Pleins feux sur les menaces : informations d'identification divulguées et géographie

Un fond bleu marine avec le texte blanc "Leaked Credentials & Geography"

Préface

Les fuites d'informations d'identification sont la cause de nombreuses cyberattaques, et leur nombre sur le dark web continue d'augmenter rapidement : il existe plus de 10 milliards de combinaisons uniques de mots de passe et de noms d'utilisateur une fois les doublons et les listes combinées supprimés. 

Flare surveille et archive le dark web depuis plus de 5 ans, ce qui nous a permis d'observer des tendances intéressantes au fil du temps. Nous avons analysé comment la géographie et la langue jouent un rôle dans les pays ciblés par les acteurs de la menace.

Lisez le rapport complet sur les informations d'identification divulguées, Des informations claires à partir d'une analyse approfondie des informations d'identification divulguées sur le dark web  pour en savoir plus. 

Temps forts

  • Dans presque tous les secteurs, le ratio d'informations d'identification divulguées par employé diminue à mesure que la taille de l'organisation augmente. Nous pensons que cela était probablement dû à l'amélioration de la maturité de la sécurité pour les grandes organisations et à la séparation croissante des rôles et des responsabilités à mesure que la taille de l'organisation augmentait, ce qui réduisait le nombre de connexions uniques.
  • Cependant, le ratio d'informations d'identification divulguées par employé par pays ne semblait pas correspondre à la maturité de la sécurité. Nous nous attendions à ce que les pays ayant des niveaux de maturité en matière de sécurité inférieurs connaissent des taux plus élevés de fuites d'informations d'identification, mais cela n'a pas été le résultat.
  • Si l'on exclut les valeurs aberrantes, les États-Unis et les pays nordiques se sont classés dans le top 5 pour les informations d'identification divulguées par employé, tandis que les pays qui dépensent beaucoup moins pour la cybersécurité, tant en termes nominaux qu'en pourcentage du PIB, ont obtenu des résultats bien inférieurs.

Les détails

L'une de nos conclusions les plus intéressantes était que le ratio d'informations d'identification divulguées par employé ne correspondait pas nécessairement à la maturité de la sécurité pour les pays. Cependant, les comparaisons par industrie et par taille d'organisation correspondaient à la maturité de la sécurité. Nous nous attendions à l'origine à ce que les pays avec des niveaux de maturité de sécurité inférieurs connaissent des taux plus élevés d'informations d'identification divulguées. 

Nous avons analysé le ratio moyen d'informations d'identification divulguées par employé et inclus les 28 premiers pays dans le tableau. Ceci est représenté sur la carte du monde. Les États-Unis et les pays nordiques se sont classés dans le top 5 pour les informations d'identification divulguées par employé (à l'exclusion des valeurs aberrantes comme le Mexique), tandis que les pays qui dépensent beaucoup moins pour la cybersécurité, à la fois en termes nominaux et en pourcentage du PIB, sont en baisse. 

La raison du pourcentage exceptionnellement élevé de fuites d'informations d'identification dans les pays qui utilisent souvent l'anglais à des fins commerciales est que ces entreprises ont des niveaux de PIB par habitant relativement élevés et de nombreuses multinationales (dont nous parlerons plus en détail dans la section suivante). Les États-Unis, la Norvège, la Suède et le Royaume-Uni abritent plusieurs conglomérats multinationaux valant des centaines de milliards de dollars. 

Les États-Unis se sont classés premiers pour le pourcentage d'employés dont les informations d'identification ont été divulguées sur le dark web. Cela ne nous a pas surpris, car les organisations américaines sont souvent ciblées en raison de motifs parrainés par l'État et de raisons financières. 

En règle générale, les organisations plus grandes et plus établies sont considérées comme suffisamment précieuses par les acteurs de la menace pour tenter de s'introduire. 

Automatisez la gestion de votre exposition aux cybermenaces

Intégrez en 30 minutes la base de données sur la cybercriminalité la plus accessible et complète au monde dans votre programme de cybersécurité.

Informations d'identification en anglais et divulguées

Nous avons mentionné dans la dernière section que le pourcentage élevé d'informations d'identification divulguées peut être lié à l'utilisation de l'anglais dans le pays à des fins commerciales.

Notre théorie est que les acteurs de la menace ciblent les pays anglophones et ceux qui utilisent l'anglais comme langue commerciale commune. Sur le dark web, l'anglais est l'une des langues les plus parlées (avec le russe) et est de loin la langue la plus étudiée au monde. Les auteurs de menaces qui comprennent l'anglais peuvent lancer des attaques contre des organisations dans des pays à prédominance anglophone.

En outre, il existe un «marché cible» plus large pour les acteurs de la menace auxquels vendre des informations d'identification en anglais, par rapport à un ensemble d'informations d'identification pour une plate-forme dans une langue moins parlée. Pour les langues moins parlées, il y a également moins d'acteurs menaçants qui pourraient utiliser cette langue efficacement.

Curieux de connaître notre Méthodologie ? Voilà ce que nous avons fait:

Flare a pris un échantillon aléatoire entre 100 et 200 entreprises pour chaque secteur et les a divisées par taille en organisations de taille moyenne (500 à 1,000 1,000 employés), grandes organisations (5,000 5,000 à XNUMX XNUMX employés) et entreprises (plus de XNUMX XNUMX employés). Nous avons ensuite effectué des recherches sur les marchés du dark web, les canaux de télégrammes illicites et les sites Web clairs pour identifier les informations d'identification uniques à vendre. Nous avons exclu les collections (fusions de plusieurs fuites d'informations d'identification) et les listes combinées (listes de haute qualité d'individus avec plusieurs fuites d'informations d'identification) pour nous assurer que nous comptions les instances uniques et n'identifions pas les doublons. 

Nous avons ensuite analysé les données en fonction de la taille de l'entreprise et de l'industrie comme mentionné sur la base de 3 critères principaux. Nous avons inclus les industries suivantes : énergie, fabrication, logiciels, vente au détail, finance, alimentation et boissons, soins de santé et laboratoires et produits pharmaceutiques. Nous avons exclu le secteur de l'éducation en raison de la prévalence des étudiants utilisant des e-mails se terminant par le domaine de leur organisation. 

Le ratio d'informations d'identification divulguées par employé : Cette métrique a été déterminée en comparant le nombre exact d'employés d'une entreprise au nombre d'utilisateurs avec des informations d'identification divulguées identifiables à vendre. Par exemple, si Acme inc compte 10,000 500 employés et que nous avons trouvé XNUMX cas uniques de fuites d'informations d'identification avec [email protected] ce rapport serait décrit comme 05 ou 5 %.

Comment Flare peut aider

La surveillance des fuites d'informations d'identification et l'identification proactive de l'exposition potentielle des données peuvent être simples avec Flare. Flare vous permet d'analyser automatiquement le Web clair et sombre à la recherche des données divulguées de votre organisation, qu'il s'agisse de données techniques, de code source, d'informations d'identification divulguées ou de secrets sur les référentiels github publics. Cette approche vous permet d'identifier de manière proactive les fuites de données sensibles et d'empêcher les violations de données avant que des acteurs malveillants ne les utilisent.

Flare vous permet, à vous et à votre équipe de sécurité, de : 

  • Anticipez la réaction aux tentatives d'intrusion sur le réseau avant qu'elles ne se produisent en détectant rapidement les informations d'identification volées et les appareils infectés à vendre 
  • Réduisez jusqu'à 95 % le temps de réponse aux incidents et surveillez environ 10 milliards d'informations d'identification divulguées
  • Comprendre l'exposition des données externes de votre organisation (empreinte numérique) avec des recommandations proactives pour améliorer votre posture de sécurité en fonction de données contextuelles du monde réel

Vous voulez voir comment Flare peut surveiller les fuites pour votre organisation ? Demandez une démo pour plus d'information.

Partager cet article

Rubriques connexes