Det siste bruddet annonsert av LastPass er en stor grunn til bekymring for sikkerhetsinteressenter. Som ofte forekommer, er vi i et sikkerhetslimbo – på den ene siden, som LastPass har bemerket, ville brukere som fulgte LastPass beste praksis praktisk talt bli utsatt for null til ekstremt lav risiko. Å si at beste praksis for passord ikke følges er imidlertid en vill underdrivelse, og realiteten er at det er svært få organisasjoner der disse praksisene virkelig håndheves. Dette setter CISOer på det verste stedet, hvor eksponering for kompromiss er nesten sikker, men det er nesten umulig å finne brukerne som oppretter denne eksponeringen. For å hjelpe CISOer i denne utfordrende tiden, vi i LayerX har bestemt oss for å lansere et gratis verktøy basert på vår nettlesersikkerhetsplattform, som gjør dem i stand til å få synlighet og redusere de potensielle konsekvensene av LastPass-bruddet på deres miljøer.

Oppsummering av LastPass kunngjøring: Hvilke data har motstandere og hva er risikoen?

Som ble postet i LastPass's nettsted ' "Trusselaktøren var også i stand til å kopiere en sikkerhetskopi av kundehvelvdata fra den krypterte lagringsbeholderen som er lagret i et proprietært binært format som inneholder både ukrypterte data, for eksempel nettadresser, så vel som fullstendig krypterte sensitive felter som nettstedet brukernavn og passord, sikre notater og skjemautfylte data.'

Den avledede risikoen er at 'Trusselaktøren kan forsøke å bruke brute force for å gjette hovedpassordet ditt og dekryptere kopiene av hvelvdata de tok. På grunn av hashing- og krypteringsmetodene vi bruker for å beskytte kundene våre, ville det vært det ekstremt vanskelig å forsøke å brute force gjette hovedpassord for de kundene som følger passordet vårt beste praksis».

Å ikke implementere LastPass Passord Beste praksis viser hovedpassordet for hvelvet

Og denne delen om "beste praksis" er den mest alarmerende. Gode ​​fremgangsmåter for passord? Hvor mange personer opprettholder gode fremgangsmåter for passord? Det realistiske – men likevel uheldige – svaret er at det ikke er mange. Og det gjelder selv når det gjelder bedriftsadministrerte applikasjoner. Og når det kommer til personlige apper, er det ikke overdrevet å anta at gjenbruk av passord er normen i stedet for avvik. Risikoen LastPass brudd introduserer gjelder for begge brukstilfellene. La oss forstå hvorfor det er slik.

Den faktiske risikoen: ondsinnet tilgang til bedriftens ressurser 

La oss dele organisasjoner inn i to typer:

Type A: organisasjoner der LastPass brukes som en bedriftspolicy for å lagre passord for å få tilgang til bedriftsadministrerte apper, enten for alle brukere eller i bestemte avdelinger. I så fall er bekymringen enkel – en motstander som klarer å knekke eller skaffe en ansatts LastPass-hovedpassord kan lett få tilgang til bedriftens sensitive ressurser.

Type B: organisasjoner der LastPass brukes uavhengig av ansatte (enten for personlig eller arbeidsmessig bruk) eller av spesifikke grupper i organisasjonen, uten IT-kunnskapen for valgfrie apper. I så fall er bekymringen at en motstander som klarer å knekke eller skaffe en ansatts LastPass-hovedpassord vil utnytte brukernes tendens til gjenbruk av passord, og etter kompromittering av passordene i hvelvet vil finne et som også brukes til å få tilgang til bedriftsappene.

CISOs blindvei: Visse trusler, men ekstremt lave avbøtende evner 

Så uansett om en organisasjon faller inn under type A eller B, er risikoen klar. Det som forsterker utfordringen for CISO i denne situasjonen er at selv om det er stor sannsynlighet – for ikke å si sikkerhet – for at det er ansatte i hans miljø som deres brukerkontoer sannsynligvis vil bli kompromittert, har han svært begrenset evne til å vite hvem disse ansatte er, enn si tar de nødvendige skrittene for å redusere risikoen de er i.

LayerX gratis tilbud: 100 % synlighet i LastPass angrepsoverflate samt proaktive beskyttelsestiltak

Vi har gitt ut et gratis verktøy for å hjelpe CISOer med forstå organisasjonens eksponering for LastPass-bruddet, kartlegge alle sårbare brukere og applikasjoner, og ta i bruk sikkerhetsreduksjoner.

Dette verktøyet leveres som en utvidelse til nettleseren dine ansatte bruker, og gir derfor umiddelbar innsyn i alle nettleserutvidelser og nettleseraktiviteter til hver bruker. Dette gjør det mulig for CISOer å oppnå følgende:

  • LastPass brukskartlegging: ende-til-ende-synlighet i alle nettlesere som LastPass-utvidelsen er installert på, uavhengig av om det er en bedriftspolicy (type A) eller personlig brukt (type B), og kartlegg alle applikasjoner og nettdestinasjoner hvis legitimasjon er lagret i LastPass. Det skal bemerkes at synlighetsutfordringene for type B-organisasjoner er mye mer alvorlige enn for type A og praktisk talt ikke kan løses med noen løsning bortsett fra LayerX sitt verktøy.
  • Identifisere brukere i fare: Ved å utnytte denne kunnskapen kan CISO informere sårbare brukere om å implementere MFA på kontoene deres, samt rulle ut en dedikert prosedyre for tilbakestilling av hovedpassord for å sikre eliminering av motstanders evne til å utnytte et kompromittert hovedpassord for ondsinnet tilgang
  • Phishing-beskyttelse: Mens LastPass advarte fra et Brute Force-scenario, ville den mer sannsynlige og kostnadseffektive veien for angripere være å starte phishing-angrep for å lokke ansatte til å avsløre det direkte. LayerXs verktøy kan håndheve retningslinjer som vil oppdage og forhindre slike phishing-angrep i det hele tatt, samt oppdage ansatte som gjenbruker LastPass-hovedpassordet for andre apper.

 

Er du interessert i å lære mer om LayerX sitt gratisverktøy? Fyll ut dette skjemaet ber om nedlastingslenken, så sender vi den til deg