L’augmentation du nombre de violations et l’évolution des modèles d’attaques signalent des temps difficiles à venir

Si vous pensez que les violations de données sont graves, attachez votre ceinture ; ils empirent. En janvier, le Centre américain de ressources sur le vol d'identité (ITRC) a publié son Rapport 2023 sur les violations de données. Les résultats sont désastreux. Le rapport, qui en est à sa 18e édition, fait état d'une augmentation considérable du nombre d'incidents de violation de données. Il a recensé 3,205 2023 compromissions au total en 72, soit une hausse de 1,860 % par rapport au record historique de 2021 XNUMX en XNUMX.

Les experts craignent que les chaînes d’approvisionnement exposées et l’absence de loi nationale sur la protection des données ne donnent un avantage aux adversaires.

Une mère de toutes les violations

Le même mois, nous avons assisté à l’une des plus grandes fuites de données de l’histoire. Surnommé la « Mère de toutes les violations » (MOAB), il a vu plus de 26 milliards de dossiers volés sur Leak-Lookup, un moteur de recherche de dossiers personnels violés collectés à partir de plus de 4,000 XNUMX violations remontant à plusieurs années.

Bob Diachenko, fondateur de Security Discovery, a trouvé les enregistrements volés dans une instance en ligne mal configurée, ce qui signifie que n'importe qui aurait pu y accéder.
Société de cybersécurité SpyCloud trouvé que même si la plupart des enregistrements étaient anciens et avaient déjà été exposés, les données contenaient toujours environ 1.6 milliard d'enregistrements provenant de 274 violations qui ne figuraient pas dans sa propre base de données existante d'enregistrements compromis. Environ 30 des violations jusqu'alors non divulguées contenaient des doublons ou des données fabriquées, mais les enregistrements comprenaient également des données de violation qui avaient été précédemment proposées à la vente privée en ligne.

Une double menace

Les violations de données qui conduisent à la publication d’informations personnelles en ligne comportent plusieurs dangers. La première est qu'ils peuvent être utilisés pour des attaques de type credential stuffing, dans lesquelles les attaquants automatisent les attaques par force brute sur plusieurs comptes en utilisant les informations d'identification exposées d'une attaque.

"La chose la plus effrayante pour une équipe de sécurité est que quelqu'un ait accès aux informations d'identification et soit capable de persister au sein d'une organisation", a déclaré Will Lin, PDG de la startup de sécurité furtive AKA Identity, à ISMS.online.

Les enregistrements violés divulgués en ligne sont également un outil utile pour lancer des attaques ciblées, explique Venky Raju, directeur technique de ColorTokens. Raju note une baisse du nombre moyen de victimes par violation ces derniers temps. Alors que les incidents de violation ont grimpé en flèche en 2023, le nombre total de victimes a diminué de 16 %, passant de 425.2 millions en 2022 à un peu plus de 353 millions l'année dernière. Il y a six ans, 2.2 millions de dossiers ont été exposés lors de 1,175 XNUMX violations, selon l'ITRC.

« La raison pour laquelle le nombre de victimes diminue est que [les attaques] sont désormais très ciblées », explique Raju à ISMS.online. « Il y a plus d’argent à gagner en ciblant un petit nombre de personnes que l’on connaît mieux qu’en lançant simplement des attaques par pulvérisation et prière. »

Les enregistrements violés peuvent contenir n’importe quoi, depuis de simples identifiants d’accès jusqu’à des informations détaillées sur les soins de santé ou des données financières. En janvier, le groupe d'assurance Chaucer a dit que les données financières de 53 millions de personnes ont été compromises lors de violations l'année dernière.

Les données personnelles issues des violations permettent aux attaquants d'en savoir plus sur leurs victimes, explique Raju, ce qui signifie qu'ils peuvent cibler les individus plus efficacement. Il met en garde contre les attaquants qui enrichissent ces données en achetant encore plus d'informations auprès de courtiers en données. Ceux-ci peuvent être utilisés pour des escroqueries, notamment pour la boucherie de porcs, dans lesquelles les attaquants attirent les gens dans des relations et les persuadent ensuite d'investir dans de fausses entreprises. Ces attaques s'appuient fortement sur l'ingénierie sociale.

Chaînes d’approvisionnement en danger

Le directeur des opérations de l'ITRC, James Lee, affirme que MOAB, avec sa grande proportion de documents déjà exposés, n'aura pas beaucoup d'impact. Il s'inquiète d'une autre tendance soulignée dans le rapport.

« Je suis beaucoup plus préoccupé par l'augmentation des attaques contre la chaîne d'approvisionnement et par la capacité croissante des acteurs malveillants à pénétrer dans le code source des logiciels pour trouver des failles zero-day et les exploiter », a-t-il déclaré à ISMS.online. Les statistiques de l'ITRC montrent une augmentation de 2,600 2018 % du nombre d'organisations ciblées par des attaques contre la chaîne d'approvisionnement depuis 1,400, et une augmentation de XNUMX XNUMX % du nombre de victimes.

Alors, comment pouvons-nous empêcher que le nombre de violations continue d’augmenter ?

« L’absence de normes uniformes en matière de cybersécurité, associée à l’absence de normes uniformes de notification et de remédiation des violations de données [aux États-Unis], explique en grande partie pourquoi nous n’avons pas progressé dans la lutte contre les violations de données », explique Lee. Il appelle à des mécanismes de reporting plus standardisés, ainsi qu'à des initiatives de conformité.

La nécessité de règles de reporting standardisées

La délégation des lois sur la protection de la vie privée à des États individuels aux États-Unis crée un patchwork déroutant. En l’absence d’une loi nationale sur la protection de la vie privée, nous devons choisir la meilleure option, dit-il.

"La seule façon d'améliorer le statu quo est d'amener chaque État à mettre à jour ses lois et réglementations pour répondre à certaines normes minimales", explique Lee. "Ce n'est pas impossible, mais ce n'est ni rapide ni idéal."

Les règles de reporting récemment introduites par la SEC contribueront à rendre les sociétés cotées en bourse plus responsables. Toutefois, moins de 10 % des violations l’année dernière ont été signalées par ces entreprises, ajoute-t-il. Peut-être que le règlement augmentera cette proportion cette année. Lee souligne que les entreprises publient déjà des rapports sans attendre de déterminer si une violation a un effet important ou non. Néanmoins, la plupart des violations resteront en dehors du champ d'application de la SEC, prévient-il.

Ce que vous pouvez faire maintenant

Même si la réglementation fédérale de la SEC sera sans aucun doute utile, le défi reste énorme alors que les attaquants continuent de cibler les bas-fonds de l'économie. Les violations se succèdent, car janvier a vu une attaquer sur Affaires mondiales Canada, même si sa portée n’a pas été révélée dans son intégralité. En février, une attaque de ransomware chez Change Healthcare, filiale de UnitedHealth, a perturbé les prescriptions et menacé des vies. Des cybercriminels proches de BlackCat, qui ont revendiqué le coup, revendiqué que UnitedHealth a payé 22 millions de dollars pour empêcher la publication des données piratées.

Les entreprises peuvent agir en mettant en place des contrôles de sécurité robustes basés sur des normes telles que la norme ISO 27001, ainsi que sur d'autres certifications approuvées par l'industrie et adaptées à leur propre région, secteur et taille. Nous ne serons peut-être pas en mesure d’étouffer une vague croissante d’attaques de plus en plus ciblées, mais nous pouvons au moins en tenir compte et avancer vers un terrain plus élevé.