அறிமுகமான attack path, பெரும் விளைவுகளுடன்
ADT customer data-ஐ பாதித்ததாக கூறப்படும் ஒரு reported breach, பெரிய enterprise intrusions-இல் இப்போது ஆபத்தான அளவில் பொதுவானதாகிவிட்ட ஒரு pattern-ஐப் பின்பற்றுவது போல உள்ளது: identity layer-ஐ compromise செய்து, பின்னர் அந்த access-ஐ பயன்படுத்தி மதிப்புமிக்க systems-ஐ அளவிலான அளவில் அடையுதல். வழங்கப்பட்ட source text-இன் படி, Have I Been Pwned, ShinyHunters என்ற hacking group-க்கு attributed செய்யப்பட்ட breach-இல் ADT customers-க்கு தொடர்புடைய 5.5 million unique email addresses இருந்ததாக தெரிவித்தது.
ADT payment information compromise ஆகவில்லை என்று கூறியது; ஆனால் இந்த incident-இல் customer names, phone numbers, addresses ஆகியவை இருந்ததாகவும், சில cases-இல் Social Security மற்றும் Tax ID numbers கூட இருந்ததாகவும் நிறுவனம் உறுதிப்படுத்தியது. இந்த சேர்க்கை breach-ஐ கடுமையானதாக மாற்றுகிறது, payment-card exposure இல்லாவிட்டாலும் கூட, ஏனெனில் attackers-க்கு identity fraud, targeted phishing, மற்றும் நீண்டகால security harm-க்கு பயன்படும் personal data கிடைக்கிறது.
Attackers உள்ளே எவ்வாறு வந்ததாக கூறப்படுகிறது
ShinyHunters, Bleeping Computer-க்கு தாங்கள் ஒரு employee-ன் Okta single sign-on credentials-ஐ compromise செய்து ADT Salesforce account-க்கு access பெற்றதாக கூறியதாக report சொல்கிறது. அதே report-ல் voice phishing, அல்லது vishing, தாக்குதலில் பயன்படுத்தப்பட்டதாகவும் கூறுகிறது. இது சரியானதாக இருந்தால், substantial security infrastructure கொண்ட organizations-ல்கூட identity மற்றும் access systems critical failure point ஆகவே இருப்பதற்கான இன்னொரு எடுத்துக்காட்டாக இது அமையும்.
Single sign-on products access management-ஐ எளிமைப்படுத்தவும் வலுப்படுத்தவும் வடிவமைக்கப்பட்டவை; ஆனால் அவை risk-ஐ ஒருமுகப்படுத்தவும் செய்கின்றன. Attackers internal support personnel-ஐ நம்பத்தகுந்த முறையில் impersonate செய்ய முடிந்தால், ஒரு employee-ஐ manipulate செய்ய முடிந்தால், அல்லது core access provider-க்கு இணைந்த credentials-ஐப் பிடித்துவிட்டால், downstream systems-ன் defensive value விரைவில் குறைகிறது.
Compromised identity, customer relationship systems போன்ற high-value business platforms-ஐ unlock செய்ய முடிந்தால் இது குறிப்பாக உண்மை. அத்தகைய சூழலில், application-ஐ நேரடியாக exploit செய்ய sophisticated exploit தேவையில்லை. Attackers stolen trust-உடன் front door வழியாக உள்ளே வருகிறார்கள்.
Vishing இன்னும் ஏன் வேலை செய்கிறது
வழங்கப்பட்ட source text Okta சமீபத்தில் voice phishing attacks அதிகம் இருப்பதாக எச்சரித்ததை குறிப்பிடுகிறது. அந்த context முக்கியமானது, ஏனெனில் vishing என்பது software flaws-ஐ விட மக்களை target செய்வதன் மூலம் வெற்றி பெறுகிறது. Attackers urgency, authority, procedural confusion ஆகியவற்றை exploit செய்கின்றனர். அவர்கள் internal IT staff, vendors, security responders என நடிக்கலாம். பொதுவாக employee-ஐ credentials தெரிவிக்க, login flow-ஐ approve செய்ய, அல்லது சாதாரண சந்தேகத்தை bypass செய்யும் recovery action எடுக்கச் சம்மதிக்க வைப்பதே இலக்கு.
இந்த தாக்குதல்கள் மிகவும் பயனுள்ளதாக இருக்க முடியும், ஏனெனில் அவை social engineering-ஐ modern identity systems-ன் சிக்கலுடன் கலக்கின்றன. Employees password resets, multifactor prompts, device enrollments, support interactions ஆகியவற்றை பல platforms-இல் கையாள வேண்டும் என்று எதிர்பார்க்கப்படுகின்றனர். Attackers இந்த operational noise-ஐப் பயன்படுத்துகின்றனர்.
ADT case, report-ல் விவரிக்கப்பட்டபடி, ஒரு பரந்த security lesson-ஐ வெளிப்படுத்துகிறது: ஒரு organization-ன் defensive stack வலிமை அதன் identity workflows மற்றும் human verification procedures எவ்வளவு உறுதியானவை என்பதில்தான் இருக்கிறது.
Payment cards இல்லாவிட்டாலும் exposed data ஏன் முக்கியம்
Breaches-ல் payment information சேர்க்கப்படவில்லை என்பதை companies அடிக்கடி வலியுறுத்துகின்றன; அந்த வேறுபாடு முக்கியமானது. ஆனால் அது மற்ற exposed records-ன் கடுமையை மறைத்துவிடவும் முடியும். Names, addresses, phone numbers, email addresses, சில சமயங்களில் government-linked identifiers ஆகியவை criminal-களுக்கு மிகவும் பயனுள்ளவை.
இத்தகைய data, பிற breaches-ல் கிடைத்த தகவலுடன் சேர்ந்து, நம்பத்தகுந்த phishing campaigns, synthetic identities, அல்லது fraud attempts உருவாக்க பயன்படுத்தப்படலாம். Home security company-க்கு ஒரு கூடுதல் உணர்திறன் உள்ளது: தங்கள் physical spaces-ஐ பாதுகாக்கும் நிறுவனம், வாடிக்கையாளர்களின் homes மற்றும் businesses-க்கு தொடர்புடைய digital records-ஐ குறிப்பாக வலுவாகக் கட்டுப்படுத்த வேண்டும் என்று அவர்கள் எதிர்பார்க்கலாம்.
இது breach-ன் உண்மைகளை மாற்றாது; ஆனால் reputational damage-ஐ வடிவமைக்கிறது. பாதுகாப்பை brand-ஆக கொண்ட நிறுவனங்களில் security failures public imagination-ல் இன்னும் கடுமையாகத் தாக்குகின்றன.
Enterprise security-க்கான பாடம்
Report செய்யப்பட்ட இந்த incident defenders மீண்டும் மீண்டும் எதிர்கொள்ள வேண்டிய ஒரு விஷயத்தை உறுதிப்படுத்துகிறது: access management வெறும் IT convenience layer அல்ல. அது primary security battleground. Centralized authentication, cloud business applications, மற்றும் socially engineered credential theft ஆகியவற்றின் சேர்க்கை, attackers novel malware அல்லது exploit chains எதையும் குறிப்பிடத்தக்க அளவில் பயன்படுத்தாமல் கூட பெரும் சேதத்தை உருவாக்க முடியும்.
Enterprises-க்கு பதில் technical controls மட்டும் அல்ல. Stronger identity protections முக்கியம்; அதேபோல் call-back procedures, help-desk verification standards, privilege segmentation, மற்றும் realistic social-engineering tactics-ஐ மையமாகக் கொண்ட employee training ஆகியவையும் முக்கியம், generic awareness slides அல்ல.
சமீபத்திய Panera Bread breach-இல் similar SSO-phishing pattern இருப்பதாக report குறிப்பிடுவது, இது ஒரு company அல்லது industry-க்கு மட்டுப்படாத பிரச்சினை என்பதை காட்டுகிறது. Attackers இதே playbook-ஐ மீண்டும் பயன்படுத்துகிறார்கள், ஏனெனில் அது access-ஐத் தொடர்ந்து வழங்குகிறது.
பாதிக்கப்பட்ட வாடிக்கையாளர்கள் என்ன கவலைப்படுவார்கள்
வாடிக்கையாளர்களுக்கு உடனடி கவலை நடைமுறை exposure தான். Personal identifiers இருப்பதாக தெரிவிக்கப்பட்டிருப்பதால், சில users scams அல்லது impersonation attempts-க்கு அதிக ஆபத்தில் இருக்கலாம். ADT தனது response protocols உடனடியாக செயல்பட்டதாக, intrusion-ஐ நிறுத்துதல், forensic investigation தொடங்குதல், law enforcement-ஐ அறிவித்தல் ஆகியவை உட்பட, கூறியது. இவை வழக்கமானதும் அவசியமானதும், ஆனால் public trust என்பது நிறுவனம் scope, timing, மற்றும் affected individuals-க்கான downstream protections ஆகியவற்றை எவ்வளவு தெளிவாக தெரிவிக்கிறது என்பதில்தான் அமையும்.
Breach பிறகு பொதுவாக வாடிக்கையாளர்கள் மூன்று விஷயங்களை விரும்புகிறார்கள்: என்ன நடந்தது என்ற துல்லியமான கணக்கு, எந்த data வெளிப்பட்டது என்ற தெளிவான விளக்கம், மற்றும் தொடர்ந்து வரும் ஆபத்தை குறைப்பதற்கான உறுதியான வழிகாட்டல். இவ்வளவு பெரிய breach-இல் ambiguity தானாகவே ஒரு பிரச்சினையாக மாறக்கூடும்.
Identity perimeter பற்றிய இன்னொரு எச்சரிக்கை
இந்த incident-ஐ குறிப்பிடத்தக்கதாக 만드는து, பாதிக்கப்பட்ட records எண்ணிக்கை மட்டுமல்ல; attack path-ன் எளிமை போலத் தெரியும் தன்மையும் கூட. Voice phishing மூலம் பெறப்பட்ட compromised single sign-on credentials மில்லியன் கணக்கான customer records-ஐ வெளிப்படுத்த போதுமானதாக இருந்தால், பாடம் கடுமையானது. Modern cloud environments-ல் identity perimeter தான் பெரும்பாலும் உண்மையான perimeter.
அதனால் ADT breach report என்பது data exposures-ன் நீண்ட பட்டியலில் இன்னொரு entry மட்டும் அல்ல. Code-ஐ உடைப்பதற்குப் பதிலாக, keys-ஐ வைத்திருக்கும் மக்களிடம் பேசிவிட்டு உள்ளே நுழைய attackers-க்கு எப்போதும் தேவையில்லை என்பதற்கான நினைவூட்டல் இது.
இந்தக் கட்டுரை Mashable-இன் செய்திப்பதிவை அடிப்படையாகக் கொண்டது. மூலக் கட்டுரையைப் படிக்கவும்.
Originally published on mashable.com
