Нарушение данных Saudi Aramco: напоминание о начале мониторинга RPI

23 июня 2021 года участники угроз сообщили, что они украли терабайт данных у Saudi Aramco, государственной нефтяной компании в Саудовской Аравии.

Участники угроз опубликовали образцы данных, которые они получили после редактирования важной информации. Они также утверждали, что располагают подробной информацией о сотрудниках Aramco, такой как их полные имена, фотографии, сканы паспортов, электронные письма, номера телефонов, номера вида на жительство (карта Iqama), должности, идентификационные номера сотрудников и семейная информация.

Это нарушение было своеобразным из-за методов атаки, используемых противниками. Во-первых, не было никаких перерывов в деятельности организации-жертвы. Далее злоумышленник пообещал поделиться данными со всеми, кто был готов заплатить оговоренную сумму.

Через месяц после того, как образцы данных были размещены в Интернете, Saudi Aramco признала, что доступ к данным был получен через стороннего подрядчика, а не через ее собственные системы. По данным Би-би-си, участники угрозы потребовали от Aramco 50 миллионов долларов за восстановление украденных данных с обещанием полностью стереть их и не продавать другим сторонам.

Сторонний мониторинг стал критически важным

По данным Securelink, 51% компаний пострадали от утечки данных, вызванной уязвимостями в инфраструктуре третьих сторон, с которыми они имеют дело. Это требует мониторинга всех событий, связанных со сторонами, связанными с организацией.

Несколько прошлых инцидентов подчеркнули важность безопасности третьих сторон:

• Американская страховая компания Renaissance Life & Health сообщила о нарушении безопасности третьей стороной 1 июня 2021 года.

• Morgan Stanley столкнулся с нарушением данных о клиентах, когда информация о клиентах была украдена из базы данных поставщика.

• Facebook и Twitter сообщили о массовом нарушении конфиденциальной информации пользователей через OneAudience в 2019 году.

Однако мониторинг деятельности третьих лиц не так прост, как кажется. Идентифицировать такие атаки сложно, поскольку организации плохо видят среду сторонних поставщиков, а также потому, что эти поставщики не всегда берут на себя ответственность за защиту данных.

Хотя власти разработали стандарты соответствия, чтобы сделать третьих лиц ответственными за безопасность данных, а также помогли организациям создать структуру для мониторинга сторонних платформ на предмет лазеек в безопасности, организациям часто бывает трудно отслеживать инциденты, связанные с третьими сторонами.

Время для рассмотрения взаимодействия со связанными сторонами в качестве ключевого показателя безопасности

Инцидент с Aramco является напоминанием о необходимости устранения вопиющих пробелов в безопасности в системах подключенных поставщиков. Нарушения данных, использующие неправильные настройки и лазейки в безопасности в средах сторонних поставщиков, действительно происходят.

Настало время, чтобы инциденты со сторонними лицами были отнесены к сфере сетевой безопасности. Для достижения этой цели предприятиям важно, чтобы они включали взаимодействия со связанными сторонами, или RPI, в свои показатели операций по обеспечению безопасности.

RPI-это все мероприятия с участием третьих сторон, таких как поставщики, перепродавцы или государственные органы. Мониторинг RPI позволяет организациям выявлять угрозы из сторонних источников и устранять их как можно скорее.

В настоящее время, хотя организации включают несколько ключевых показателей эффективности, таких как среднее время восстановления, среднее время подтверждения и среднее время обнаружения, действия третьих лиц редко считаются важными.

Мониторинг RPI обеспечит лучшую видимость деятельности сторонних организаций, предоставляя группам безопасности обзор всех важнейших видов деятельности, связанных с их организацией.