La última infracción anunciada por LastPass es un motivo importante de preocupación para las partes interesadas en la seguridad. Como suele ocurrir, estamos en un limbo de seguridad: por un lado, como ha señalado LastPass, los usuarios que siguieran las mejores prácticas de LastPass prácticamente estarían expuestos a un riesgo nulo o extremadamente bajo. Sin embargo, decir que no se siguen las mejores prácticas en materia de contraseñas es quedarse corto, y la realidad es que hay muy pocas organizaciones en las que realmente se apliquen estas prácticas. Esto coloca a los CISO en el peor lugar, donde la exposición a compromisos es casi segura, pero identificar a los usuarios que crean esta exposición es casi imposible. Para ayudar a los CISO en este momento difícil, nosotros, en LayerX, hemos decidido lanzar una herramienta gratuita basada en nuestra Browser Security Platform, permitiéndoles ganar visibilidad y mitigar los posibles impactos de la infracción de LastPass en sus entornos.

Recapitulando el anuncio de LastPass: ¿Qué datos tienen los adversarios y cuál es el riesgo?

Como se publicó en LastPass página web " 'El actor de amenazas también pudo copiar una copia de seguridad de los datos de la bóveda del cliente desde el contenedor de almacenamiento cifrado que se almacena en un formato binario propietario que contiene datos no cifrados, como las URL de sitios web, así como campos confidenciales totalmente cifrados, como los de sitios web. nombres de usuario y contraseñas, notas seguras y datos rellenados por formularios.'

El riesgo derivado es que "el actor de la amenaza puede intentar utilizar la fuerza bruta para adivinar su contraseña maestra y descifrar las copias de los datos de la bóveda que tomaron". Debido a los métodos de hash y cifrado que utilizamos para proteger a nuestros clientes, sería Es extremadamente difícil intentar adivinar contraseñas maestras por fuerza bruta para aquellos clientes que siguen nuestra contraseña. y las mejores prácticas. "

No implementar las mejores prácticas de contraseñas de LastPass expone la contraseña maestra a la bóveda

Y este apartado sobre las 'mejores prácticas' es el más alarmante. ¿Mejores prácticas de contraseña? ¿Cuántas personas mantienen las mejores prácticas de contraseñas? La respuesta realista, aunque desafortunada, es que no son muchos. Y eso es válido incluso en el contexto de aplicaciones gestionadas corporativas. Y cuando se trata de aplicaciones personales, no es exagerado suponer que la reutilización de contraseñas es la norma y no el caso atípico. El riesgo que introduce la infracción de LastPass se aplica a ambos casos de uso. Entendamos por qué es eso.

El riesgo real: acceso malicioso a recursos corporativos 

Dividamos las organizaciones en dos tipos:

Escribe un: organizaciones donde LastPass se utiliza como política empresarial para almacenar contraseñas para acceder a aplicaciones administradas corporativas, ya sea para todos los usuarios o en departamentos específicos. En ese caso, la preocupación es sencilla: un adversario que logre descifrar u obtener la contraseña maestra de LastPass de un empleado podría acceder fácilmente a los recursos confidenciales de la empresa.

Tipo B: organizaciones donde los empleados utilizan LastPass de forma independiente (ya sea para uso personal o laboral) o por grupos específicos de la organización, sin el conocimiento de TI para aplicaciones de su elección. En ese caso, la preocupación es que un adversario que logre descifrar u obtener la contraseña maestra de LastPass de un empleado se aprovecharía de la tendencia de los usuarios a reutilizar las contraseñas y, después de comprometer las contraseñas en la bóveda, encontrará una que también se utiliza para acceder a las aplicaciones corporativas.

El callejón sin salida del CISO: cierta amenaza pero capacidades de mitigación extremadamente bajas 

Entonces, independientemente de que una organización caiga en el tipo A o B, el riesgo es claro. Lo que intensifica el desafío para el CISO en esta situación es que, si bien existe una alta probabilidad (por no decir certeza) de que haya empleados en su entorno cuyas cuentas de usuario probablemente se vean comprometidas, él tiene una capacidad muy limitada para saber quiénes son esos empleados. están, y mucho menos tomar las medidas necesarias para mitigar el riesgo en el que se encuentran.

Oferta gratuita de LayerX: 100 % de visibilidad en la superficie de ataque de LastPass, así como medidas de protección proactiva

Hemos lanzado una herramienta gratuita para ayudar a los CISO a comprender la exposición de su organización a la infracción de LastPass, mapear todos los usuarios y aplicaciones vulnerables y aplicar mitigaciones de seguridad.

Esta herramienta se entrega como una extensión del navegador que utilizan sus empleados y, por lo tanto, proporciona visibilidad inmediata de todas las extensiones del navegador y las actividades de navegación de cada usuario. Esto permite a los CISO obtener lo siguiente:

  • Mapeo de uso de LastPass: visibilidad de extremo a extremo de todos los navegadores en los que está instalada la extensión LastPass, independientemente de si se trata de una política corporativa (tipo A) o de uso personal (tipo B), y mapea todas las aplicaciones y destinos web cuyas credenciales están almacenadas en LastPass. Cabe señalar que los desafíos de visibilidad para las organizaciones de tipo B son mucho más graves que para las de tipo A y prácticamente no pueden abordarse con ninguna solución excepto la herramienta de LayerX.
  • Identificar usuarios en riesgo: aprovechando este conocimiento, el CISO puede informar a los usuarios vulnerables que implementen MFA en sus cuentas, así como implementar un procedimiento de restablecimiento de contraseña maestra dedicado para garantizar la eliminación de la capacidad de los adversarios de aprovechar una contraseña maestra comprometida para acceso malicioso.
  • Protección contra el phishing: Si bien LastPass advirtió sobre un escenario de Fuerza Bruta, el camino más probable y rentable para los atacantes sería lanzar ataques de phishing para atraer a los empleados a que lo revelen directamente. La herramienta de LayerX puede aplicar políticas que detectarían y evitarían por completo este tipo de ataques de phishing, así como detectar empleados que reutilizan su contraseña maestra de LastPass para otras aplicaciones..

 

¿Estás interesado en aprender más sobre la herramienta gratuita de LayerX? Llene este formulario pidiendo el enlace de descarga y se lo enviaremos a su manera