Der jüngste von LastPass gemeldete Verstoß gibt den Sicherheitsakteuren Anlass zu großer Sorge. Wie so oft befinden wir uns in einer Sicherheitslücke: Wie LastPass festgestellt hat, sind Benutzer, die die Best Practices von LastPass befolgen, praktisch keinem oder einem äußerst geringen Risiko ausgesetzt. Allerdings ist die Aussage, dass Best Practices für Passwörter nicht befolgt werden, eine völlige Untertreibung, und die Realität ist, dass es nur sehr wenige Organisationen gibt, in denen diese Praktiken wirklich durchgesetzt werden. Dies bringt CISOs in die schlechteste Lage, da sie mit ziemlicher Sicherheit einer Kompromittierung ausgesetzt sind, es jedoch nahezu unmöglich ist, die Benutzer zu ermitteln, die diese Gefährdung verursachen. Um CISOs in dieser herausfordernden Zeit zu unterstützen, Wir bei LayerX haben beschlossen, ein kostenloses Tool auf Basis unserer Browser-Sicherheitsplattform auf den Markt zu bringen. So können sie Transparenz erlangen und die potenziellen Auswirkungen des LastPass-Verstoßes auf ihre Umgebungen abmildern.

Zusammenfassung der Ankündigung von LastPass: Über welche Daten verfügen Angreifer und wie hoch ist das Risiko?

Wie in LastPass gepostet wurde Website ' „Der Bedrohungsakteur war außerdem in der Lage, eine Sicherungskopie der Kundentresordaten aus dem verschlüsselten Speichercontainer zu kopieren, der in einem proprietären Binärformat gespeichert ist, das sowohl unverschlüsselte Daten wie Website-URLs als auch vollständig verschlüsselte sensible Felder wie die Website enthält.“ Benutzernamen und Passwörter, sichere Notizen und aus Formularen ausgefüllte Daten.

Das daraus abgeleitete Risiko besteht darin, dass „der Bedrohungsakteur versucht, mit roher Gewalt Ihr Master-Passwort zu erraten und die Kopien der Tresordaten zu entschlüsseln, die er erbeutet hat.“ Aufgrund der Hashing- und Verschlüsselungsmethoden, die wir zum Schutz unserer Kunden verwenden, wäre dies der Fall Es ist äußerst schwierig zu versuchen, Master-Passwörter für Kunden, die unserem Passwort folgen, mit Brute-Force-Methode zu erraten Best Practices. "

Wenn Sie die Best Practices für LastPass-Passwörter nicht implementieren, wird das Master-Passwort dem Tresor zugänglich gemacht

Und dieser Abschnitt über die „Best Practices“ ist der alarmierendste. Best Practices für Passwörter? Wie viele Personen pflegen die Best Practices für Passwörter? Die realistische – und dennoch unglückliche – Antwort lautet: Nicht viele. Und das gilt auch im Zusammenhang mit von Unternehmen verwalteten Anwendungen. Und wenn es um persönliche Apps geht, kann man ohne Übertreibung davon ausgehen, dass die Wiederverwendung von Passwörtern eher die Norm als der Ausreißer ist. Das Risiko, das der Verstoß von LastPass mit sich bringt, gilt für beide Anwendungsfälle. Lassen Sie uns verstehen, warum das so ist.

Das eigentliche Risiko: böswilliger Zugriff auf Unternehmensressourcen 

Teilen wir Organisationen in zwei Typen ein:

Tippe A: Organisationen, in denen LastPass als Unternehmensrichtlinie zum Speichern von Passwörtern für den Zugriff auf vom Unternehmen verwaltete Apps verwendet wird, entweder für alle Benutzer oder in bestimmten Abteilungen. In diesem Fall liegt die Sorge auf der Hand: Ein Angreifer, der es schafft, das LastPass-Master-Passwort eines Mitarbeiters zu knacken oder zu erbeuten, könnte problemlos auf die sensiblen Ressourcen des Unternehmens zugreifen.

Typ B: Organisationen, in denen LastPass von Mitarbeitern unabhängig genutzt wird (sei es für den persönlichen oder geschäftlichen Gebrauch) oder von bestimmten Gruppen in der Organisation, ohne IT-Kenntnisse für Apps Ihrer Wahl. In diesem Fall besteht die Sorge, dass ein Angreifer, der es schafft, das LastPass-Master-Passwort eines Mitarbeiters zu knacken oder zu erhalten, die Tendenz der Benutzer zur Wiederverwendung von Passwörtern ausnutzt und nach der Kompromittierung der Passwörter im Tresor ein Passwort findet, das auch daran gewöhnt ist Zugriff auf die Unternehmens-Apps.

Die Sackgasse des CISO: Bestimmte Bedrohung, aber äußerst geringe Abwehrmöglichkeiten 

Unabhängig davon, ob eine Organisation in Typ A oder B fällt, ist das Risiko klar. Was die Herausforderung für den CISO in dieser Situation noch verschärft, besteht darin, dass es zwar eine hohe Wahrscheinlichkeit – um nicht zu sagen: Gewissheit – gibt, dass es Mitarbeiter in seiner Umgebung gibt, deren Benutzerkonten wahrscheinlich kompromittiert werden, er jedoch nur sehr begrenzte Möglichkeiten hat, zu wissen, wer diese Mitarbeiter sind sind, geschweige denn die erforderlichen Maßnahmen ergreifen, um das Risiko, in dem sie sich befinden, zu mindern.

Kostenloses LayerX-Angebot: 100 % Einblick in die Angriffsfläche von LastPass sowie proaktive Schutzmaßnahmen

Wir haben ein kostenloses Tool veröffentlicht, das CISOs dabei unterstützen soll Verstehen Sie die Gefährdung Ihres Unternehmens durch den LastPass-Verstoß, kartieren Sie alle anfälligen Benutzer und Anwendungen und wenden Sie Sicherheitsmaßnahmen an.

Dieses Tool wird als Erweiterung des von Ihren Mitarbeitern verwendeten Browsers bereitgestellt und bietet somit sofortigen Einblick in alle Browsererweiterungen und Browsing-Aktivitäten jedes Benutzers. Dadurch können CISOs Folgendes erreichen:

  • LastPass-Nutzungszuordnung: End-to-End-Sichtbarkeit in allen Browsern, in denen die LastPass-Erweiterung installiert ist, unabhängig davon, ob es sich um eine Unternehmensrichtlinie (Typ A) oder eine persönliche Nutzung (Typ B) handelt, und Zuordnung aller Anwendungen und Webziele, deren Anmeldeinformationen in LastPass gespeichert sind. Es ist zu beachten, dass die Sichtbarkeitsherausforderungen für Organisationen vom Typ B viel schwerwiegender sind als für Organisationen vom Typ A und praktisch mit keiner Lösung außer dem Tool von LayerX bewältigt werden können.
  • Identifizierung gefährdeter Benutzer: Mithilfe dieses Wissens kann CISO gefährdete Benutzer dazu auffordern, MFA auf ihren Konten zu implementieren und ein spezielles Verfahren zum Zurücksetzen des Master-Passworts einzuführen, um sicherzustellen, dass Angreifer ein kompromittiertes Master-Passwort nicht für böswilligen Zugriff ausnutzen können
  • Phishing-Schutz: Während LastPass vor einem Brute-Force-Szenario warnte, wäre der wahrscheinlichere und kosteneffizientere Weg für Angreifer, Phishing-Angriffe zu starten, um Mitarbeiter zur direkten Offenlegung zu verleiten. Das Tool von LayerX kann Richtlinien durchsetzen, die solche Phishing-Angriffe erkennen und insgesamt verhindern, und Mitarbeiter erkennen, die ihr LastPass-Master-Passwort für andere Apps wiederverwenden.

 

Möchten Sie mehr über das kostenlose Tool von LayerX erfahren? Füllen Sie dieses Formular aus Fragen Sie nach dem Download-Link und wir senden ihn Ihnen zu