Poslední narušení oznámené LastPass je hlavním důvodem k obavám zúčastněných stran v oblasti bezpečnosti. Jak se často stává, nacházíme se v bezpečnostním limbu – na jedné straně, jak poznamenal LastPass, uživatelé dodržující osvědčené postupy LastPass by byli prakticky vystaveni nulovému až extrémně nízkému riziku. Tvrzení, že osvědčené postupy pro hesla nejsou dodržovány, je však divoké zlehčování a skutečnost je taková, že existuje jen velmi málo organizací, ve kterých jsou tyto postupy skutečně vynucovány. To staví CISO na nejhorší místo, kde je vystavení kompromisu téměř jisté, ale určit uživatele, kteří toto vystavení vytvářejí, je téměř nemožné. Abychom pomohli CISO v této náročné době, my v LayerX jsme se rozhodli spustit bezplatný nástroj založený na naší platformě zabezpečení prohlížeče, což jim umožní získat viditelnost a zmírnit potenciální dopady narušení LastPass na jejich prostředí.

Shrnutí oznámení LastPass: Jaká data mají protivníci a jaké je riziko?

Jak bylo uvedeno v LastPass's webových stránkách " „Hrozba byla také schopna zkopírovat zálohu dat zákaznického trezoru ze zašifrovaného úložného kontejneru, který je uložen v proprietárním binárním formátu, který obsahuje jak nešifrovaná data, jako jsou adresy URL webových stránek, tak plně zašifrovaná citlivá pole, jako jsou webové stránky. uživatelská jména a hesla, bezpečné poznámky a data vyplněná formuláři.“

Odvozené riziko spočívá v tom, že „Aktor hrozby se může pokusit použít hrubou sílu k uhádnutí vašeho hlavního hesla a dešifrování kopií dat z trezoru, které pořídil. Kvůli metodám hashování a šifrování, které používáme k ochraně našich zákazníků, by tomu tak bylo extrémně obtížné pokusit se hrubou silou uhodnout hlavní hesla pro zákazníky, kteří se řídí naším heslem osvědčené postupy. "

Neimplementace LastPass Password Best Practices Vystavuje hlavní heslo trezoru

A tato část o „nejlepších postupech“ je nejvíce alarmující. Doporučené postupy pro hesla? Kolik lidí udržuje doporučené postupy pro hesla? Realistická – a přesto nešťastná – odpověď je, že ne mnoho. A to platí i v kontextu podnikových řízených aplikací. A pokud jde o osobní aplikace, není přehnané předpokládat, že opětovné použití hesla je spíše normou než odlehlou hodnotou. Riziko, které představuje porušení LastPass, platí pro oba případy použití. Pojďme pochopit, proč tomu tak je.

Skutečné riziko: Škodlivý přístup k firemním zdrojům 

Rozdělme organizace na dva typy:

Typ A: organizace, kde se LastPass používá jako firemní politika pro uchovávání hesel pro přístup k podnikovým spravovaným aplikacím, a to buď pro všechny uživatele, nebo v konkrétních odděleních. V takovém případě je problém jasný – protivník, kterému se podaří prolomit nebo získat hlavní heslo LastPass zaměstnance, by se mohl snadno dostat k citlivým zdrojům společnosti.

Typ B: organizace, kde LastPass využívají samostatně zaměstnanci (ať už pro osobní nebo pracovní použití) popř konkrétními skupinami v organizaci, bez znalosti IT pro aplikace dle výběru. V takovém případě existuje obava, že protivník, kterému se podaří prolomit nebo získat hlavní heslo zaměstnance LastPass, by využil tendenci uživatelů k opětovnému použití hesla a po kompromitaci hesel v trezoru najde heslo, které se také používá k přístup k firemním aplikacím.

Slepá ulička CISO: Jistá hrozba, ale extrémně nízké možnosti zmírnění 

Bez ohledu na to, zda organizace spadá do typu A nebo B, je riziko jasné. Výzva pro CISO v této situaci ještě zesiluje to, že ačkoli je vysoká pravděpodobnost – neřkuli jistota –, že v jeho prostředí existují zaměstnanci, jejichž uživatelské účty budou pravděpodobně kompromitovány, má velmi omezenou schopnost vědět, kdo tito zaměstnanci jsou, natož aby podnikly požadované kroky ke zmírnění rizika, které jim hrozí.

LayerX bezplatná nabídka: 100% viditelnost na LastPass Attack Surface a také opatření proaktivní ochrany

Vydali jsme bezplatný nástroj, který pomáhá CISO v pochopit, jak je jejich organizace vystavena narušení LastPass, zmapovat všechny zranitelné uživatele a aplikace a aplikovat bezpečnostní opatření.

Tento nástroj je dodáván jako rozšíření prohlížeče, který vaši zaměstnanci používají, a poskytuje tak okamžitý přehled o všech rozšířeních prohlížeče a procházení aktivit každého uživatele. To umožňuje CISO získat následující:

  • Mapování využití LastPass: kompletní viditelnost do všech prohlížečů, na kterých je nainstalováno rozšíření LastPass, bez ohledu na to, zda se jedná o firemní zásady (typ A) nebo osobně používané (typ B), a mapování všech aplikací a webových cílů, jejichž přihlašovací údaje jsou uloženy v LastPass. Je třeba poznamenat, že problémy s viditelností u organizací typu B jsou mnohem závažnější než u typu A a prakticky je nelze řešit žádným řešením kromě nástroje LayerX.
  • Identifikace ohrožených uživatelů: s využitím těchto znalostí může CISO informovat zranitelné uživatele, aby implementovali MFA na svých účtech, a také zavést vyhrazený postup resetování hlavního hesla, aby se zajistilo, že protivník nebude moci využít kompromitované hlavní heslo ke škodlivému přístupu.
  • Ochrana proti phishingu: Zatímco LastPass varoval před scénářem Brute Force, pravděpodobnější a nákladově efektivnější cestou pro útočníky by bylo zahájit phishingové útoky, aby nalákali zaměstnance k přímému odhalení. Nástroj LayerX může prosazovat zásady, které by takové phishingové útoky vůbec detekovaly a předcházely jim, a také odhaluje zaměstnance, kteří znovu používají své hlavní heslo LastPass pro jiné aplikace..

 

Máte zájem dozvědět se více o bezplatném nástroji LayerX? Vyplňte tento formulář požádejte o odkaz ke stažení a my vám jej zašleme