Violación de bases de datos en los últimos años
En muchos sentidos, la tendencia a la filtración de datos en 2013 se ha frenado de manera efectiva, lo que sin duda es una buena noticia para la industria de la seguridad. A diferencia de los últimos cuatro o cinco años, los registros de este año ya no están plagados de violaciones masivas de bases de datos que expusieron decenas de millones de dólares en información de identificación personal. Según Privacy Rights Clearinghouse, tanto el número de vulnerabilidades informadas públicamente como el número de vulnerabilidades documentadas han disminuido este año. Durante el mismo período del año pasado, se registraron aproximadamente 2,78 millones de infracciones y 637 infracciones reportadas. En lo que va del año, ha habido aproximadamente 1,07 millones de vulnerabilidades documentadas y 483 informes de vulnerabilidad. Este es un testimonio del progreso que ha logrado la industria de la seguridad en su conjunto en términos de cumplimiento y mejores prácticas de seguridad, pero ese récord está lejos de donde debería estar.
Al comparar los datos del año hasta la fecha, vemos una disminución significativa de 61,7 en el número de infracciones registradas, mientras que solo una disminución del 24,2 en el número de infracciones reportadas. Esto muestra que las filtraciones todavía se producen a un ritmo rápido, pero la actividad delictiva y las filtraciones ahora son difusas en lugar de concentradas. Según los expertos en seguridad, el alcance de las filtraciones es menor y los objetivos de este tipo de actividad maliciosa son más amplios. Los delincuentes ahora roban propiedad intelectual u otros activos digitales con mayor frecuencia, y el daño resultante puede ser más grave que los propios registros de los clientes, y también más difícil de cuantificar, al no proporcionar las estadísticas necesarias para aparecer en los titulares.
Al profundizar en las filtraciones de este año, queda claro que la industria de la seguridad todavía tiene mucho trabajo por hacer, con registros de 2013 que demuestran que las bases de datos y aplicaciones valiosas aún no están bien protegidas y aún existen vulnerabilidades cifradas. y los usuarios aún pueden descargar grandes cantidades de información de bases de datos confidenciales y almacenarla en puntos finales desprotegidos. Para ayudarle a comprender mejor el panorama de seguridad actual, hemos seleccionado algunos ejemplos representativos de los que esperamos que pueda aprender.
Empresa: CorporateCarOnline.com
Estadísticas de infracciones: 850.000 registros robados
Detalles del incidente: Como una de las empresas de deportes, entretenimiento y Fortune 500 más conocidas En los Estados Unidos, CorporateCarOnline.com, una de las empresas más poderosas del mundo, tiene una gran cantidad de información personal de los usuarios, números de tarjetas de crédito y otra información de identificación personal. Sin embargo, la solución de base de datos SaaS global de alquiler de autos de lujo que desarrolló almacena. toda esta información en texto plano, lo que finalmente hace que todo caiga en manos de delincuentes. La lista incluye muchos nombres importantes, incluidos Tom Hanks, Tom Daschle y Donald Trump.
Lecciones aprendidas: la lección más importante es reconocer la realidad de que los atacantes pueden desatar capacidades técnicas aterradoras cuando se enfrentan a información de ingeniería social y financiera extremadamente valiosa. Según KrebsOnSecurity.com, una cuarta parte de las tarjetas American Express comprometidas eran tarjetas de límite alto o incluso ilimitadas, que es exactamente el tipo de información personal que los espías corporativos o los periodistas sensacionalistas esperan extraer para obtener información sobre la conclusión de Value. Al mismo tiempo, la empresa gestionaba sus cuentas de ingresos y gastos sin tener en cuenta la seguridad de la información y ni siquiera intentó implementar las medidas de cifrado más básicas.
Empresa: Adobe
Estadísticas de vulneración de datos: aproximadamente 3 millones de datos de identificación personal, más de 150 millones de combinaciones de nombre de usuario/contraseña y otros datos desconocidos. Se robó el código fuente del producto especificado. .
Detalles del incidente: desde la intrusión inicial, continuaron ataques adicionales durante más de un mes, culminando en este importante incidente.
Ahora está claro que Adobe está trabajando para recuperar una gran cantidad de credenciales de inicio de sesión robadas y, lo que es más sorprendente, incluso el código fuente del producto.
Lecciones aprendidas: el ataque que sacudió al mundo contra Adobe no solo demostró el daño que se puede causar cuando los atacantes logran afianzarse en las redes corporativas y controlar todo un proceso empresarial. Antes de considerar incorporar proveedores al suministro de software; cadena, primero debemos comprender qué tipo de ecosistema empresarial se está creando en el espacio de la seguridad. Como resultado de esta infracción, las posibles consecuencias podrían ser duraderas.
Empresa: Departamento de Energía de EE. UU.
Estadísticas de infracciones: se robó información de identificación personal de 53.000 empleados actuales y anteriores del Departamento de Energía
Detalles del incidente: Atacante El objetivo fue DOEInfo, que utilizó ColdFusion para construir este sistema de acceso público ahora desaparecido para la Oficina del Director Financiero. Los funcionarios del Departamento de Energía dijeron que la violación se limitó a la información de identificación personal de los empleados internos.
Lecciones aprendidas: Hay dos grandes lecciones que podemos aprender de esto. Primero, aplicar parches fue, es y será la tarea de seguridad más importante. En segundo lugar, las organizaciones deben reexaminar los sistemas que se conectan a bases de datos confidenciales y garantizar que sólo los sitios web necesarios estén disponibles para el público, minimizando así la superficie de ataque.
Empresa: Advocate Healthcare Group
Estadísticas de infracciones: se robaron cuatro millones de registros de pacientes
Detalles del incidente: se perdieron cuatro millones de registros de pacientes solo porque los delincuentes robaron cuatro empresas -Computadoras propias de la oficina.
Lecciones aprendidas: la industria de la salud representó la mayoría de las filtraciones de datos reveladas en 2013, pero este incidente fue claramente particularmente atroz. El robo de un solo dispositivo informático físico resultó en una violación de los registros de pacientes que datan desde la década de 1990 hasta la actualidad, exponiendo las fallas integrales de la empresa en todos los aspectos de la seguridad física, la seguridad de los terminales, el cifrado y la protección de datos. Es importante enfatizar que el robo y la pérdida de dispositivos terminales es algo común en la industria de la salud. Ahora, es posible que estas organizaciones necesiten considerar rápidamente cuánta información pueden descargar y guardar los dispositivos finales desde bases de datos centralizadas.