Niedawne naruszenia w LastPass i Norton LifeLock wywołały debatę na temat tego, czy korzystanie z menedżerów haseł w przedsiębiorstwach jest bezpieczne, lub który z nich jest lepszy w ogóle. Większość firm nie polega na pojedynczym firewallu do ochrony sieci czy pojedynczym produkcie do zabezpieczania punktów końcowych w celu wykrywania zagrożeń. Dlaczego więc mielibyśmy zakładać, że pojedyncza warstwa ochrony, przy użyciu jednego produktu, jest wystarczająca do zapewnienia bezpieczeństwa kont biznesowych?
Należy zauważyć, że same menedżery haseł są niewystarczające przede wszystkim z wielu powodów:
- Pracownicy muszą wyrazić zgodę na ich używanie, więc prawdopodobnie nigdy nie zapewnią pełnego pokrycia dla wszystkich kont.
- Nie blokują ponownego użycia lub udostępniania haseł (to ostatnie może być nawet cechą na lepsze lub gorsze).
- Pozwalają na przechowywanie słabych haseł.
Mają też zazwyczaj hasło główne, które nie może być przechowywane w ich skarbcach, więc najbardziej kluczowe konto ze wszystkich będzie prawdopodobnie stworzone przez człowieka. Ze swojej natury, te są znacznie łatwiejsze do złamania niż to, co długość i złożoność wskazywałaby.
Menedżery haseł nie są same w sobie problemem, musimy tylko zrozumieć ich ograniczenia i dodać inne warstwy ochrony, tak jak robimy to dla wielu innych rzeczy.
Na przykład w przypadku LastPass, listy e-maili i adresów URL były niezaszyfrowane w skradzionych skarbcach. Sam fakt, że firma korzysta z określonego narzędzia SaaS lub strony internetowej jest bardzo wrażliwy, ponieważ hakerzy mogą wykorzystywać te informacje do ukierunkowanego phishingu, wypychania danych uwierzytelniających i innych metod. PayPal został ostatnio zaatakowany dokładnie w ten sposób, wpływając na 35 000 kont użytkowników.
Konta internetowe w większości przypadków stanowią dużą część Shadow IT, więc operacjom i bezpieczeństwu trudno jest stworzyć świadomość lub inne środki kontroli wokół nich. Jak więc stworzyć dodatkową warstwę ochrony bez zwiększania kosztów i utrudniania pracy pracownikom?
Stwórz widoczność dla organizacji.
Problem z kontami online polega na tym, że są one tworzone indywidualnie, bez potrzeby lub możliwości przejęcia kontroli przez działy bezpieczeństwa IT. Oznacza to, że aplikacje rozlewają się po organizacji w formie Shadow IT. Dostęp do tych aplikacji odbywa się za pomocą potencjalnie słabych haseł Shadow ID i często dotyczy krytycznych procesów biznesowych czy poufnych danych. Ocena, do których aplikacji kto ma dostęp, jakie konta są tworzone i jak mocne są hasła, jest niezbędna do oceny potencjalnego ryzyka. Czy to coś wam przypomina? Tak, wytyczne NIST dotyczące Zero Trust również wymagają inwentaryzacji zasobów cyfrowych, a to samo dotyczy Kontrolerów Danych i Procesorów przez GDPR, a także najlepszych praktyk branżowych tworzonych przez CIS.
W przypadku, gdy wdrożony został menedżer haseł, sensowne jest również odkrycie, czy wszystkie konta są w nich przechowywane, czy są wystarczająco silne i czy nie pokazuje niepożądane udostępnianie lub podejrzane użycie.
Egzekwuj zasady
Używanie kont wewnętrznych lub usługowych do rejestracji stron trzecich, a także posiadanie starszych kont byłych pracowników lub porzuconych usług powinno być przerażające, ponieważ napastnicy zawsze znajdą najsłabsze ogniwa. To samo dotyczy ponownie używanych haseł, zwłaszcza jeśli są one takie same jak konta AD/LDAP, ponieważ z oczywistych względów jest to nadal główny wektor ataku. Kiedy ktoś opuszcza organizację lub aplikacja nie jest już wspierana, konta powinny zostać usunięte, a dostęp odebrany, aby zamknąć „tylne furtki”.
Nieustanne kształcenie
Pracownicy nie są ekspertami w dziedzinie bezpieczeństwa. Nie zaczną stosować najnowocześniejszych zaleceń tylko dlatego, że zobaczyli film lub wzięli udział w sesji szkoleniowej. Zrozumienie, które działy lub pracownicy mają większe przywileje i ryzyko, a także przekazywanie im odpowiednich komunikatów powinno być powolnym, ale ciągłym wysiłkiem w celu poprawy ogólnej higieny biznesu. Cyfrowi dostawcy i Shadow IT stanowią największe zagrożenie, ponieważ nie są dostępne żadne logi, integracje ani zaawansowane możliwości monitorowania ich statusu przez operacje bezpieczeństwa. Pamiętasz AMD? Są firmą technologiczną i używali absurdalnych haseł, które doprowadziły do kradzieży prawie pół terabajta danych. Podnieś poziom swoich pracowników, wspierając ich w całej ich podróży online, każdego dnia.
Artykuł powstał na podstawie bloga naszego partnera, firmy Scirge.