Det senaste intrånget tillkännagav av LastPass är en stor anledning till oro för säkerhetsintressenter. Som ofta förekommer befinner vi oss i ett säkerhetslimbo – å ena sidan, som LastPass har noterat, skulle användare som följde LastPass bästa praxis praktiskt taget utsättas för noll till extremt låg risk. Men att säga att de bästa metoderna för lösenord inte följs är en vild underdrift, och verkligheten är att det finns väldigt få organisationer där dessa metoder verkligen tillämpas. Detta försätter CISO:er på den sämsta platsen, där exponering för kompromisser är nästan säker, men att hitta de användare som skapar denna exponering är nästan omöjligt. För att hjälpa CISOs i denna utmanande tid, vi på LayerX har beslutat att lansera ett gratisverktyg baserat på vår webbläsarsäkerhetsplattform, gör det möjligt för dem att få synlighet och mildra de potentiella effekterna av LastPass-intrånget på deras miljöer.

Sammanfattning av LastPass tillkännagivande: Vilken data har motståndare och vad är risken?

Som postades i LastPass's webbplats ' "Hotaktören kunde också kopiera en säkerhetskopia av kundvalvdata från den krypterade lagringsbehållaren som lagras i ett proprietärt binärt format som innehåller både okrypterad data, såsom webbadresser till webbsidor, såväl som helt krypterade känsliga fält som webbplats användarnamn och lösenord, säkra anteckningar och formulärfyllda data.'

Den härledda risken är att "Hotaktören kan försöka använda brute force för att gissa ditt huvudlösenord och dekryptera kopiorna av valvdata de tog. På grund av hash- och krypteringsmetoderna vi använder för att skydda våra kunder skulle det vara det extremt svårt att försöka brute force gissa huvudlösenord för de kunder som följer vårt lösenord bästa praxis. '

Att inte implementera LastPass Password Best Practices Exponerar huvudlösenordet för valvet

Och det här avsnittet om "bästa metoder" är det mest alarmerande. Bästa metoder för lösenord? Hur många personer upprätthåller de bästa metoderna för lösenord? Det realistiska – men ändå olyckliga – svaret är att det inte är många. Och det gäller även när det gäller företagshanterade applikationer. Och när det kommer till personliga appar är det inte överdrivet att anta att återanvändning av lösenord är normen snarare än avvikelsen. Risken LastPass intrång inför gäller för båda användningsfallen. Låt oss förstå varför det är så.

Den faktiska risken: Skadlig tillgång till företagets resurser 

Låt oss dela upp organisationer i två typer:

Typ A: organisationer där LastPass används som en företagspolicy för valv av lösenord för att komma åt företagshanterade appar, antingen för alla användare eller på specifika avdelningar. I det fallet är problemet okomplicerat – en motståndare som lyckas knäcka eller få en anställds LastPass-huvudlösenord kan lätt komma åt företagets känsliga resurser.

Typ B: organisationer där LastPass används oberoende av anställda (oavsett om det är för personligt bruk eller arbete) eller av specifika grupper i organisationen, utan IT-kunskaper för valfria appar. I så fall är oron att en motståndare som lyckas knäcka eller skaffa en anställds LastPass-huvudlösenord skulle dra nytta av användarnas benägenhet att återanvända lösenord och efter att ha kompromissat kommer lösenorden i valvet att hitta ett som också används för att komma åt företagsapparna.

CISO:s återvändsgränd: visst hot men extremt låga begränsningsmöjligheter 

Så oavsett om en organisation faller inom typ A eller B är risken klar. Det som förstärker utmaningen för CISO i den här situationen är att även om det finns stor sannolikhet – för att inte säga säkerhet – att det finns anställda i hans omgivning som deras användarkonton sannolikt kommer att äventyras, har han mycket begränsad förmåga att veta vilka dessa anställda är, än mindre vidta de nödvändiga åtgärderna för att minska risken.

LayerX gratiserbjudande: 100 % synlighet i LastPass Attack Surface samt proaktiva skyddsåtgärder

Vi har släppt ett gratis verktyg för att hjälpa CISO:er med att förstå sin organisations exponering för LastPass-intrånget, kartlägga alla sårbara användare och applikationer och tillämpa säkerhetsbegränsningar.

Detta verktyg levereras som ett tillägg till webbläsaren dina anställda använder och ger därför omedelbar insyn i alla webbläsartillägg och surfaktiviteter för varje användare. Detta gör det möjligt för CISO:er att få följande:

  • LastPass Usage Mapping: synlighet från början till slut i alla webbläsare där LastPass-tillägget är installerat, oavsett om det är en företagspolicy (typ A) eller personligt använd (typ B), och kartlägga alla applikationer och webbdestinationer vars referenser lagras i LastPass. Det bör noteras att synlighetsutmaningarna för typ B-organisationer är mycket allvarligare än för typ A och praktiskt taget inte kan hanteras med någon lösning förutom LayerX:s verktyg.
  • Identifiera användare i riskzonen: genom att utnyttja denna kunskap kan CISO informera sårbara användare om att implementera MFA på sina konton, samt lansera en dedikerad återställningsprocedur för huvudlösenord för att säkerställa att motståndarnas förmåga att utnyttja ett äventyrat huvudlösenord för skadlig åtkomst elimineras
  • Nätfiskeskydd: Medan LastPass varnade för ett Brute Force-scenario, skulle den mer sannolika och kostnadseffektiva vägen för angripare vara att starta nätfiskeattacker för att locka anställda att avslöja det direkt. LayerX:s verktyg kan genomdriva policyer som skulle upptäcka och förhindra sådana nätfiskeattacker helt och hållet, samt upptäcka anställda som återanvänder sitt LastPass-huvudlösenord för andra appar.

 

Är du intresserad av att lära dig mer om LayerX:s kostnadsfria verktyg? Fyll i det här formuläret ber om nedladdningslänken så skickar vi den till dig