مقالات التقنية

الجوزاء ، تظهر انتهاكات بيانات Uber أنه لا يمكن تجاهل مخاطر الطرف الثالث


تحقق من جميع الجلسات عند الطلب من قمة الأمن الذكي هنا.


تعتبر مخاطر الطرف الثالث من أكثر التهديدات التي يتم تجاهلها في أمان المؤسسة. تظهر الأبحاث أنه على مدار الاثني عشر شهرًا الماضية ، عانت 54٪ من المؤسسات من خروقات للبيانات من خلال جهات خارجية. هذا الأسبوع وحده ، تمت إضافة كل من Uber و تبادل العملة المشفرة Gemini إلى تلك القائمة.

في الآونة الأخيرة ، عانى Gemini من خرق للبيانات بعد أن اخترق المتسللون أنظمة بائع طرف ثالث وتمكنوا من الوصول إلى 5.7 مليون رسالة بريد إلكتروني وأرقام هواتف غامضة جزئيًا.

في منشور مدونة يعكس الاختراق ، أقر Gemini أنه على الرغم من عدم تأثر معلومات أو أنظمة الحساب نتيجة لذلك ، فقد يكون بعض العملاء قد تم استهدافهم من خلال حملات التصيد الاحتيالي بعد الخرق.

في حين أن المعلومات التي تم الكشف عنها في خرق الجوزاء تقتصر على رسائل البريد الإلكتروني وأرقام الهواتف الجزئية ، فإن الاختراق يسلط الضوء على أن استهداف البائعين الخارجيين هو وسيلة موثوقة للجهات الفاعلة في التهديد لجمع المعلومات لاستخدامها في عمليات الاحتيال في الهندسة الاجتماعية والهجمات الأخرى.

لماذا تعتبر الأطراف الثالثة هدفًا سهلاً لانتهاكات البيانات

في حالة اختراق Uber ، حصل المتسللون لأول مرة على إمكانية الوصول إلى الأنظمة الداخلية لـ Teqtivity وخادم AWS ، قبل تسريب وتسريب معلومات الحساب ومعلومات التعريف الشخصية (PII) لما يقرب من 77000 موظف في Uber.

حدث

قمة الأمن الذكي عند الطلب

تعرف على الدور الحاسم للذكاء الاصطناعي وتعلم الآلة في الأمن السيبراني ودراسات الحالة الخاصة بالصناعة. شاهد الجلسات عند الطلب اليوم.

مشاهدة هنا

على الرغم من أن انتهاكات Uber و Gemini هي حوادث منفصلة ، فقد تُركت المنظمتان لالتقاط القطع وتشغيل التحكم في الضرر بعد فشل الحماية الأمنية لمورد خارجي.

“في المخطط الكبير للأشياء ، لا تعتبر عناوين البريد الإلكتروني المفقودة أسوأ عنصر بيانات يمكن استخدامه ؛ ومع ذلك ، فإن هذا تذكير صارخ بأن الشركات لا تزال تتعامل مع الانتهاكات التي (يُزعم أنها) تحدث مع البائعين الخارجيين ، “قال جون بامبنيك ، صائد التهديد الرئيسي في Netenrich.

عند النظر في هذه الحوادث وسط الاتجاه الأوسع لانتهاكات الطرف الثالث ، يبدو أن الجهات الفاعلة في التهديد تدرك جيدًا أن موردي الطرف الثالث هم نقطة دخول بسيطة نسبيًا لأنظمة المنظمات النهائية.

بعد كل شيء ، لا يتعين على المؤسسة فقط أن تثق في التدابير الأمنية لبائعي تكنولوجيا المعلومات الخاصة بهم وتسليم التحكم في بياناتهم ، بل يتعين عليهم أيضًا أن يكونوا على ثقة من أن البائعين سيبلغون عن حوادث الأمن السيبراني عند حدوثها.

لسوء الحظ ، تعمل العديد من المؤسسات جنبًا إلى جنب مع البائعين الخارجيين الذين لا يثقون بهم تمامًا ، مع ثقة 39٪ فقط من المؤسسات في أن طرفًا ثالثًا سيبلغهم إذا نشأ خرق للبيانات في شركتهم.

مخاطر رسائل البريد الإلكتروني المسربة: الهندسة الاجتماعية

على الرغم من أن عناوين البريد الإلكتروني ليست ضارة عند إصدارها مثل كلمات المرور أو الملكية الفكرية ، إلا أنها توفر لمجرمي الإنترنت معلومات كافية لبدء استهداف المستخدمين بحيل الهندسة الاجتماعية ورسائل البريد الإلكتروني التصيدية.

“بينما هذه الحالة المحددة [the Gemini breach] ينطوي على تبادل العملات المشفرة ، والخلاصة هي مشكلة أكثر عمومية [with] قال مايك باركين ، كبير المهندسين التقنيين في شركة فولكان سايبر لمعالجة المخاطر الإلكترونية ، ”

قال باركين: “رسائل البريد الإلكتروني العشوائية جيدة إذا كنت تقوم بإطلاق النار على عمليات الاحتيال التي يقوم بها الأمير النيجيري ، ولكن لتقديم المزيد من الهجمات المركزة التي تستهدف منظمة أو مجتمع مستخدمين معينين ، فإن وجود هذا السياق يعد بمثابة عنصر التهديد الذهبي”.

في المستقبل ، سيتمكن المحتالون من استخدام عناوين البريد الإلكتروني هذه لإنشاء حملات تصيد احتيالية عالية الاستهداف وعمليات احتيال تشفير لمحاولة خداع المستخدمين لتسجيل الدخول إلى مواقع التبادل المزيفة أو تسليم معلومات حساسة أخرى.

الجواب: تخفيف مخاطر الطرف الثالث

إحدى الطرق التي يمكن أن تبدأ بها المؤسسات في التخفيف من مخاطر الطرف الثالث هي مراجعة علاقات الموردين وتقييم تأثيرها على الوضع الأمني ​​للمؤسسة.

قال بريان مورفي ، مدير أول للخدمات الاستشارية والاستجابة للحوادث في CyberArk: “تحتاج المؤسسات إلى فهم الأماكن التي يمكن أن تتعرض فيها للمخاطر المتعلقة بالموردين ووضع سياسات متسقة لإعادة تقييم تلك العلاقات”.

على المستوى الأساسي ، تحتاج الشركات إلى البدء في اعتبار البائعين الخارجيين امتدادًا لأعمالهم ، والاستحواذ على الملكية بحيث يتم وضع الحماية اللازمة لتأمين أصول البيانات.

بالنسبة إلى Bambenek ، فإن الطريقة الأكثر عملية التي يمكن أن يقوم بها CISOs للقيام بذلك هي تضمين الأمان على مستوى العقد.

“يحتاج CISOs إلى التأكد على الأقل من أن عقودهم مكتوبة بورق لفرض متطلبات أمنية معقولة واستخدامهم أدوات مراقبة مخاطر الطرف الثالث لتقييم الامتثال. قال بامبينيك: “كلما كانت البيانات أكثر حساسية ، كلما كانت المتطلبات والرصد أقوى”.

في حين أن هذه التدابير لن تقضي على مخاطر العمل مع طرف ثالث تمامًا ، فإنها ستوفر للمؤسسات حماية إضافية وتسلط الضوء على أنها قد بذلت العناية الواجبة في حماية بيانات العملاء.

مهمة VentureBeat هو أن تكون ساحة المدينة الرقمية لصناع القرار التقنيين لاكتساب المعرفة حول تكنولوجيا المؤسسات التحويلية والمعاملات. اكتشف إحاطاتنا.

مقالات ذات صلة

اترك تعليقاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *

زر الذهاب إلى الأعلى