עלייה במספר הפרצות ודפוסי התקפה משתנים מסמנים זמנים קשים לפנינו

rising breach numbers and shifting attack patterns signal tough times ahead

עלייה במספרי הפרות ודפוסי התקפה משתנים מאותתים על זמנים קשים קדימה

21 במרץ 2024

תוכן עניינים:

1) אמא של כל הפרות
2) איום כפול
3) שרשראות אספקה בסיכון
4) הצורך בכללי דיווח סטנדרטיים
5) מה אתה יכול לעשות עכשיו

אם חשבתם שהפרצות נתונים הן רעות, חגרו את עצמכם; הם הולכים ומחמירים. בינואר פרסם מרכז המשאבים לגניבת זהות בארה"ב (ITRC). דוח הפרת נתונים לשנת 2023. הממצאים קשים. הדו"ח, שזוהי השנה ה-18, תיעד עלייה עצומה במספר מקרי הפרת מידע. היא עקבה אחר 3,205 פשרות בסך הכל ב-2023, עלייה של 72% משיא כל הזמנים של 1,860 ב-2021.

מומחים מודאגים מכך שרשתות אספקה חשופות והעדר חוק לאומי להגנת מידע נותנים יתרון ליריבים.

אמא של כל הפרות

באותו חודש ראינו את אחת מדליפות הנתונים הגדולות בהיסטוריה. הוא זכה לכינוי "האם של כל ההפרות" (MOAB), ראה למעלה מ-26 מיליארד רשומות שנגנבו מ-Leak-Lookup, מנוע חיפוש של שיאים אישיים שנפרצו שנאספו מלמעלה מ-4,000 הפרות שנמשכו שנים אחורה.

בוב דיאצ'נקו, מייסד Security Discovery, מצא את הרשומות הגנובות במופע שגוי ברשת, כלומר כל אחד יכול היה לגשת אליהם.
חברת אבטחת הסייבר SpyCloud מצא שבעוד שרוב הרשומות היו ישנות ונחשפו בעבר, הנתונים עדיין הכילו כ-1.6 מיליארד רשומות מ-274 הפרות שלא היו במסד הנתונים הקיים של רשומות שנפגעו. בסביבות 30 מהפרות שלא נחשפו בעבר הכילו כפילויות או נתונים מפוברקים, אך הרשומות כללו גם כמה נתוני הפרות שהוצעו בעבר למכירה פרטית באינטרנט.

איום כפול

פרצות מידע שמובילות לפרסום מידע אישי באינטרנט טומנות בחובן מספר סכנות. הראשון הוא שניתן להשתמש בהם עבור התקפות מילוי אישורים, שבהן תוקפים מבצעים התקפות בכוח גס על מספר חשבונות באמצעות אישורים חשופים של מתקפה אחת.

"הדבר המפחיד ביותר עבור צוות אבטחה הוא שמישהו מקבל גישה לאישורים ויכול להתמיד בארגון", אומר וויל לין, מנכ"ל בסטארט-אפ אבטחה חמקני AKA Identity, ל-ISMS.online.

שיאים שנפרצו שהודלפו באינטרנט הם גם כלי שימושי בהפעלת התקפות ממוקדות, אומר Venky Raju, CTO בתחום של ColorTokens. ראג'ו מציין ירידה במספר הקורבנות הממוצע לכל הפרה בזמן האחרון. בעוד שאירועי הפרות זינקו ב-2023, מספר הקורבנות הכולל ירד ב-16% מ-425.2 מיליון ב-2022 לקצת יותר מ-353 מיליון בשנה שעברה. לפני שש שנים, 2.2 מיליון רשומות נחשפו ב-1,175 הפרות, לפי ה-ITRC.

"הסיבה לכך שמספר הקורבנות יורד היא כי [התקפות] הן מאוד ממוקדות עכשיו", אומר רג'ו ל-ISMS.online. "יש יותר כסף להרוויח על ידי התמקדות במספר קטן של אנשים שאתה יודע עליהם יותר מאשר רק לבצע התקפות ריסוס ותפילה."

רשומות שנפרצו יכולות להכיל כל דבר, החל מאישורי גישה פשוטים למידע רפואי מפורט או נתונים פיננסיים. בינואר, קבוצת הביטוח אמר צ'וסר ש-53 מיליון נתונים פיננסיים של אנשים נפגעו בהפרות בשנה שעברה.

נתונים אישיים מהפרות מאפשרים לתוקפים ללמוד יותר על הקורבנות שלהם, אומר ראג'ו, מה שאומר שהם יכולים למקד אנשים בצורה יעילה יותר. הוא מזהיר מפני תוקפים שיעצימו את הנתונים הללו עם מידע נוסף שנרכש מברוקרי נתונים. אלה יכולים לשמש להונאות כולל שחיטת חזירים, שבה תוקפים מפתים אנשים למערכות יחסים ואז משכנעים אותם להשקיע במיזמים מזויפים. התקפות אלו מסתמכות במידה רבה על הנדסה חברתית.

שרשראות אספקה בסיכון

סמנכ"ל התפעול של ה-ITRC, ג'יימס לי, טוען של-MOAB, עם החלק הגדול של הרשומות שכבר נחשפו, לא תהיה השפעה רבה. הוא מודאג ממגמה נוספת המודגשת בדו"ח.

"אני מודאג הרבה יותר מהעלייה במתקפות שרשרת האספקה ומהיכולת הגוברת של גורמי איומים להיכנס לקוד המקור של התוכנה כדי למצוא פגמים של יום אפס ולנצל אותם", הוא אומר ל-ISMS.online. הנתונים הסטטיסטיים של ה-ITRC מראים עלייה של 2,600% בארגונים הממוקדים בהתקפות שרשרת האספקה מאז 2018, ועלייה של 1,400% במספר הקורבנות.

אז איך עוצרים את עליית מספרי הפרצות עוד יותר?

"היעדר תקני אבטחת סייבר אחידים יחד עם היעדר הודעות אחידות על פרצות נתונים ותקני תיקון [בארה"ב] תורמים עיקריים לכך שלא התקדמנו נגד פרצות מידע", אומר לי. הוא קורא למנגנוני דיווח סטנדרטיים יותר, יחד עם יוזמות לציות.

הצורך בכללי דיווח סטנדרטיים

האצלת חוקי הפרטיות למדינות בודדות בארה"ב יוצרת טלאים מבלבל. בהיעדר חוק פרטיות לאומי, עלינו לקחת את האפשרות הבאה הטובה ביותר, הוא אומר.

"הדרך היחידה לשפר את הסטטוס קוו היא לגרום לכל מדינה לעדכן את החוקים והתקנות שלה כדי לעמוד בסטנדרטים מינימליים מסוימים", מסביר לי. "זה לא בלתי אפשרי, אבל זה לא מהיר או אידיאלי."

כללי הדיווח של ה-SEC שהוצגו לאחרונה יסייעו להפוך חברות הנסחרות לציבור אחראיות יותר. עם זאת, פחות מ-10% מהפרות בשנה שעברה דווחו על ידי חברות אלו, הוא מוסיף. אולי הרגולציה תגדיל את השיעור הזה השנה. לי מציין שחברות כבר מדווחות מבלי להמתין כדי לקבוע אם להפרה יש השפעה מהותית או לא. למרות זאת, רוב ההפרות עדיין ייפלו מחוץ לתחום של ה-SEC, הוא מזהיר.

מה אתה יכול לעשות עכשיו

בעוד שהרגולציה הפדרלית של ה-SEC ללא ספק תעזור, האתגר נותר עצום כאשר התוקפים ממשיכים למקד את הבטן הרכה של הכלכלה. הפרצות ממשיכות להגיע, כמו ינואר לתקוף על Global Affairs Canada, אם כי היקפו המלא לא נחשף. בפברואר, מתקפת תוכנת כופר בחברת הבת של UnitedHealth Change Healthcare שיבשו את המרשמים ואיימו על חיים. פושעי סייבר המקורבים ל-BlackCat, שלקחה אחריות על הפגיעה, נתבע כי UnitedHealth שילמה 22 מיליון דולר כדי למנוע את פרסום הנתונים שנפרצו.

חברות יכולות לנקוט בפעולה על ידי בניית בקרות אבטחה חזקות המבוססות על תקנים כגון ISO 27001, יחד עם אישורים אחרים שאושרו בתעשייה המתאימות לאזור, למגזר ולגודל שלהם. אולי לא נוכל לדכא גל גואה של התקפות ממוקדות יותר ויותר, אבל נוכל לפחות לשים לב ולעבור לשטח גבוה יותר.

מְחַבֵּר

דני ברדברי

דני ברדבורי הוא עיתונאי דפוס המתמחה בטכנולוגיה מאז 1989 וכותב עצמאי מאז 1994. הוא כתב עבור פרסומים לאומיים משני צדי האוקיינוס האטלנטי וזכה בפרסים על עבודתו העיתונות החוקרת בתחום אבטחת הסייבר.

צפה בכל הפוסטים של דני ברדבורי