Stigende overtrædelsestal og skiftende angrebsmønstre signalerer hårde tider forude
Indholdsfortegnelse:
Hvis du troede databrud var slemme, så spænd op; de bliver værre. I januar offentliggjorde US Identity Theft Resource Center (ITRC) sin Databrudsrapport 2023. Resultaterne er forfærdelige. Rapporten, nu på sit 18. år, dokumenterede en enorm stigning i antallet af databrudshændelser. Det sporede 3,205 samlede kompromiser i 2023, en stigning på 72 % fra et rekordhøjt niveau på 1,860 i 2021.
Eksperter er bekymrede over, at udsatte forsyningskæder og manglen på en national databeskyttelseslov giver modstandere en fordel.
En mor til alle brud
I samme måned så vi et af de største enkeltdatalæk i historien. Med tilnavnet "Mother of All Breaches" (MOAB) så den mere end 26 milliarder optegnelser stjålet fra Leak-Lookup, en søgemaskine for krænkede personlige optegnelser indsamlet fra over 4,000 brud, der strækker sig år tilbage.
Bob Diachenko, grundlægger af Security Discovery, fandt de stjålne optegnelser i en forkert konfigureret forekomst online, hvilket betyder, at enhver kunne have adgang til dem.
Cybersikkerhedsfirmaet SpyCloud fundet at mens de fleste af optegnelserne var gamle og tidligere var blevet afsløret, indeholdt dataene stadig anslået 1.6 milliarder optegnelser fra 274 brud, der ikke var i dens egen eksisterende database over kompromitterede optegnelser. Omkring 30 af de hidtil ukendte brud indeholdt dubletter eller opdigtede data, men registreringerne indeholdt også nogle bruddata, som tidligere var blevet udbudt til privat salg online.
En dobbelt trussel
Databrud, der fører til offentliggørelse af personlige oplysninger online, indebærer flere farer. Den første er, at de kan bruges til credential stuffing-angreb, hvor angribere automatiserer brute-force-angreb på flere konti ved hjælp af et angrebs blottede legitimationsoplysninger.
"Det mest skræmmende for et sikkerhedsteam er, at nogen får adgang til legitimationsoplysninger og er i stand til at fortsætte i en organisation," siger Will Lin, CEO hos stealth security startup AKA Identity, til ISMS.online.
Brudte optegnelser lækket online er også et nyttigt værktøj til at lancere målrettede angreb, siger Venky Raju, feltchef for ColorTokens. Raju bemærker et fald i det gennemsnitlige antal ofre pr. brud på det seneste. Mens brudhændelser steg kraftigt i 2023, faldt antallet af samlede ofre med 16 % fra 425.2 millioner i 2022 til lidt over 353 millioner sidste år. For seks år siden blev 2.2 millioner optegnelser afsløret i 1,175 brud, ifølge ITRC.
"Grunden til, at antallet af ofre falder, er, fordi [angreb] er meget målrettede nu," siger Raju til ISMS.online. "Der er flere penge at tjene ved at målrette et lille antal mennesker, som du ved mere om end blot at lave et spray-og-bede-angreb."
Brudte optegnelser kan indeholde alt fra simple adgangsoplysninger til detaljerede sundhedsoplysninger eller økonomiske data. I januar, forsikring gruppe sagde Chaucer at 53 millioner personers finansielle data blev kompromitteret i brud sidste år.
Personlige data fra brud giver angribere mulighed for at lære mere om deres ofre, siger Raju, hvilket betyder, at de kan målrette enkeltpersoner mere effektivt. Han advarer mod angribere, der forbedrer disse data med endnu flere oplysninger købt fra datamæglere. Disse kan bruges til svindel, herunder svineslagtning, hvor angribere lokker folk ind i forhold og derefter overtaler dem til at investere i falske forehavender. Disse angreb er stærkt afhængige af social engineering.
Forsyningskæder i fare
ITRC's administrerende direktør James Lee hævder, at MOAB, med sin store andel af allerede eksponerede optegnelser, ikke vil have stor indflydelse. Han er bekymret over en anden tendens, der fremhæves i rapporten.
"Jeg er meget mere bekymret over stigningen i forsyningskædeangreb og trusselsaktørernes voksende evne til at komme ind i softwarens kildekode for at finde zero-day fejl og udnytte dem," siger han til ISMS.online. ITRC's statistikker viser en stigning på 2,600 % i organisationer, der er målrettet i forsyningskædeangreb siden 2018, og en stigning på 1,400 % i antallet af ofre.
Så hvordan stopper vi antallet af overtrædelser med at stige yderligere?
"Manglen på ensartede cybersikkerhedsstandarder kombineret med en mangel på ensartede meddelelser om databrud og afhjælpningsstandarder [i USA] er væsentlige bidragydere til, hvorfor vi ikke har gjort fremskridt mod databrud," siger Lee. Han efterlyser mere standardiserede rapporteringsmekanismer sammen med initiativer til overholdelse.
Behovet for standardrapporteringsregler
Uddelegering af privatlivslovgivning til individuelle stater i USA skaber et forvirrende kludetæppe. I mangel af en national privatlivslov må vi tage den næstbedste løsning, siger han.
"Den eneste måde at forbedre status quo på er at få hver stat til at opdatere sine love og regler for at opfylde visse minimumsstandarder," forklarer Lee. "Det er ikke umuligt, men det er ikke hurtigt eller ideelt."
SEC's nyligt indførte rapporteringsregler vil hjælpe med at gøre børsnoterede virksomheder mere ansvarlige. Men færre end 10% af overtrædelserne sidste år blev rapporteret af disse virksomheder, tilføjer han. Måske vil reguleringen øge den andel i år. Lee påpeger, at virksomheder allerede rapporterer uden at vente med at afgøre, om et brud har en væsentlig effekt eller ej. Ikke desto mindre vil de fleste brud stadig falde uden for SEC's anvendelsesområde, advarer han.
Hvad du kan gøre nu
Mens føderal regulering fra SEC utvivlsomt vil hjælpe, er udfordringen fortsat enorm, da angriberne fortsætter med at målrette økonomiens bløde underliv. Bruddet bliver ved med at komme, da januar så en angribe om Global Affairs Canada, selvom dets fulde omfang ikke blev afsløret. I februar, et ransomware-angreb hos UnitedHealths datterselskab Change Healthcare forstyrrede recepter og truede liv. Cyberkriminelle tæt på BlackCat, som tog ansvaret for hit, hævdede at UnitedHealth betalte 22 millioner dollars for at forhindre offentliggørelsen af de krænkede data.
Virksomheder kan handle ved at bygge robuste sikkerhedskontroller baseret på standarder som ISO 27001 sammen med andre industrigodkendte certificeringer, der passer til deres egen region, sektor og størrelse. Vi er måske ikke i stand til at dæmpe en stigende tidevand af mere og mere målrettede angreb, men vi kan i det mindste tage os i agt og flytte til højere terræn.
