- 無し
- 年
- ゼファーネット