Витоки даних Gemini, Uber показують, що ризики третіх сторін не можна ігнорувати

Ознайомтеся з усіма сесіями на замовлення саміту Intelligent Security Summit тут.


Ризик третіх сторін є однією з найбільш забутих загроз у безпеці підприємства. Дослідження показують, що за останні 12 місяців 54% організацій постраждали від витоку даних через треті сторони. Лише цього тижня Uber і біржа криптовалют Gemini були додані до цього списку.

Нещодавно Gemini зазнала витоку даних після того, як хакери зламали системи стороннього постачальника та отримали доступ до 5,7 мільйонів електронних листів і частково прихованих номерів телефонів.

У дописі в блозі, в якому розповідається про злам, Gemini визнає, що, хоча в результаті цього не вплинуло на жодну інформацію або системи облікових записів, деякі клієнти могли стати мішенню для фішингових кампаній після злому.

Хоча інформація, викрита під час злому Gemini, обмежується електронними адресами та частковими номерами телефонів, хак підкреслює, що націлювання на сторонніх постачальників є надійним способом для зловмисників збирати інформацію для використання в шахрайстві соціальної інженерії та інших атаках.

Чому треті сторони є легкою мішенню для витоку даних

У випадку зламу Uber хакери спочатку отримали доступ до внутрішніх систем Teqtivity і сервера AWS, а потім викрали та розкрили дані облікових записів і персональну інформацію (PII) приблизно 77 000 співробітників Uber.

Подія

Intelligent Security Summit On-Demand

Дізнайтеся про важливу роль штучного інтелекту та машинного навчання в кібербезпеці та конкретних галузевих прикладах. Дивіться сеанси за запитом сьогодні.

Дивіться тут

Незважаючи на те, що злам Uber і Gemini є окремими інцидентами, двом організаціям довелося збирати шматки та запускати контроль за пошкодженнями після того, як захист безпеки стороннього постачальника відмовив.

«У загальному плані втрачені адреси електронної пошти — не найгірший елемент даних, який можна використовувати; однак це суворе нагадування про те, що підприємства все ще будуть нести відповідальність за порушення, які (імовірно) відбуваються з їхніми сторонніми постачальниками», — сказав головний дослідник загроз Netenrich Джон Бамбенек.

Розглядаючи ці інциденти на тлі ширшої тенденції зломів третіми сторонами, здається, що суб’єкти загрози добре знають, що сторонні постачальники є відносно простою точкою входу до систем організацій, що знаходяться нижче за течією.

Зрештою, організація не лише має довіряти заходам безпеки своїх ІТ-постачальників і передати контроль над своїми даними, вона також має бути впевнена, що постачальники повідомлятимуть про інциденти кібербезпеки, коли вони відбуватимуться.

На жаль, багато організацій співпрацюють зі сторонніми постачальниками, яким вони не повністю довіряють, і лише 39% підприємств впевнені, що третя сторона повідомить їх, якщо в їхній компанії виникне порушення даних.

Ризики витоку електронних листів: соціальна інженерія

Хоча адреси електронної пошти не є такими шкідливими, коли їх оприлюднюють, як паролі чи інтелектуальна власність, вони надають кіберзлочинцям достатньо інформації, щоб почати націлюватися на користувачів за допомогою шахрайства з соціальною інженерією та фішингових електронних листів.

«Поки цей конкретний екземпляр [the Gemini breach] включає в себе обмін криптовалюти, вивід — це набагато загальніша проблема [with] суб’єкти загрози отримують цільову інформацію (електронні адреси, номери телефонів) і певний контекст цієї інформації (всі вони використовують певний сервіс), щоб зробити її релевантною», — сказав Майк Паркін, старший технічний інженер постачальника засобів усунення кіберризиків Vulcan Cyber.

«Випадкові електронні листи — це добре, якщо ви ведете шахрайство нігерійського принца, але для здійснення більш цілеспрямованих мережевих атак, націлених на конкретну організацію чи спільноту користувачів, наявність такого контексту — це золото для загроз», — сказав Паркін.

У майбутньому шахраї зможуть використовувати ці адреси електронної пошти для проведення цілеспрямованих фішингових кампаній і криптошахрайства, щоб спробувати обманом змусити користувачів увійти на підроблені біржові сайти або передати іншу конфіденційну інформацію.

Відповідь: зменшення ризиків третіх сторін

Один із способів, як організації можуть почати пом’якшувати ризики третіх сторін, — це переглянути відносини з постачальниками та оцінити їхній вплив на стан безпеки організації.

«Організації повинні розуміти, де вони можуть бути піддані ризику, пов’язаному з постачальниками, і запровадити послідовну політику для переоцінки цих відносин», — сказав Браян Мерфі, старший директор із консалтингових послуг і реагування на інциденти в CyberArk.

На фундаментальному рівні підприємства повинні почати розглядати сторонніх постачальників як розширення свого бізнесу та взяти на себе власність, щоб забезпечити необхідні засоби захисту для захисту активів даних.

На думку Бамбенека, найпрактичніший спосіб, у який CISO можуть зробити це, — це впровадити безпеку на рівні контракту.

«КІСО повинні переконатися, що принаймні їхні контракти закріплені на папері, щоб висувати розумні вимоги безпеки, і вони використовували інструменти моніторингу ризиків третіх сторін для оцінки відповідності. Чим чутливіші дані, тим сильнішими повинні бути вимоги та моніторинг», — сказав Бамбенек.

Хоча ці заходи не повністю усунуть ризики співпраці з третьою стороною, вони забезпечать організаціям додатковий захист і підкреслять, що вони виконали належну обачність у захисті даних клієнтів.

Місія VentureBeat має стати цифровою міською площею для тих, хто приймає технічні рішення, щоб отримати знання про трансформаційні корпоративні технології та транзакції. Відкрийте для себе наші брифінги.

Leave a Comment