L’ultima violazione annunciata da LastPass è motivo di grande preoccupazione per le parti interessate alla sicurezza. Come spesso accade, ci troviamo in un limbo di sicurezza: da un lato, come ha notato LastPass, gli utenti che seguono le migliori pratiche di LastPass sarebbero praticamente esposti a rischi da zero a estremamente bassi. Tuttavia, dire che le migliori pratiche per le password non vengono seguite è un eufemismo e la realtà è che sono pochissime le organizzazioni in cui queste pratiche vengono veramente applicate. Ciò colloca i CISO nella posizione peggiore, dove l’esposizione al compromesso è quasi certa, ma individuare gli utenti che creano questa esposizione è quasi impossibile. Per assistere i CISO in questo momento difficile, noi di LayerX abbiamo deciso di lanciare uno strumento gratuito basato sulla nostra piattaforma di sicurezza del browser, consentendo loro di ottenere visibilità e mitigare i potenziali impatti della violazione LastPass sui loro ambienti.

Riassumendo l'annuncio di LastPass: quali dati hanno gli avversari e qual è il rischio?

Come è stato pubblicato in LastPass sito web ufficiale ' L'autore della minaccia è stato anche in grado di copiare un backup dei dati del deposito del cliente dal contenitore di archiviazione crittografato che è archiviato in un formato binario proprietario che contiene sia dati non crittografati, come gli URL dei siti Web, sia campi sensibili completamente crittografati come il sito Web nomi utente e password, note sicure e dati compilati nei moduli.'

Il rischio che ne deriva è che "l'autore della minaccia potrebbe tentare di usare la forza bruta per indovinare la password principale e decrittografare le copie dei dati del deposito che ha preso". A causa dei metodi di hashing e crittografia che utilizziamo per proteggere i nostri clienti, lo sarebbe è estremamente difficile tentare di indovinare con la forza bruta le password principali per quei clienti che seguono la nostra password best practice. '

La mancata implementazione delle best practice per LastPass Password espone la password principale alla cassaforte

E questa sezione sulle “migliori pratiche” è la più allarmante. Migliori pratiche per la password? Quante persone mantengono le migliori pratiche per la password? La risposta realistica, ma sfortunata, è che non sono molti. E ciò vale anche nel contesto delle applicazioni gestite dall'azienda. E quando si tratta di app personali, non è esagerato presumere che il riutilizzo della password sia la norma piuttosto che un’anomalia. Il rischio introdotto dalla violazione di LastPass si applica a entrambi i casi d'uso. Capiamo perché.

Il rischio reale: accesso dannoso alle risorse aziendali 

Dividiamo le organizzazioni in due tipologie:

Digitare un: organizzazioni in cui LastPass viene utilizzato come politica aziendale per archiviare le password per accedere alle app gestite aziendali, per tutti gli utenti o in dipartimenti specifici. In tal caso, la preoccupazione è semplice: un avversario che riesce a violare o ottenere la password principale LastPass di un dipendente potrebbe facilmente accedere alle risorse sensibili dell'azienda.

Tipo B: organizzazioni in cui LastPass viene utilizzato in modo indipendente dai dipendenti (per uso personale o lavorativo) o da gruppi specifici dell'organizzazione, senza la conoscenza dell'IT per le app preferite. In tal caso, la preoccupazione è che un avversario che riesce a violare o ottenere la password principale LastPass di un dipendente trarrebbe vantaggio dalla tendenza degli utenti a riutilizzare la password e, dopo aver compromesso le password nel caveau, ne troverà una utilizzata anche per accedere alle app aziendali.

Il vicolo cieco del CISO: minaccia certa ma capacità di mitigazione estremamente basse 

Quindi, indipendentemente dal fatto che un’organizzazione rientri nel tipo A o B, il rischio è chiaro. Ciò che intensifica la sfida per il CISO in questa situazione è che mentre c'è un'alta probabilità – per non dire certezza – che ci siano dipendenti nel suo ambiente i cui account utente potrebbero essere compromessi, ha una capacità molto limitata di sapere chi sono questi dipendenti sono, per non parlare di adottare le misure necessarie per mitigare il rischio in cui si trovano.

Offerta gratuita di LayerX: visibilità al 100% sulla superficie di attacco LastPass e misure di protezione proattiva

Abbiamo rilasciato uno strumento gratuito per assistere i CISO comprendere l'esposizione della propria organizzazione alla violazione di LastPass, mappare tutti gli utenti e le applicazioni vulnerabili e applicare misure di sicurezza.

Questo strumento viene fornito come estensione del browser utilizzato dai dipendenti e quindi fornisce visibilità immediata su tutte le estensioni del browser e sulle attività di navigazione di ogni utente. Ciò consente ai CISO di ottenere quanto segue:

  • Mappatura dell'utilizzo di LastPass: visibilità end-to-end in tutti i browser su cui è installata l'estensione LastPass, indipendentemente dal fatto che si tratti di una politica aziendale (tipo A) o di uso personale (tipo B), e mappa tutte le applicazioni e destinazioni web le cui credenziali sono archiviate in LastPass. Va notato che le sfide in termini di visibilità per le organizzazioni di tipo B sono molto più gravi rispetto a quelle di tipo A e praticamente non possono essere affrontate da nessuna soluzione ad eccezione dello strumento LayerX.
  • Identificazione degli utenti a rischio: sfruttando questa conoscenza, il CISO può informare gli utenti vulnerabili di implementare l'MFA sui propri account, nonché implementare una procedura di reimpostazione della Master Password dedicata per garantire l'eliminazione della capacità degli avversari di sfruttare una Master Password compromessa per accessi dannosi
  • Protezione dal phishing: Sebbene LastPass abbia messo in guardia da uno scenario di forza bruta, il percorso più probabile ed economicamente vantaggioso per gli aggressori sarebbe quello di lanciare attacchi di phishing per indurre i dipendenti a rivelarlo direttamente. Lo strumento di LayerX può applicare policy in grado di rilevare e prevenire del tutto tali attacchi di phishing, nonché rilevare i dipendenti che riutilizzano la loro password principale LastPass per altre app.

 

Sei interessato a saperne di più sullo strumento gratuito di LayerX? Compila questo modulo chiedendo il collegamento per il download e te lo invieremo