LastPass 宣布的最新违规行为引起了安全利益相关者的担忧。正如经常发生的那样,我们处于安全困境 - 一方面,正如 LastPass 所指出的,遵循 LastPass 最佳实践的用户实际上将面临零到极低的风险。然而,说没有遵循密码最佳实践是一种轻描淡写的说法,而现实情况是,真正执行这些实践的组织很少。这将 CISO 置于最糟糕的境地,几乎肯定会受到损害,但要查明造成这种风险的用户几乎是不可能的。为了帮助首席信息安全官度过这个充满挑战的时期, 我们 LayerX 决定推出一款基于我们的浏览器安全平台的免费工具, 使他们能够获得可见性并减轻 LastPass 漏洞对其环境的潜在影响。
回顾 LastPass 的公告:对手拥有哪些数据以及风险是什么?
正如 LastPass 中发布的 官网 “ 威胁行为者还能够从加密存储容器中复制客户库数据的备份,该容器以专有的二进制格式存储,其中包含未加密的数据(例如网站 URL)以及完全加密的敏感字段(例如网站)。用户名和密码、安全注释和填写表格的数据。
衍生的风险是“威胁行为者可能会尝试使用暴力来猜测您的主密码并解密他们获取的保管库数据的副本。由于我们使用散列和加密方法来保护我们的客户,因此 对于那些遵循我们密码的客户来说,尝试暴力破解主密码极其困难 最佳实践“。
不实施 LastPass 密码最佳实践会将主密码暴露给保管库
关于“最佳实践”的这一部分是最令人震惊的。密码最佳实践?有多少人维护密码最佳实践?现实但不幸的答案是数量并不多。即使在企业托管应用程序的环境中也是如此。当谈到个人应用程序时,可以毫不夸张地说,密码重复使用是常态而不是异常情况。 LastPass 违规带来的风险适用于这两种用例。让我们理解为什么会这样。
实际风险:恶意访问公司资源
我们将组织分为两种类型:
类型A: 将 LastPass 用作公司策略的组织,用于为所有用户或特定部门保管访问公司托管应用程序的密码。在这种情况下,问题就很简单了——成功破解或获取员工 LastPass 主密码的对手可以轻松访问公司的敏感资源。
B型: 员工独立使用 LastPass 的组织(无论是个人用途还是工作用途)或 由组织中的特定群体执行,无需 IT 知识 对于选择的应用程序。在这种情况下,人们担心的是,成功破解或获取员工 LastPass 主密码的对手会利用用户重复使用密码的倾向,并且在泄露保险库中的密码后,会发现一个也被用于访问企业应用程序。
CISO 的死胡同:存在一定的威胁,但缓解能力极低
因此,无论组织属于 A 型还是 B 型,风险都是显而易见的。在这种情况下,CISO 面临的挑战更加严峻,虽然他的环境中存在用户帐户可能受到威胁的员工的可能性很高(不是说肯定),但他了解这些员工是谁的能力非常有限更不用说采取必要的措施来减轻风险了。
LayerX 免费产品:100% 了解 LastPass 攻击面以及主动防护措施
我们发布了一个免费工具来协助 CISO 了解其组织面临 LastPass 漏洞的风险,映射所有易受攻击的用户和应用程序,并应用安全缓解措施。
该工具作为员工正在使用的浏览器的扩展提供,因此可以立即查看所有浏览器扩展和每个用户的浏览活动。这使 CISO 能够获得以下收益:
- LastPass 使用映射:对安装了 LastPass 扩展程序的所有浏览器进行端到端可见性,无论是公司策略(A 型)还是个人使用(B 型),并映射凭证存储在 LastPass 中的所有应用程序和 Web 目标。 应该指出的是,B 类组织面临的可见性挑战比 A 类组织严重得多,并且除了 LayerX 工具之外,实际上无法通过任何解决方案来解决。
- 识别有风险的用户:利用这些知识,CISO 可以通知易受攻击的用户在其帐户上实施 MFA,并推出专用的主密码重置程序,以确保消除对手利用受损主密码进行恶意访问的能力
- 网络钓鱼防护: 虽然 LastPass 针对暴力破解场景发出了警告,但对于攻击者来说,更有可能且更具成本效益的途径是发起网络钓鱼攻击,以引诱员工直接披露信息。 LayerX 的工具可以强制执行策略,以检测和防止此类网络钓鱼攻击,并检测将 LastPass 主密码重复用于其他应用程序的员工.
您有兴趣了解有关 LayerX 免费工具的更多信息吗? 填写此表格 询问下载链接,我们会将其发送给您
