Det seneste brud annonceret af LastPass er en væsentlig årsag til bekymring for sikkerhedsinteressenter. Som det ofte sker, er vi i et sikkerhedslimbo – på den ene side, som LastPass har bemærket, ville brugere, der fulgte LastPass bedste praksis, praktisk talt blive udsat for nul til ekstremt lav risiko. At sige, at bedste praksis for adgangskode ikke følges, er dog en vild underdrivelse, og virkeligheden er, at der er meget få organisationer, hvor disse praksisser virkelig håndhæves. Dette placerer CISO'er det værste sted, hvor eksponering for kompromis er næsten sikker, men det er næsten umuligt at udpege de brugere, der skaber denne eksponering. For at hjælpe CISO'er i denne udfordrende tid, vi hos LayerX har besluttet at lancere et gratis værktøj baseret på vores browsersikkerhedsplatform, gør det muligt for dem at få synlighed og afbøde de potentielle påvirkninger af LastPass-bruddet på deres miljøer.

Genopsummering af LastPass's meddelelse: Hvilke data har modstandere, og hvad er risikoen?

Som blev postet i LastPass's hjemmeside ' "Trusselsaktøren var også i stand til at kopiere en sikkerhedskopi af kundeboksdata fra den krypterede lagerbeholder, som er gemt i et proprietært binært format, der indeholder både ukrypterede data, såsom websteds-URL'er, såvel som fuldt krypterede følsomme felter såsom websteder. brugernavne og adgangskoder, sikre noter og formularudfyldte data.'

Den afledte risiko er, at 'Trusselsaktøren kan forsøge at bruge brute force til at gætte dit hovedadgangskode og dekryptere kopierne af hvælvdata, de tog. På grund af de hashing- og krypteringsmetoder, vi bruger til at beskytte vores kunder, ville det være det ekstremt svært at forsøge at brute force gætte hovedadgangskoder for de kunder, der følger vores adgangskode bedste praksis. '

Ikke implementering af Best Practices for LastPass-adgangskode Udsætter hovedadgangskoden for boksen

Og dette afsnit om 'bedste praksis' er det mest alarmerende. Gode ​​fremgangsmåder for adgangskoder? Hvor mange mennesker opretholder bedste praksis for adgangskode? Det realistiske – men dog uheldige – svar er, at der ikke er mange. Og det gælder, selv når det er i forbindelse med virksomhedsadministrerede applikationer. Og når det kommer til personlige apps, er det ikke overdrevet at antage, at genbrug af adgangskoder er normen snarere end afvigelsen. Den risiko LastPass's brud introducerer gælder for begge use cases. Lad os forstå, hvorfor det er sådan.

Den faktiske risiko: ondsindet adgang til virksomhedens ressourcer 

Lad os opdele organisationer i to typer:

Type A: organisationer, hvor LastPass bruges som en virksomhedspolitik for hvælving af adgangskoder for at få adgang til virksomhedens administrerede apps, enten for alle brugere eller i specifikke afdelinger. I så fald er bekymringen ligetil – en modstander, der formår at knække eller få en medarbejders LastPass Master Password, kan nemt få adgang til virksomhedens følsomme ressourcer.

Type B: organisationer, hvor LastPass bruges uafhængigt af medarbejdere (uanset om det er til personligt eller arbejdsmæssigt brug) eller af specifikke grupper i organisationen uden IT-viden til foretrukne apps. I så fald er bekymringen, at en modstander, der formår at knække eller få en medarbejders LastPass-hovedadgangskode, vil drage fordel af brugernes tendens til genbrug af adgangskoder, og efter kompromitteringen vil adgangskoden i boksen finde en, der også bruges til at få adgang til virksomhedens apps.

CISO's blindgyde: Visse trusler, men ekstremt lave afbødningsevner 

Så uanset om en organisation falder ind under type A eller B, er risikoen klar. Det, der forstærker udfordringen for CISO i denne situation, er, at selvom der er stor sandsynlighed – for ikke at sige sikkerhed – for, at der er medarbejdere i hans miljø, som deres brugerkonti sandsynligvis vil blive kompromitteret, har han meget begrænset evne til at vide, hvem disse medarbejdere er. er, endsige tage de nødvendige skridt for at mindske den risiko, de er i.

LayerX gratis tilbud: 100 % synlighed i LastPass Attack Surface samt proaktive beskyttelsesforanstaltninger

Vi har udgivet et gratis værktøj til at hjælpe CISO'er med at forstå deres organisations eksponering for LastPass-bruddet, kortlægge alle sårbare brugere og applikationer og anvende sikkerhedsbegrænsninger.

Dette værktøj leveres som en udvidelse til den browser, dine medarbejdere bruger, og giver derfor øjeblikkelig synlighed i alle browserudvidelser og browseraktiviteter for hver bruger. Dette gør det muligt for CISO'er at opnå følgende:

  • LastPass Usage Mapping: ende-til-ende synlighed i alle browsere, som LastPass-udvidelsen er installeret på, uanset om det er en virksomhedspolitik (type A) eller personligt brugt (type B), og kortlæg alle applikationer og webdestinationer, hvis legitimationsoplysninger er gemt i LastPass. Det skal bemærkes, at synlighedsudfordringerne for type B-organisationer er meget mere alvorlige end for type A og praktisk talt ikke kan løses med nogen løsning bortset fra LayerX's værktøj.
  • Identifikation af brugere i fare: Ved at udnytte denne viden kan CISO informere sårbare brugere om at implementere MFA på deres konti, samt udrulle en dedikeret procedure for nulstilling af hovedkodeord for at sikre eliminering af modstanderes mulighed for at udnytte en kompromitteret hovedadgangskode til ondsindet adgang
  • Phishing-beskyttelse: Mens LastPass advarede fra et Brute Force-scenarie, ville den mere sandsynlige og omkostningseffektive vej for angribere være at iværksætte phishing-angreb for at lokke medarbejdere til at afsløre det direkte. LayerX's værktøj kan håndhæve politikker, der vil opdage og forhindre sådanne phishing-angreb helt, samt opdage medarbejdere, der genbruger deres LastPass Master Password til andre apps.

 

Er du interesseret i at lære mere om LayerX's gratis værktøj? Udfyld denne formular beder om downloadlinket, og vi sender det til dig