A última violação anunciada pelo LastPass é um grande motivo de preocupação para as partes interessadas em segurança. Como costuma acontecer, estamos em um limbo de segurança – por um lado, como observou o LastPass, os usuários que seguissem as práticas recomendadas do LastPass estariam praticamente expostos a riscos zero a extremamente baixos. No entanto, dizer que as melhores práticas de senha não são seguidas é um eufemismo, e a realidade é que existem muito poucas organizações nas quais essas práticas são realmente aplicadas. Isso coloca os CISOs na pior posição, onde a exposição ao comprometimento é quase certa, mas identificar os usuários que criam essa exposição é quase impossível. Para ajudar os CISOs neste momento desafiador, nós, da LayerX, decidimos lançar uma ferramenta gratuita baseada em nossa plataforma de segurança de navegador, permitindo-lhes ganhar visibilidade e mitigar os impactos potenciais da violação do LastPass em seus ambientes.

Recapitulando o anúncio do LastPass: quais dados os adversários possuem e qual é o risco?

Como foi postado no LastPass's site do Network Development Group ' 'O agente da ameaça também foi capaz de copiar um backup dos dados do cofre do cliente do contêiner de armazenamento criptografado, que é armazenado em um formato binário proprietário que contém dados não criptografados, como URLs de sites, bem como campos confidenciais totalmente criptografados, como sites nomes de usuário e senhas, notas seguras e dados preenchidos em formulários.'

O risco derivado é que 'O autor da ameaça pode tentar usar força bruta para adivinhar sua senha mestra e descriptografar as cópias dos dados do cofre que obteve. Devido aos métodos de hashing e criptografia que usamos para proteger nossos clientes, seria extremamente difícil tentar adivinhar senhas mestras com força bruta para os clientes que seguem nossa senha melhores práticas. '

A não implementação das práticas recomendadas para senha do LastPass expõe a senha mestra ao cofre

E esta secção sobre as “melhores práticas” é a mais alarmante. Práticas recomendadas de senha? Quantas pessoas mantêm as práticas recomendadas de senha? A resposta realista – mas infeliz – é que não são muitos. E isso vale mesmo no contexto de aplicativos gerenciados corporativos. E quando se trata de aplicativos pessoais, não é exagero presumir que a reutilização de senhas é a norma, e não a exceção. O risco introduzido pela violação do LastPass se aplica a ambos os casos de uso. Vamos entender por que isso acontece.

O risco real: acesso malicioso a recursos corporativos 

Vamos dividir as organizações em dois tipos:

Digite A: organizações onde o LastPass é usado como política da empresa para proteger senhas de acesso a aplicativos corporativos gerenciados, seja para todos os usuários ou em departamentos específicos. Nesse caso, a preocupação é direta: um adversário que consiga quebrar ou obter a senha mestra do LastPass de um funcionário poderá acessar facilmente os recursos confidenciais da empresa.

Tipo B: organizações onde o LastPass é usado de forma independente pelos funcionários (seja para uso pessoal ou profissional) ou por grupos específicos na organização, sem o conhecimento de TI para aplicativos de sua escolha. Nesse caso, a preocupação é que um adversário que consiga hackear ou obter a senha mestra do LastPass de um funcionário se aproveite da tendência dos usuários para a reutilização de senhas e, após comprometer as senhas no cofre, encontre uma que também seja usada para acessar os aplicativos corporativos.

O beco sem saída do CISO: certas ameaças, mas capacidades de mitigação extremamente baixas 

Assim, independentemente de uma organização se enquadrar no tipo A ou B, o risco é claro. O que intensifica o desafio para o CISO nesta situação é que, embora haja uma grande probabilidade – para não dizer certeza – de que existam funcionários no seu ambiente cujas contas de utilizador possam ser comprometidas, ele tem uma capacidade muito limitada de saber quem são esses funcionários. são, e muito menos tomar as medidas necessárias para mitigar o risco que correm.

Oferta gratuita do LayerX: 100% de visibilidade na superfície de ataque LastPass, bem como medidas de proteção proativa

Lançamos uma ferramenta gratuita para ajudar os CISOs em compreender a exposição de sua organização à violação do LastPass, mapear todos os usuários e aplicativos vulneráveis ​​e aplicar mitigações de segurança.

Esta ferramenta é fornecida como uma extensão do navegador que seus funcionários estão usando e, portanto, fornece visibilidade imediata de todas as extensões do navegador e atividades de navegação de cada usuário. Isso permite que os CISOs obtenham o seguinte:

  • Mapeamento de uso do LastPass: visibilidade ponta a ponta de todos os navegadores nos quais a extensão LastPass está instalada, independentemente de ser uma política corporativa (tipo A) ou usada pessoalmente (tipo B), e mapeia todos os aplicativos e destinos da web cujas credenciais estão armazenadas no LastPass. Deve-se notar que os desafios de visibilidade para organizações do tipo B são muito mais graves do que para o tipo A e praticamente não podem ser resolvidos por nenhuma solução, exceto pela ferramenta da LayerX.
  • Identificando usuários em risco: aproveitando esse conhecimento, o CISO pode informar usuários vulneráveis ​​para implementar MFA em suas contas, bem como implementar um procedimento dedicado de redefinição de senha mestra para garantir a eliminação da capacidade dos adversários de aproveitar uma senha mestra comprometida para acesso malicioso
  • Proteção contra phishing: Embora o LastPass alerte sobre um cenário de força bruta, o caminho mais provável e econômico para os invasores seria lançar ataques de phishing para atrair os funcionários a revelá-lo diretamente. A ferramenta da LayerX pode aplicar políticas que detectariam e impediriam tais ataques de phishing, bem como detectar funcionários que reutilizam sua senha mestra do LastPass para outros aplicativos..

 

Você está interessado em aprender mais sobre a ferramenta gratuita do LayerX? Preencha este formulário pedindo o link para download e enviaremos para você