LastPass가 발표한 최신 침해는 보안 이해관계자들의 우려를 불러일으키는 주요 원인입니다. 자주 발생하는 것처럼 우리는 보안의 난관에 처해 있습니다. 한편으로는 LastPass가 언급한 것처럼 사용자가 LastPass 모범 사례를 따를 경우 실제로 위험이 전혀 없거나 매우 낮을 것입니다. 그러나 비밀번호 모범 사례를 따르지 않는다고 말하는 것은 너무 절제된 표현이며 실제로 이러한 관행을 실제로 시행하는 조직은 거의 없습니다. 이로 인해 CISO는 손상에 대한 노출이 거의 확실하지만 이러한 노출을 유발하는 사용자를 정확히 찾아내는 것이 거의 불가능한 최악의 위치에 놓이게 됩니다. 이 어려운 시기에 CISO를 지원하기 위해, LayerX에서는 브라우저 보안 플랫폼을 기반으로 하는 무료 도구를 출시하기로 결정했습니다. 이를 통해 가시성을 확보하고 LastPass 침해가 환경에 미치는 잠재적 영향을 완화할 수 있습니다.

LastPass의 발표 요약: 공격자는 어떤 데이터를 보유하고 있으며 위험은 무엇입니까?

LastPass에 게시된 대로 웹 사이트 ' '공격자는 또한 웹사이트 URL과 같은 암호화되지 않은 데이터와 웹사이트와 같이 완전히 암호화된 민감한 필드를 모두 포함하는 독점 바이너리 형식으로 저장된 암호화된 저장소 컨테이너에서 고객 볼트 데이터의 백업을 복사할 수 있었습니다. 사용자 이름과 비밀번호, 보안 메모, 양식으로 채워진 데이터.'

파생된 위험은 '위협 행위자가 귀하의 마스터 비밀번호를 추측하고 그들이 가져간 볼트 데이터의 복사본을 해독하기 위해 무차별 대입을 시도할 수 있다는 것입니다. 고객을 보호하기 위해 사용하는 해싱 및 암호화 방법으로 인해 우리 비밀번호를 따르는 고객의 마스터 비밀번호를 무차별 대입 추측하는 것은 매우 어렵습니다. 모범 사례. '

LastPass 비밀번호 모범 사례를 구현하지 않으면 마스터 비밀번호가 Vault에 노출됩니다.

그리고 '모범 사례'에 관한 이 섹션이 가장 우려스럽습니다. 비밀번호 모범 사례? 비밀번호 모범 사례를 유지하는 사람은 몇 명입니까? 현실적이면서도 불행한 대답은 많지 않다는 것입니다. 이는 기업 관리 애플리케이션의 경우에도 마찬가지입니다. 그리고 개인용 앱의 경우 비밀번호 재사용이 이상치라기보다는 표준이라고 가정해도 과장이 아닙니다. LastPass의 위반으로 인한 위험은 두 가지 사용 사례 모두에 적용됩니다. 왜 그런지 이해해 봅시다.

실제 위험: 기업 리소스에 대한 악의적인 액세스 

조직을 두 가지 유형으로 나누어 보겠습니다.

유형 A : 모든 사용자 또는 특정 부서에서 회사 관리 앱에 액세스하기 위해 비밀번호를 보관하는 회사 정책으로 LastPass를 사용하는 조직. 이 경우 문제는 간단합니다. 직원의 LastPass 마스터 비밀번호를 크래킹하거나 획득하는 공격자가 회사의 민감한 리소스에 쉽게 액세스할 수 있기 때문입니다.

유형 B : 직원이 LastPass를 독립적으로 사용하는 조직(개인용 또는 업무용) 또는 IT 지식 없이 조직 내 특정 그룹에 의해 선택한 앱의 경우. 이 경우 우려되는 점은 직원의 LastPass 마스터 비밀번호를 크랙하거나 획득하는 공격자가 사용자의 비밀번호 재사용 경향을 이용하고 금고에 있는 비밀번호를 손상시킨 후 다음에도 사용되는 비밀번호를 찾을 것이라는 점입니다. 기업 앱에 액세스하세요.

CISO의 막다른 골목: 확실한 위협이지만 완화 능력은 매우 낮습니다. 

따라서 조직이 A 유형에 속하든 B 유형에 속하든 위험은 분명합니다. 이 상황에서 CISO의 과제를 더욱 심화시키는 것은 확실성은 말할 것도 없고 자신의 환경에 사용자 계정이 손상될 가능성이 있는 직원이 있을 가능성이 높지만 이러한 직원이 누구인지 알 수 있는 능력이 매우 제한적이라는 것입니다. 위험을 완화하기 위해 필요한 조치를 취하는 것은 말할 것도 없습니다.

LayerX 무료 제공: LastPass 공격 표면 및 사전 예방 조치에 대한 100% 가시성

우리는 CISO를 지원하기 위한 무료 도구를 출시했습니다. LastPass 침해에 대한 조직의 노출을 이해하고, 취약한 모든 사용자와 애플리케이션을 매핑하고, 보안 완화를 적용합니다.

이 도구는 직원이 사용하는 브라우저의 확장으로 제공되므로 모든 브라우저 확장 및 모든 사용자의 탐색 활동에 대한 즉각적인 가시성을 제공합니다. 이를 통해 CISO는 다음과 같은 이점을 얻을 수 있습니다.

  • LastPass 사용 매핑: 회사 정책(A 유형)인지 개인적으로 사용하는지(B 유형) 여부에 관계없이 LastPass 확장 프로그램이 설치된 모든 브라우저에 대한 엔드투엔드 가시성을 확보하고 LastPass에 자격 증명이 저장된 모든 애플리케이션과 웹 대상을 매핑합니다. 유형 B 조직의 가시성 문제는 유형 A보다 훨씬 더 심각하며 LayerX 도구를 제외한 어떤 솔루션으로도 실질적으로 해결할 수 없다는 점에 유의해야 합니다.
  • 위험에 처한 사용자 식별: 이 지식을 활용하여 CISO는 취약한 사용자에게 자신의 계정에 MFA를 구현하도록 알리고 전용 마스터 비밀번호 재설정 절차를 시행하여 악의적인 액세스를 위해 손상된 마스터 비밀번호를 활용하는 공격자의 능력을 제거할 수 있습니다.
  • 피싱 보호: LastPass는 무차별 대입 시나리오에 대해 경고했지만 공격자가 피싱 공격을 시작하여 직원이 직접 공개하도록 유도하는 것이 더 가능성 있고 비용 효과적인 경로입니다. LayerX의 도구는 이러한 피싱 공격을 완전히 탐지 및 방지하는 정책을 시행할 수 있을 뿐만 아니라 다른 앱에 LastPass 마스터 비밀번호를 재사용하는 직원을 탐지할 수 있습니다..

 

LayerX의 무료 도구에 대해 더 자세히 알아보고 싶으십니까? 이 양식을 작성 다운로드 링크를 요청하시면 보내드리겠습니다.