COMMENTAAR
De migratie naar de cloud, in combinatie met de opkomst van kunstmatige intelligentie (AI) en machinaal leren, heeft het gebruik, de verspreiding en de opslag van gegevens in de cloud exponentieel versneld. De acceptatie van nieuwe technologieรซn om deze processen te ondersteunen, en het toenemende aantal privacywetten en -regelgevingen om deze te beheersen, hebben het bewustzijn vergroot van de noodzaak om gegevens als een op zichzelf staande beveiligingsprioriteit te beschouwen in 2023.
Aanvallers bleven, zoals altijd, niet ver achter bij de pogingen om ze tegen te houden. Naast de adoptie van databeveiligingstools en -processen was 2023 een jaar van datalekken, waarbij miljarden gevoelige documenten werden blootgelegd en miljoenen werden getroffen. Bekijk de top drie datalekken van 2023, gecategoriseerd naar type impact, en beoordeel wat ons te wachten staat voor de dynamische veiligheidssector.
Top in mondiale impact: MOVEit
In mei 2023 begon een ransomwaregroep met de naam CL0P (TA505). misbruik maken van een zero-day exploit in MOVEit, een beheerde software voor bestandsoverdracht. De aanval nam de vorm aan van een SQL-injectie van MOVEit Transfer van Progress Software โ CVE-2023-34362. De internetapplicaties van MOVEit Transfer werden uitgebuit en geรฏnfecteerd met een webshell genaamd LEMURLOOT, die werd gebruikt om gegevens te stelen uit onderliggende MOVEit Transfer-databases en interne servers.
De breuk in cijfers:
-
Ruim 62 miljoen mensen werden getroffen.
-
Meer dan 2,000 organisaties werden gehackt.
-
Ongeveer 84% van de getroffen organisaties is in de VS gevestigd.
-
Ongeveer 30% van de getroffen organisaties komt uit de financiรซle sector.
-
De totale kosten van de massale hacks tot nu toe zijn 10 miljard dollar.
Het datalek van MOVEit valt op door de omvang en de verscheidenheid aan getroffen slachtoffers. Het liet zien hoe een fout in รฉรฉn enkel stukje software een wereldwijde ramp op het gebied van de gegevensprivacy kan veroorzaken, waarbij gegevens van talloze overheden en industrieรซn, financiรซle informatie en gevoelige gezondheidszorggegevens aan het licht komen โ en de reikwijdte wordt steeds groter.
Hoewel Progress Software drie opeenvolgende patches uitbracht om de inbreuk te beperken, was het kwaad al geschied. Elke maand sinds het begin van de aanval melden nieuwe organisaties dat er inbreuk is gemaakt, waaronder Sony Interactive Entertainment, BBC, British Airways, het Amerikaanse ministerie van Energie en Shell. Een groeiend aantal cyberincidenten wordt in verband gebracht met de oorspronkelijke MOVEit-inbreuk als kanaal waardoor inloggegevens en โphishing-meststofโ-gegevens openbaar werden gemaakt.
Top in hoeveelheid blootgestelde gegevens: Indian Council of Medical Research (ICMR)
In oktober 2023 plaatste een bedreigingsacteur die de alias 'pwn0001' gebruikte een draad op Breach Forums die toegang verleende tot identificatie- en paspoortgegevens (inclusief namen, adressen en telefoonnummers) van 81.5 miljoen burgers van India. Ze bewezen hun capaciteiten door voorbeelden van deze documenten te verstrekken, met honderdduizenden bevestigde persoonlijk identificeerbare informatie (PII). afkomstig uit de COVID-19-databases van ICMR.
De breuk in cijfers:
-
5 miljoen mensen hebben persoonlijke records en COVID-testgegevens van de in New Delhi gevestigde organisatie geschonden.
-
90 GB aan gegevens te koop aangeboden voor $ 80,000.
Dit wordt beschouwd als het grootste datalek in de geschiedenis van India, en er moet aandacht worden besteed aan zowel de hoeveelheid geรซxtraheerde gegevens als de gevoeligheid ervan. Het gebrek aan gegevensbeveiligingsprocessen en -protocollen voor zo'n grote en strategische database brengt overheidsinstanties en ministeries met grote risico's. Zonder robuust en toegewijd plannen voor gegevensbeveiliging Als we dit eenmaal hebben gedaan, kunnen we soortgelijke inbreuken verwachten, waarbij gevoelige gegevens voor criminele doeleinden worden gebruikt.
Top in gevoeligheidsniveau: 23andMe
In oktober 2023 meldde genetisch testbedrijf 23andMe de detectie van ongeautoriseerde toegang. Dat zeiden de aanvallers gebruikte credential-stuffing-methoden en het schrappen van de DNA Relatives-functie van 23andMe, waar gebruikers zich voor kunnen aanmelden om meer gegevens met vrienden en familie te delen. Volgens 23andMe konden de gedetecteerde hackers de inloggegevens van geverifieerde gebruikers raden om toegang te krijgen tot hun 23andMe-accounts. Nadat ze toegang hadden verkregen, gebruikten de hackers de functie DNA Relatives om nog meer informatie over andere gebruikers te verkrijgen, waaronder namen, e-mailadressen, geboortedata, genetische afkomst en geschiedenis, en meer.
De breuk in cijfers:
-
Er zijn 9 miljoen gebruikersaccounts gecompromitteerd: ongeveer de helft van de gebruikers van het bedrijf.
-
Meer dan 5.5 miljoen klantgegevens werden geschrapt en gelekt.
-
$ 6 is de gemiddelde prijs op de zwarte markt van een gehackt account.
Zonder een sterke gegevensbeveiligingshygiรซne in zeer gevoelige databases kunnen bedreigingsactoren gemakkelijk toegang krijgen met behulp van gestolen inloggegevens, een methode die steeds meer terrein wint en aan populariteit wint. 23andMe reageerde door van alle klanten te eisen dat ze tweestapsverificatie gebruiken, door tijdelijk enkele functies van de DNA Relatives-tool uit te schakelen en gebruikers te adviseren hun inloggegevens te wijzigen en meervoudige authenticatie in te schakelen.
Belangrijke inzichten voor de databeveiligingsplanning in 2024
Verantwoording afleggen en het vertrouwen bij klanten herstellen zijn sleutelprincipes voor organisaties die de onvermijdelijkheid van aanvallen begrijpen, evenals hun rol bij het voorkomen van schade en verstoring. De balans tussen het gebruik van gegevens en het veilig houden ervan zal een uitdaging blijven, vooral met de vage grenzen rond generatieve AI-tools. We zullen de trend van aanhoudende impactaanvallen en โsecundaire ontploffingenโ blijven zien, waarbij op identiteit gebaseerde inbreuken met behulp van technieken zoals het opvullen van gegevens in aantal en impact toenemen.
Wat gedaan kan worden?
Er zijn talloze risiconiveaus en verschillende niveaus van gegevensbeveiligingshygiรซne waardoor deze inbreuken konden plaatsvinden. Het snel nemen van verantwoordelijkheid voor de gevoelige gegevens van het bedrijf en het reageren om de risico's ervan te verminderen door onnodige gegevens, encryptie en toegangsrechten te elimineren, moeten pijlers zijn van het beveiligingsprotocol na een aanval van elke organisatie.
Het omarmen van zowel โlinks van de boomโ (vรณรณr de aanval) als โrechts van de boomโ (post-aanval) verantwoordelijkheid helpt organisaties snel te reageren en de impact te verminderen, op voorwaarde dat ze een fijnmazig inzicht hebben in hun beveiligingscontroles en toegangsbeleid. Het volledig ontdekken van gevoelige gegevens, waar deze zich ook binnen de organisatie bevinden, is een kernvaardigheid die bedrijven helpt zich te concentreren op risicoreductie en de wildgroei aan gegevens onder controle te houden.
- Door SEO aangedreven content en PR-distributie. Word vandaag nog versterkt.
- PlatoData.Network Verticale generatieve AI. Versterk jezelf. Toegang hier.
- PlatoAiStream. Web3-intelligentie. Kennis versterkt. Toegang hier.
- PlatoESG. carbon, CleanTech, Energie, Milieu, Zonne, Afvalbeheer. Toegang hier.
- Plato Gezondheid. Intelligentie op het gebied van biotech en klinische proeven. Toegang hier.
- Bron: https://www.darkreading.com/cyberattacks-data-breaches/top-3-data-breaches-2023-what-lies-ahead-2024
- :is
- :niet
- 000
- 2023
- 2024
- 7
- 8
- a
- capaciteiten
- vermogen
- in staat
- Over
- versneld
- toegang
- Volgens
- Account
- verantwoording
- accounts
- verwerven
- actoren
- adres
- adressen
- Adoptie
- adviseren
- beรฏnvloed
- Na
- agentschappen
- vooruit
- AI
- luchtwegen
- Alles
- naast
- al
- altijd
- bedragen
- an
- en
- anticiperen
- toepassingen
- ZIJN
- rond
- kunstmatig
- kunstmatige intelligentie
- Kunstmatige intelligentie (AI)
- AS
- schatten
- helpen
- At
- aanvallen
- Aanvallen
- aandacht
- authenticatie
- gemiddelde
- bewustzijn
- Balance
- bbc
- BE
- worden
- geweest
- begon
- achter
- tussen
- Miljard
- miljarden
- geboorte
- zowel
- overtreding
- inbreuken
- Brits
- by
- Door de nummers
- CAN
- uitdagen
- verandering
- Circle
- burgers
- Cloud
- Bedrijven
- afstand
- compleet
- Aangetast
- BEVESTIGD
- beschouwd
- voortzetten
- blijft
- onder controle te houden
- controles
- Kern
- Kosten
- Raad
- gepaard
- Covidien
- Covid-19
- IDENTIFICATIE
- Geloofsbrieven
- Crimineel
- klant
- Klanten
- cyber
- schade
- gegevens
- datalek
- Gegevensdoorbraken
- data Privacy
- gegevensbeveiliging
- Database
- databanken
- Data
- toegewijd aan
- gedemonstreerd
- afdeling
- gegevens
- gedetecteerd
- Opsporing
- ramp
- ontdekking
- Ontwrichting
- dna
- documenten
- gedaan
- dynamisch
- gemakkelijk
- inspanningen
- elimineren
- in staat stellen
- encryptie
- energie-niveau
- Onstpanning
- vooral
- Zelfs
- Alle
- Exploiteren
- Exploited
- exponentieel
- blootgestelde
- familie
- ver
- Kenmerk
- Voordelen
- meststof
- Dien in
- financieel
- financiรซle informatie
- Financiรซle sector
- fout
- Focus
- Voor
- formulier
- forums
- vrienden
- oppompen van
- Krijgen
- met het verkrijgen van
- generatief
- generatieve AI
- genetisch
- Genetica
- Globaal
- Goes
- regeren
- regerend
- Overheid
- overheidsinstellingen
- overheden
- Groep
- Groeiend
- Hackers
- hacks
- Helft
- schaden
- Hebben
- gezondheidszorg
- verhoogde
- helpt
- Hoge
- zeer
- geschiedenis
- Hoe
- HTTPS
- Honderden
- ICON
- Identificatie
- het identificeren van
- Impact
- beรฏnvloed
- in
- Inclusief
- meer
- Indiรซ
- Indian
- individuen
- industrieรซn
- informatie
- inzichten
- Intelligentie
- interactieve
- intern
- in
- Uitgegeven
- IT
- HAAR
- jpg
- houden
- sleutel
- Gebrek
- Groot
- Wetten
- Wet en regelgeving
- leren
- Niveau
- niveaus
- leveraging
- ligt
- lijnen
- gekoppeld
- Log in
- Kijk
- machine
- machine learning
- beheerd
- Massa
- Mei..
- medisch
- medisch onderzoek
- methode
- migratie
- miljoen
- miljoenen
- Verzachten
- Maand
- meer
- meest
- multifactor authenticatie
- Dan moet je
- naam
- Genoemd
- namen
- Noodzaak
- New
- Nieuwe technologieรซn
- opvallend
- aantal
- nummers
- vele
- het verkrijgen van
- oktober
- of
- aangeboden
- on
- organisatie
- organisaties
- origineel
- Overige
- betaald
- paspoort
- Patches
- permissies
- persoonlijk
- Persoonlijk
- Phishing
- phone
- stuk
- pijlers
- plaats
- plaatsen
- planning
- Plato
- Plato gegevensintelligentie
- PlatoData
- beleidsmaatregelen door te lezen.
- populariteit
- geplaatst
- het voorkomen van
- prijs
- prioriteit
- privacy
- processen
- Voortgang
- protocol
- protocollen
- bewezen
- mits
- het verstrekken van
- doeleinden
- Quick
- snel
- ransomware
- Reageren
- verbouwing
- archief
- verminderen
- reductie
- reglement
- familieleden
- verslag
- gemeld
- onderzoek
- woont
- verantwoordelijkheid
- Stijgen
- stijgende
- Risico
- robuust
- Rol
- s
- Zei
- sale
- Scale
- omvang
- secundair
- sector
- beveiligen
- veiligheid
- te zien
- gevoelig
- Gevoeligheid
- Servers
- Delen
- Shell
- moet
- aanzienlijke
- gelijk
- sinds
- single
- So
- dusver
- Software
- sommige
- Sony
- verspreiden
- standalone
- gestolen
- stop
- mediaopslag
- strategisch
- sterke
- vulling
- dergelijk
- Nemen
- het nemen
- technieken
- Technologies
- grondbeginselen
- proef
- Testen
- neem contact
- dat
- De
- hun
- Ze
- Deze
- ze
- duizenden kosten
- bedreiging
- bedreigingsactoren
- drie
- naar
- nam
- tools
- tools
- top
- Totaal
- tractie
- overdracht
- trend
- leiden
- Trust
- proberen
- type dan:
- onbevoegd
- die ten grondslag liggen
- begrijpen
- onnodig
- us
- .
- gebruikt
- Gebruiker
- gebruikers
- gebruik
- variรซteit
- wisselende
- Verificatie
- geverifieerd
- slachtoffers
- zichtbaarheid
- was
- we
- web
- Webapplicaties
- GOED
- waren
- Wat
- welke
- verbreden
- wil
- Met
- binnen
- zonder
- jaar
- zephyrnet