Последнее нарушение, о котором объявил LastPass, является серьезной причиной для беспокойства заинтересованных сторон, занимающихся безопасностью. Как это часто бывает, мы находимся в подвешенном состоянии в области безопасности – с одной стороны, как отмечает LastPass, пользователи, следовавшие лучшим практикам LastPass, практически не подвергались бы риску от нуля до крайне низкого. Однако сказать, что лучшие методы работы с паролями не соблюдаются, — это сильное преуменьшение, и реальность такова, что очень мало организаций, в которых эти методы действительно соблюдаются. Это ставит директоров по информационной безопасности в наихудшее положение, где риск компрометации почти неизбежен, но определить пользователей, которые создают эту угрозу, практически невозможно. Чтобы помочь директорам по информационной безопасности в это непростое время, мы в LayerX решили запустить бесплатный инструмент на основе нашей платформы безопасности браузера, позволяя им получить видимость и смягчить потенциальное воздействие взлома LastPass на их среду.
Резюмируем объявление LastPass: какие данные есть у злоумышленников и каков риск?
Как было опубликовано в LastPass . " «Злоумышленник также смог скопировать резервную копию данных хранилища клиентов из зашифрованного контейнера хранения, который хранится в собственном двоичном формате и содержит как незашифрованные данные, такие как URL-адреса веб-сайтов, так и полностью зашифрованные конфиденциальные поля, такие как веб-сайт. имена пользователей и пароли, защищенные заметки и данные, заполняемые формы».
Производный риск заключается в том, что «злоумышленник может попытаться использовать грубую силу, чтобы угадать ваш главный пароль и расшифровать полученные копии данных хранилища». Из-за методов хеширования и шифрования, которые мы используем для защиты наших клиентов, было бы чрезвычайно сложно попытаться подобрать мастер-пароли для тех клиентов, которые следуют нашему паролю. лучшие практики».
Невыполнение рекомендаций по использованию LastPass Password приводит к раскрытию мастер-пароля в хранилище
И этот раздел о «лучших практиках» вызывает наибольшую тревогу. Рекомендации по использованию паролей? Сколько людей придерживаются лучших практик использования паролей? Реалистичный, хотя и неудачный, ответ заключается в том, что их немного. И это справедливо даже в контексте корпоративных управляемых приложений. А когда дело доходит до личных приложений, не будет преувеличением предположить, что повторное использование паролей является нормой, а не исключением. Риск, связанный с нарушением LastPass, применим к обоим вариантам использования. Давайте разберемся, почему так.
Реальный риск: злонамеренный доступ к корпоративным ресурсам
Разделим организации на два типа:
Введите: организации, где LastPass используется в качестве политики компании для хранения паролей для доступа к корпоративным управляемым приложениям либо для всех пользователей, либо для определенных отделов. В этом случае проблема очевидна: злоумышленник, которому удастся взломать или получить мастер-пароль LastPass сотрудника, может легко получить доступ к конфиденциальным ресурсам компании.
Тип B: организации, где LastPass используется сотрудниками независимо (для личного или рабочего использования) или конкретными группами в организации, без знаний ИТ для приложений по выбору. В этом случае проблема заключается в том, что злоумышленник, которому удастся взломать или получить мастер-пароль LastPass сотрудника, воспользуется склонностью пользователей к повторному использованию паролей и после компрометации паролей в хранилище найдет тот, который также используется для доступ к корпоративным приложениям.
Тупик директора по информационной безопасности: определенная угроза, но крайне низкие возможности ее смягчения
Итак, независимо от того, относится ли организация к типу А или Б, риск очевиден. Что усложняет задачу для директора по информационной безопасности в этой ситуации, так это то, что, хотя существует высокая вероятность (если не сказать уверенность) того, что в его среде есть сотрудники, чьи учетные записи могут быть скомпрометированы, у него очень ограниченные возможности знать, кто эти сотрудники. не говоря уже о том, чтобы предпринять необходимые шаги для снижения риска, которому они подвергаются.
Бесплатное предложение LayerX: 100% видимость поверхности атаки LastPass, а также меры превентивной защиты
Мы выпустили бесплатный инструмент, который поможет директорам по информационной безопасности в понимая подверженность своей организации взлому LastPass, сопоставлять всех уязвимых пользователей и приложения и применять меры по снижению безопасности.
Этот инструмент поставляется как расширение для браузера, который используют ваши сотрудники, и, следовательно, обеспечивает немедленную видимость всех расширений браузера и действий каждого пользователя в Интернете. Это позволяет директорам по информационной безопасности получить следующее:
- Сопоставление использования LastPass: сквозной просмотр всех браузеров, в которых установлено расширение LastPass, независимо от того, является ли это корпоративной политикой (тип A) или личным использованием (тип B), и сопоставляет все приложения и веб-назначения, учетные данные которых хранятся в LastPass. Следует отметить, что проблемы видимости для организаций типа B гораздо более серьезны, чем для организаций типа A, и практически не могут быть решены никаким решением, кроме инструмента LayerX.
- Выявление пользователей, подвергающихся риску: используя эти знания, CISO может информировать уязвимых пользователей о необходимости внедрения MFA в их учетных записях, а также развернуть специальную процедуру сброса главного пароля, чтобы исключить возможность злоумышленников использовать скомпрометированный главный пароль для злонамеренного доступа.
- Защита от фишинга: Хотя LastPass предостерегает от сценария грубой силы, более вероятным и экономически эффективным путем для злоумышленников было бы проведение фишинговых атак, чтобы побудить сотрудников раскрыть информацию напрямую. Инструмент LayerX может применять политики, которые полностью обнаруживают и предотвращают такие фишинговые атаки, а также обнаруживают сотрудников, которые повторно используют свой главный пароль LastPass для других приложений..
Хотите узнать больше о бесплатном инструменте LayerX? Заполните эту форму попросите ссылку для скачивания, и мы вышлем ее вам
