해설
클라우드로의 마이그레이션과 인공 지능(AI) 및 머신 러닝의 등장으로 인해 클라우드에서 데이터의 사용, 확산 및 저장이 기하급수적으로 가속화되었습니다. 이러한 프로세스를 지원하기 위한 새로운 기술의 채택과 이를 시도하고 통제하기 위한 개인 정보 보호 법률 및 규정의 수가 증가함에 따라 2023년에는 데이터를 독립형 보안 우선 순위로 다루어야 할 필요성에 대한 인식이 높아졌습니다.
언제나 그렇듯이 공격자들은 그들을 막으려는 노력에 크게 뒤처지지 않았습니다. 데이터 보안 도구 및 프로세스의 채택과 함께 2023년은 데이터 침해가 발생한 해였으며 수십억 개의 민감한 기록이 노출되고 수백만 명이 영향을 받았습니다. 영향 유형별로 분류된 2023년 상위 XNUMX개 데이터 유출을 살펴보고 역동적인 보안 부문의 미래를 평가해 보세요.
글로벌 임팩트 부문 최고: MOVEit
2023년 0월, CL505P(TAXNUMX)라는 랜섬웨어 그룹이 시작되었습니다. MOVEit의 제로데이 익스플로잇 악용, 관리형 파일 전송 소프트웨어입니다. 공격은 Progress Software의 MOVEit Transfer(CVE-2023-34362)에 대한 SQL 주입 형태를 취했습니다. 인터넷 연결 MOVEit Transfer의 웹 애플리케이션은 기본 MOVEit Transfer 데이터베이스와 내부 서버에서 데이터를 훔치는 데 사용되는 LEMURLOOT라는 웹 셸에 악용되어 감염되었습니다.
숫자로 보는 위반:
-
62만 명 이상의 개인이 영향을 받았습니다.
-
2,000개가 넘는 조직이 침해당했습니다.
-
침해된 조직의 약 84%는 미국에 기반을 두고 있습니다.
-
침해된 조직의 약 30%는 금융 부문에 속해 있습니다.
-
지금까지 발생한 대량 해킹의 총 비용은 10억 달러입니다.
MOVEit의 데이터 유출은 규모와 피해를 입은 피해자의 다양성으로 인해 주목할 만합니다. 단일 소프트웨어의 결함이 어떻게 글로벌 데이터 개인 정보 보호 재앙을 촉발하여 수많은 정부 및 산업의 데이터, 금융 정보 및 민감한 의료 데이터를 노출시킬 수 있는지 보여 주었으며 범위는 계속 확대되고 있습니다.
Progress Software는 침해를 완화하기 위해 세 가지 연속 패치를 발표했지만 피해는 이미 발생했습니다. 공격이 시작된 이후 매달 Sony Interactive Entertainment, BBC, British Airways, US Department of Energy 및 Shell을 포함한 새로운 조직에서 침해가 발생했다고 보고합니다. 점점 더 많은 사이버 사고가 자격 증명 및 "피싱 비료" 세부 정보를 노출하는 통로로서 원래 MOVEit 침해와 연관되어 있습니다.
노출된 데이터 양 최고: 인도 의학 연구 협의회(ICMR)
2023년 0001월, 'pwn81.5'이라는 별칭을 사용하는 위협 행위자는 위반 포럼에 스레드를 게시하여 인도 시민 XNUMX만 명의 신분증 및 여권 세부 정보(이름, 주소, 전화번호 포함)에 대한 액세스를 중개했습니다. 그들은 수십만 개의 확인된 개인 식별 정보(PII) 세부 정보가 포함된 이러한 문서의 샘플을 제공하여 자신의 능력을 입증했습니다. ICMR의 코로나19 데이터베이스에서 가져온 것입니다..
숫자로 보는 위반:
-
뉴델리에 본사를 둔 조직에서 5만 건의 개인 기록 및 코로나 테스트 세부 정보가 유출되었습니다.
-
90GB 데이터를 $80,000에 판매합니다.
이는 인도 역사상 가장 중대한 데이터 침해로 간주되며, 추출되는 데이터의 양과 그 민감도 모두에 주의를 기울여야 합니다. 이렇게 대규모의 전략적 데이터베이스를 관리하는 데이터 보안 프로세스와 프로토콜이 부족하면 정부 기관과 부처가 높은 위험에 처하게 됩니다. 견고하고 헌신적이지 않은 데이터 보안 계획 이를 통해 범죄 목적으로 민감한 데이터를 활용하는 유사한 침해가 발생할 것으로 예상할 수 있습니다.
감도 최고 수준: 23andMe
2023년 23월, 유전학 테스트 회사 XNUMXandMe는 무단 액세스가 감지되었다고 보고했습니다. 공격자들이 말했다 크리덴셜 스터핑 방법을 사용함 사용자가 친구 및 가족과 더 많은 데이터를 공유하도록 선택할 수 있는 23andMe의 DNA 친척 기능을 스크랩합니다. 23andMe에 따르면, 탐지된 해커들은 확인된 사용자의 로그인 자격 증명을 추측하여 23andMe 계정에 액세스할 수 있었습니다. 접근 권한을 얻은 후 해커는 DNA 친척 기능을 사용하여 이름, 이메일 주소, 생년월일, 유전적 가계 및 역사 등을 포함하여 다른 사용자에 대한 더 많은 정보를 획득했습니다.
숫자로 보는 위반:
-
회사 사용자의 약 절반인 9만 개의 사용자 계정이 손상되었습니다.
-
5.5만 건 이상의 고객 기록이 스크랩되어 유출되었습니다.
-
6달러는 침해된 계정의 평균 암시장 가격입니다.
매우 민감한 데이터베이스에 강력한 데이터 보안 위생이 없으면 위협 행위자는 훔친 자격 증명을 사용하여 쉽게 액세스할 수 있으며 이 방법은 관심과 인기를 얻습니다. 23andMe는 모든 고객에게 XNUMX단계 인증을 사용하도록 요구하고, 일부 DNA Relatives 도구 기능을 일시적으로 비활성화하고, 사용자에게 로그인 정보를 변경하고 다단계 인증을 활성화하도록 권고했습니다.
2024년 데이터 보안 계획에 대한 주요 통찰력
책임과 고객과의 신뢰 회복은 공격의 불가피성과 피해 및 중단 방지에 대한 역할을 이해하는 조직의 핵심 원칙입니다. 데이터 사용과 보안 유지 사이의 균형은 특히 생성 AI 도구 주변의 모호한 경계로 인해 계속해서 어려운 과제가 될 것입니다. 크리덴셜 스터핑과 같은 기술을 사용하는 신원 기반 침해의 수와 영향력이 증가하면서 지속적인 임팩트 공격과 "2차 공격"의 추세가 계속해서 나타날 것입니다.
할 수있는 일은 무엇일까요?
이러한 위반이 발생할 수 있는 위험 수준은 다양하고 데이터 보안 위생 수준도 다양합니다. 회사의 민감한 데이터에 대해 신속하게 책임을 지고 불필요한 데이터, 암호화 및 액세스 권한을 제거하여 위험을 줄이기 위해 대응하는 것이 모든 조직의 공격 후 보안 프로토콜의 핵심이 되어야 합니다.
"붐의 왼쪽"(공격 전) 및 "붐의 오른쪽"(공격 후) 책임을 모두 수용하면 조직이 보안 제어에 대한 세분화된 가시성과 액세스 정책. 조직 내 어디에 있든 민감한 데이터를 완벽하게 검색하는 것은 기업이 위험 감소에 집중하고 데이터의 확산을 제어하는 데 도움이 되는 핵심 기능입니다.
- SEO 기반 콘텐츠 및 PR 배포. 오늘 증폭하십시오.
- PlatoData.Network 수직 생성 Ai. 자신에게 권한을 부여하십시오. 여기에서 액세스하십시오.
- PlatoAiStream. 웹3 인텔리전스. 지식 증폭. 여기에서 액세스하십시오.
- 플라톤ESG. 탄소, 클린테크, 에너지, 환경, 태양광, 폐기물 관리. 여기에서 액세스하십시오.
- PlatoHealth. 생명 공학 및 임상 시험 인텔리전스. 여기에서 액세스하십시오.
- 출처: https://www.darkreading.com/cyberattacks-data-breaches/top-3-data-breaches-2023-what-lies-ahead-2024
- :이다
- :아니
- 000
- 2023
- 2024
- 7
- 8
- a
- 능력
- 능력
- 할 수 있는
- 소개
- 가속 된
- ACCESS
- 에 따르면
- 계정
- 책임
- 계정
- 얻다
- 배우
- 주소
- 구애
- 양자
- 조언
- 영향을받은
- 후
- 기관
- 앞으로
- AI
- 기도
- All
- 함께
- 이미
- 항상
- 양
- an
- 및
- 예상
- 어플리케이션
- 있군요
- 약
- 인조의
- 인공 지능
- 인공 지능(AI)
- AS
- 평가하다
- 지원
- At
- 공격
- 공격
- 주의
- 인증
- 평균
- 인식
- 잔액
- BBC
- BE
- 가
- 된
- 시작
- 뒤에
- 사이에
- 억원
- 수십억
- 출생
- 두
- 위반
- 위반
- 영국의
- by
- 숫자로 보는
- CAN
- 도전
- 이전 단계로 돌아가기
- 원
- 시민
- 클라우드
- 기업
- 회사
- 완전한
- 손상된
- 확인 됨
- 고려
- 계속
- 계속
- 제어
- 컨트롤
- 핵심
- 비용
- 이사회
- 결합
- 코 비드
- Covid-19
- 신임장
- 신임장
- 범죄자
- 고객
- 고객
- 사이버
- 손해
- 데이터
- 데이터 위반
- 데이터 유출
- 데이터 프라이버시
- 데이터 보안
- 데이터베이스
- 데이터베이스
- 날짜
- 전용
- 시연
- 학과
- 세부설명
- 탐지 된
- Detection System
- 재앙
- 발견
- 붕괴
- DNA
- 서류
- 한
- 동적
- 용이하게
- 노력
- 제거
- 이메일
- 가능
- 암호화
- 에너지
- 엔터테인먼트
- 특히
- 조차
- 모든
- 공적
- 악용
- 기하 급수적으로
- 드러난
- 가족
- 멀리
- 특색
- 특징
- 비료
- 입양 부모로서의 귀하의 적합성을 결정하기 위해 미국 이민국에
- 금융
- 금융 정보
- 금융 부문
- 결점
- 초점
- 럭셔리
- 형태
- 포럼
- 친구
- 에
- 이득
- 획득
- 생성적인
- 제너레이티브 AI
- 유전
- 유전학
- 글로벌
- 간다
- 통치하다
- 통치
- Government
- 정부 기관
- 정부
- 그룹
- 성장하는
- 해커
- 해킹
- 반
- 해가
- 있다
- 건강 관리
- 고조 된
- 도움이
- 높은
- 고도로
- history
- 방법
- HTTPS
- 수백
- ICON
- 식별
- 식별
- 영향
- 영향
- in
- 포함
- 증가
- 인도
- 옥수수
- 개인
- 산업
- 정보
- 통찰력
- 인텔리전스
- 대화형
- 내부의
- 으로
- 발행
- IT
- 그
- JPG
- 유지
- 키
- 결핍
- 넓은
- 법규
- 법률 및 규정
- 배우기
- 레벨
- 레벨
- 레버리지
- 거짓
- 라인
- 연결
- 로그인
- 보기
- 기계
- 기계 학습
- 관리
- 질량
- XNUMX월..
- 의료
- 의료 연구
- 방법
- 이주
- 백만
- 수백만
- 완화
- 달
- 배우기
- 가장
- 다단계 인증
- 절대로 필요한 것
- name
- 이름
- 이름
- 필요
- 신제품
- 새로운 기술
- 주목할 만한
- 번호
- 숫자
- 다수의
- 획득
- 십월
- of
- 제공
- on
- 조직
- 조직
- 실물
- 기타
- 지급
- 여권
- 패치
- 권한
- 확인
- 몸소
- 피싱
- 전화
- 조각
- 기둥
- 장소
- 장소
- 계획
- 플라톤
- 플라톤 데이터 인텔리전스
- 플라토데이터
- 정책
- 인기
- 게시
- 방지
- 가격
- 우선
- 개인 정보 보호
- 프로세스
- 진행
- 프로토콜
- 프로토콜
- 증명
- 제공
- 제공
- 목적
- 빠른
- 빨리
- 랜섬
- 반응
- 재건
- 기록
- 감소
- 축소
- 규정
- 친척
- 신고
- 보고
- 연구
- 거주
- 책임
- 상승
- 상승
- 위험
- 강력한
- 직위별
- s
- 말했다
- 판매
- 규모
- 범위
- 보조
- 부문
- 안전해야합니다.
- 보안
- 보고
- 민감한
- 감도
- 서버
- 공유
- 껍질
- 영상을
- 상당한
- 비슷한
- 이후
- 단일
- So
- 지금까지
- 소프트웨어
- 일부
- 소니
- 전파
- 독립
- 훔친
- 중지
- 저장
- 전략의
- 강한
- 소
- 이러한
- 받아
- 복용
- 기법
- 기술
- 신조
- test
- 지원
- 보다
- 그
- XNUMXD덴탈의
- 그들의
- 그들
- Bowman의
- 그들
- 수천
- 위협
- 위협 행위자
- 세
- 에
- 했다
- 수단
- 검색을
- 상단
- 금액
- 견인
- 이전
- 경향
- 트리거
- 믿어
- 시도
- 유형
- 무단의
- 밑에 있는
- 이해
- 불필요한
- us
- 사용
- 익숙한
- 사용자
- 사용자
- 사용
- 종류
- 변화
- 확인
- 확인
- 피해자
- 가시성
- 였다
- we
- 웹
- 웹 애플리케이션
- 잘
- 했다
- 뭐
- 어느
- 넓히다
- 의지
- 과
- 이내
- 없이
- year
- 제퍼 넷