Archiwa: News

W zeszłym roku przewidywaliśmy, że rok 2022 będzie wyzwaniem dla cyberbezpieczeństwa. Zostało to potwierdzone przez niezliczoną liczbę wyrafinowanych, głośnych ataków typu phishing i ransomware, takich jak DropBox, Twitter, Rockstar Games i Uber (dwa razy).

Wraz z wprowadzeniem phishingu jako usługi i innych wyrafinowanych zestawów narzędzi ukierunkowanych na słabsze formy 2FA, zespoły ds. bezpieczeństwa traktują teraz priorytetowo odporne na phishing uwierzytelnianie wieloskładnikowe (MFA). Ponadto firmy współpracujące z rządem federalnym USA jako klienci muszą odpowiadać na wdrożenie MFA, które były częścią dekretu wykonawczego Białego Domu z 2021 r.

Na szczęście w 2023 r. spodziewamy się szerszej dostępności poświadczeń opartych na FIDO np. passkey), aby pomóc firmom w radzeniu sobie z rosnącą falą ataków na poświadczenia. Poniżej znajdziesz szczegółowe informacje o tym, jak przygotowujemy siebie i klientów do wejścia w nowy rok.

Przygotuj się na stały wzrost taktyk ze strony hakerów

Hakowanie zwykle polega na ścieżce najmniejszego oporu – napastnicy będą skłaniać się ku metodzie, która pozwoli osiągnąć ich wyniki przy jak najmniejszym nakładzie czasu i pieniędzy. W niektórych przypadkach oznacza to zakup zestawu, usługi lub danych uwierzytelniających z ciemnego internetu. Wykorzystywanie wcześniej niepublikowanych luk (tzn. luk 0-day) stało się rzadkie. Ponadto luki w zabezpieczeniach, które umożliwiają atakującemu bezpośrednie złamanie zabezpieczeń systemu internetowego, nie są już tak powszechne jak kiedyś. W przypadku wykrycia tego typu problemów exploit jest często zawodny ze względu na różnice środowiskowe i różne środki zaradcze.

Ścieżką najmniejszego oporu dla większości atakujących staje się uzyskanie poświadczeń niezbędnych do uzyskania dostępu do środowiska. Zestawy phishingowe, „ciemne” sklepy internetowe i osoby z wewnątrz znacznie obniżyły poprzeczkę dla atakujących, aby uzyskać te informacje, podczas gdy przyjęcie środków zaradczych, takich jak odporne na phishing MFA, pozostaje w tyle. Na przykład grupa Lapsus$, grupa hakerska znana z wyłudzania danych, bezczelnie kupowała insiderów korporacyjnych na swoim kanale Telegram. Stało się jasne, że atakujący nie potrzebują już wyrafinowanych exploitów, aby uzyskać dostęp do systemów korporacyjnych. W niektórych przypadkach staje się to tak proste, jak pracownik, który był skłonny sprzedać swoje dane uwierzytelniające w „ciemnych” zakątkach sieci.

Ujawnienie danych uwierzytelniających w wyniku phishingu, ataków socjotechnicznych lub niezadowolonego pracownika nie powinno wystarczyć, aby doprowadzić do całkowitego naruszenia środowiska. Jednak za dużo tego typu ataków widzieliśmy w 2022 roku. Zakładanie, że możemy działać w środowisku bez wpadek, jest niczym innym jak nieodpowiedzialnością – jest to po prostu nierealne. Szokujące, niedawna ankieta Yubico wykazała, że 59% pracowników nadal polega na nazwie użytkownika i haśle jako podstawowej metodzie uwierzytelniania. Dodatkowo blisko 54% pracowników przyznaje się do zapisywania lub udostępniania hasła. Te trendy po prostu nie mogą prowadzić organizacji do sukcesu.

Przyjęcie nowoczesnych rozwiązań MFA jest jedynym realnym rozwiązaniem tych problemów z danymi uwierzytelniającymi. Nasze poleganie na świadomości, szkoleniu i metodach wykrywania okazało się niewystarczające.

Należy się spodziewać dalszego wzrostu zainteresowania cyberatakami wymierzonymi w infrastrukturę krytyczną i sektor publiczny

Ataki na infrastrukturę krytyczną, opiekę zdrowotną i systemy edukacyjne będą się nasilać. Wpływ przestojów lub utraty dostępności w tych środowiskach prowadzi do skalowalnego wpływu na szeroki zbiór populacji. To prowadziło i nadal będzie prowadzić do dużych i terminowych wypłat okupu. Wiemy z historii, że chęć zapłacenia okupu często prowadzi do dodatkowego zainteresowania w ramach przestępczości zorganizowanej i poza nią.

Wraz ze wzrostem liczby urządzeń monitorujących IoT w elektrowniach i powszechnym użyciem podłączonych czujników w obiektach przemysłowych znacznie wzrosła również liczba wektorów ataków. Cyberatak przeprowadzony w USA w 2021 r. na Colonial Pipeline pokazał, że naruszenia haseł mogą mieć wpływ zarówno na systemy IT, jak i OT, a zakłócenia w tych systemach mają daleko idące konsekwencje — nie tylko dla firmy, ale także dla akcjonariuszy i klientów.

Nowe memorandum bezpieczeństwa narodowego w sprawie poprawy bezpieczeństwa cybernetycznego systemów kontroli infrastruktury krytycznej oraz cele wydajności cyberbezpieczeństwa (CPG) Departamentu Bezpieczeństwa Wewnętrznego, określają podstawowe środki o najwyższym priorytecie, które właściciele infrastruktury krytycznej powinni podejmować w celu ochrony przed nowoczesnymi zagrożeniami cybernetycznymi, które mają na celu uzupełnienie Ramy Cyberbezpieczeństwa NIST. W sekcji 1.3, która zawiera szczegółowe zalecenia dotyczące MFA, memorandum zaleca, aby „sprzętowa MFA była włączona, gdy jest dostępna” w celu zapewnienia bezpiecznego dostępu w środowiskach IT i OT. Zostało to również podkreślone w bardziej ogólnym rozporządzeniu wykonawczym nr 14028 w sprawie pomocy makrofinansowej, wydanym przez prezydenta Stanów Zjednoczonych. Te zalecenia i upoważnienia rządowe podkreślają pilną potrzebę opracowania planów łańcucha dostaw, ukierunkowanych na bezpieczeństwo oraz zapewnienia rygorystycznych praktyk bezpieczeństwa w całej infrastrukturze krytycznej.

Architektura Zero Trust jest nadal głównym celem – ale wymagana będzie większa presja na dostawców

Architektura Zero Trust (ZTA) pozostanie na liście priorytetów dla firm przez wiele lat. W ciągu ostatnich 2-4 lat firmy przeniosły niektóre ze swoich krytycznych biznesowych aplikacji internetowych do ZTA, ale duży kontyngent aplikacji i usług zaplecza, albo wymaga strategii migracji, albo wsparcia ZTA, którego po prostu jeszcze nie ma. Wdrożenie chmury zapewnia szybkie rozwiązanie „pod klucz” dla niektórych przypadków użycia, ale nie dla wszystkich. Widzieliśmy również powolne wdrażanie w branży tradycyjnych usług finansowych, gdzie wiele osób nadal korzysta z technologii mainframe w swoich systemach rachunkowych.

Jako branża będziemy musieli nadal wywierać presję na naszych dostawców, aby zachęcali do przyjmowania protokołów i technologii umożliwiających ZTA. Zasadniczo są to protokoły, które umożliwiają tożsamości federacyjne, obsługują scentralizowane rejestrowanie, szyfrowaną komunikację i udostępniają interfejs API do obsługi automatyzacji zadań operacyjnych. Jeśli nie pomożemy prowadzić rozmowy, ta przeszkoda polegająca na „przekonaniu sprzedawcy” będzie nadal blokować drogę.

CISO muszą ewoluować w kierunku otwartych metod komunikacji i współpracy ze swoimi rówieśnikami i sieciami

CISO zwracają się do siebie nawzajem o rady i wskazówki na różne tematy, od prezentacji zarządu po usuwanie luk w zabezpieczeniach. Zauważyłem dramatyczny wzrost pozytywnej współpracy online w 2022 roku. CISO i inni menedżerowie spotykają się, aby dzielić się wiedzą i doświadczeniem.

Niedawno ogłoszenie OpenSSL o krytycznym (później zmienionym na wysoki) problemie w powiązanych bibliotekach doprowadziło do szybkiego utworzenia grupy roboczej skupionej na zrozumieniu problemów i reagowaniu na nie na kilka tygodni przed ujawnieniem. Chociaż luki prawie nie występowały, wyniki tej współpracy są namacalne.

Grupa robocza stała się stałym elementem ponad 400 specjalistów z różnych branż, krajów i poziomów doświadczenia. Miło jest znów tego doświadczyć, ponieważ większość moich wczesnych lat w tej branży polegała na szukaniu i udzielaniu pomocy na IRC. Spodziewam się, że zobaczę i doświadczę tego więcej w następnym roku, ponieważ nadal widzimy więcej zagrożeń dla coraz bardziej złożonego środowiska biznesowego i technicznego.

Standaryzacja zgodności

Zgodność jest nadal gorącym tematem, ale z niewłaściwych powodów. Organizacje zajmujące się bezpieczeństwem są zasypywane rozbieżnymi zestawami dostosowanych kwestionariuszy i oceny ryzyka od klientów i ich firm ubezpieczeniowych. Pytania są czasami oderwane od nowoczesnych środowisk lub koncentrują się na typie kontroli zamiast na celu. Czas i wysiłek wymagany do udzielenia odpowiedzi na każde z nich jest przytłaczający, a postrzegana wartość pytań maleje wraz z każdą odpowiedzią na kwestionariusz. To sprawia, że wielu CISO w mojej społeczności szuka lepszych strategii, jak zaszczepić zaufanie do naszych praktyk, jednocześnie drastycznie zmniejszając obciążenie pracą.

Nie wiem, jaka będzie odpowiedź dla innych, ale standaryzujemy raport kontroli systemu i organizacji (SOC) z wystarczającą ilością szczegółów, aby odpowiedzieć na większość pytań klientów, które otrzymaliśmy w ciągu ostatnich kilku lat i obsługujemy dodatkowe pytania dla niewielkiej części naszych klientów. Uważam, że nasi klienci wolą, aby nasz budżet na bezpieczeństwo koncentrował się na zarządzaniu naszym ryzykiem i dostarczaniu światu bezpiecznych produktów, a mniej na wypełnianiu dostosowanych kwestionariuszy.

Zrozumienie i złagodzenie obaw związanych z software bill of materials (SBOM)

Dążenie do zwiększenia przejrzystości łańcucha dostaw doprowadziło do wielu dyskusji na temat software bill of materials (SBOM) dla produktów i usług. Celem jest wygenerowanie czytelnej dla komputera listy składników oprogramowania, które można sprawdzić pod kątem znanych luk w zabezpieczeniach. Powinno to umożliwić klientom lepsze zrozumienie ryzyka, które dziedziczą, wdrażając oprogramowanie lub korzystając z usługi. Powinno również zapewnić im możliwość szybkiej oceny potencjalnego wpływu ujawnienia nowej luki na ich działalność. Ten dodatkowy wgląd w łańcuch dostaw pozwoliłby firmie wdrożyć strategie łagodzenia skutków, dopóki poprawka lub aktualizacja nie będzie dostępna dla dostawcy.

Jedną z obaw podnoszonych w związku z wdrażaniem SBOM w programie zarządzania lukami w zabezpieczeniach jest zmiana, do której może to prowadzić w przypadku fałszywych alarmów oraz w sytuacjach, w których powaga problemu nie ma odpowiedniego kontekstu. Na przykład YubiKey SDK for Desktop łączy OpenSSL, ale nie wykorzystuje żadnej z funkcji, na które miała wpływ ostatnia luka OpenSSL o wysokim poziomie istotności. Firma Yubico zaktualizowała dołączoną wersję OpenSSL w tym konkretnym pakiecie SDK, ale w ramach normalnego procesu wydawania, a nie w pilniejszym harmonogramie, który wymagałby luki w zabezpieczeniach o wysokim poziomie istotności. Biorąc pod uwagę doświadczenie z kwestionariuszami dostawców, obawiam się, że proces zamieni się w wersję zgodności problemu audytu npm z nieistotnymi problemami, zamieniając się w górę pracy dla zespołów inżynierów i bezpieczeństwa – zwłaszcza, gdy często mierzy się zależności dla aplikacji internetowych w tysiącach.

Aby złagodzić te obawy, powinniśmy współpracować z naszymi klientami, aby zrozumieć, w jaki sposób możemy zapewnić lepszą przejrzystość bez wprowadzania niepotrzebnej rezygnacji. Prawdopodobnie będziemy musieli opracować proces, który nie tylko zapewni pożądany wgląd w skład oprogramowania, ale także proces skutecznego ujawnienia, w jaki sposób dany problem wpływa na produkt lub usługę. Odpowiedzią może być automatyzacja, ale będzie to wymagało bardziej złożonych narzędzi niż te, które są obecnie dostępne.

Autor: Chad Thunberg

Oryginał artykułu znajduje się na stronie Yubico.

Na pytania Jasona Garbis, Chief Product Officer of Appgate, odpowiadał gość z firmy Forrester – David Holmes.

Jakie są logiczne fazy osiągania dojrzałości Zero Trust i rola Zero Trust Network Access (ZTNA) podczas całej podróży? Zaproszony mówca David Holmes, starszy analityk firmy Forrester i Hason Garbis, niedawno poruszyliśmy ten temat podczas webinaru na żywo. W tym szczegółowym podsumowaniu pytań i odpowiedzi David udziela dodatkowych wskazówek tym, którzy rozpoczęli lub myślą o rozpoczęciu podróży w zakresie bezpieczeństwa Zero Trust.

Podobnie jak lody neapolitańskie, webinar miał coś dla każdego zainteresowanego Zero Trust, niezależnie od tego, gdzie jesteś na swojej drodze. Waniliowy dla myślących o rozpoczęciu, czekoladowy dla tych, którzy już zaczęli i truskawkowy dla każdego, kto jest na dobrej drodze do wdrożenia bezpieczeństwa Zero Trust i chce osiągnąć wyższy poziom dojrzałości. Rozmawialiśmy z Davidem o:

• Bądź przygotowany na odkrycie, klasyfikację i inwentaryzację
• Kontrolowanie tożsamości dla użytkowników i urządzeń
• Zapewnienie dostępu Zero Trust do aplikacji
• Poprawa widoczności, automatyzacji i orkiestracji
• Stosowanie zabezpieczeń Zero Trust w sieci

Cały webinar można obejrzeć tutaj.

P: Jakie są kluczowe cechy dojrzałego programu bezpieczeństwa Zero Trust?

Odp.: Jeśli Twoja organizacja zamierza poważnie podejść do Zero Trust, zainwestujesz czas w procesy, które pomogą Ci gromadzić i utrzymywać informacje, a następnie automatyzację, aby reagować na zagrożenia w zautomatyzowany sposób. Informacje, które będziesz musiał gromadzić, przeglądać i przechowywać, obejmują śledzenie danych Twojej firmy i utrzymywanie programu klasyfikacji danych. Podobnie zbudujesz i utrzymasz inwentarz urządzeń, który obejmuje nie tylko komputery stacjonarne, laptopy i telefony komórkowe użytkowników, ale także urządzenia infrastruktury sieciowej oraz urządzenia IOT i OT. Żadne z powyższych nie jest łatwe.

Dojrzały program bezpieczeństwa Zero Trust będzie obejmował gromadzenie i utrzymywanie wiodących, opóźnionych i zbieżnych wskaźników. Metryki te będą obejmować liczbę źródeł danych i aplikacji, które osiągnęły izolację z całości, oraz ile z tych, które nie są izolowane, podlega zdyscyplinowanemu programowi zarządzania lukami w zabezpieczeniach. Program będzie również gromadził i utrzymywał wskaźniki związane z uprawnieniami użytkowników i ich zmianami wraz ze zmianą ról personelu.

Automatyzacja reagowania na zagrożenia jest świętym Graalem cyberbezpieczeństwa, ale większość organizacji ma problemy nawet z najbardziej podstawową automatyzacją, co jest niefortunne, ponieważ niedobór umiejętności w zakresie cyberbezpieczeństwa nie słabnie, a chwiejna gospodarka światowa będzie tylko tworzyć więcej atakujących.

P: Dlaczego dostęp Zero Trust ma kluczowe znaczenie dla dojrzałości ogólnej architektury bezpieczeństwa Zero Trust?

Odp.: Dostęp Zero Trust to pierwszy i najskuteczniejszy sposób, w jaki organizacje mogą naprawdę zacząć budować dojrzałą strategię bezpieczeństwa Zero Trust. Rozwiązania dostępowe Zero Trust zapewniają zarówno korzyści w zakresie bezpieczeństwa (lepsze bezpieczeństwo, zastąpienie VPN), jak i korzyści biznesowe (lepsze rozwiązania do pracy zdalnej). Można je również wdrażać aplikacja po aplikacji, aby organizacje mogły odgryźć tylko to, co mogą przeżuć. Ostatecznie, kompleksowe rozwiązanie dostępu Zero Trust zmniejszy powierzchnie ataków, zastępując otwarte porty; egzekwować zasadę najmniejszych uprawnień, udzielając dostępu tylko do zasobów mikrosegmentowanych; upraszczaj dostęp dzięki ujednoliconemu mechanizmowi zasad i oferując integracje oparte na interfejsach API, które współpracują z istniejącymi architekturami korporacyjnymi.

P: Jakie są najczęstsze nieporozumienia podczas budowania strategii Zero Trust?

Odp.: Najczęstszym nieporozumieniem, które dobrze znają CIO jest to, że ponieważ zawarli umowę z 800-funtowym sprzedawcą goryli, są teraz „zgodni z zasadą Zero Trust”. Jest to błąd z kilku powodów. Po pierwsze, nie ma (jeszcze) sankcjonowanego systemu zgodności dla Zero Trust. Po drugie, żaden pojedynczy sprzedawca, nawet wart bilion dolarów, nie oferuje całej technologii potrzebnej do zerowego zaufania. A nawet gdyby tak było, nadal pozostaje główna praca polegająca na zbieraniu informacji, takich jak źródła danych, oraz klasyfikowaniu i kategoryzowaniu tych danych a także dopasowywaniu ich do ról w organizacji.

P: Jakie są korzyści operacyjne z dostępu Zero Trust?

Odp.: Podczas gdy ulepszone cyberbezpieczeństwo jest główną wartością zapewnianą przez dostęp Zero Trust, istnieją również drugorzędne korzyści operacyjne, takie jak:

• Zastąpienie VPN w codziennej pracy zwykłego użytkownika może poprawić jakość pracy zdalnej.
• Strony trzecie i kontrahenci mogą uzyskać dostęp Zero Trust do określonych aplikacji, których potrzebują (i tylko tych aplikacji) i nie wymaga pobrania oprogramowania. W czasie pandemii organizacje takie jak uniwersytety wykorzystywały dostęp Zero Trust właśnie w ten sposób. Dzięki dostępowi Zero Trust mogliby zapewnić swoim studentom (będącym stronami trzecimi) dostęp do aparatury testowej bez udostępniania tych aplikacji w Internecie lub zapewniania uczniom dostępu do całej sieci wewnętrznej przez VPN.
• Dostęp Zero Trust ma interesujące zastosowanie w przejęciach. Zamiast łączyć ze sobą dwie sieci i tym samym narażać obie sieci na potencjalne APT i luki w zabezpieczeniach drugiej, kupujący może po prostu użyć punktów egzekwowania polityki dostępu Zero Trust i serwerów proxy, aby uzyskać dostęp do aplikacji docelowych. Jest to znacznie bezpieczniejszy przypadek, a organizacje, które rozwijają się głównie dzięki częstym przejęciom, mądrze byłoby skopiować swoich konkurentów, którzy już to robią.

P: Jakie masz wskazówki lub sugestie, aby pomóc przedsiębiorstwom uniknąć typowych błędów na drodze do zerowego zaufania?

Odp .: Trzeba uważać… wiele maszyn marketingowych dostawców przesadza i próbuje przerobić swoją istniejącą, czasem starożytną technologię na Zero Trust. Jeśli znasz dostawcę i sprzedaje on dobrze znaną technologię od dziesięcioleci, możesz założyć się, że nie jest to Zero Trust. Ponieważ gdyby to działało w ten sposób, nie mielibyśmy dziś nawet koncepcji Zero Trust, ponieważ nie byłoby to konieczne. Jeśli chodzi o wdrażanie technologii w celu bezpośredniego wdrożenia Zero Trust, powinieneś szukać technologii zaprojektowanej i zbudowanej najwcześniej po około 2012 roku. Jasne, istnieje wiele fundamentalnych technologii, które wspierają bezpieczeństwo Zero Trust, ale dla samego Zero Trust będziesz szukać rozwiązań dostępu Zero Trust, rozwiązań do mikrosegmentacji i zarządzania uprawnieniami.

Jeszcze raz dziękuję, David… Rozmowa z Tobą to zawsze przyjemność!

Oryginał został zamieszczony na stronie Appgate.

Ataków phishingowych nie trzeba przedstawiać, więc pominiemy część, w której omawiamy, jak istotne i przerażające one są. Często występują w parze ze skradzionymi danymi uwierzytelniającymi, co jest celem dużej części ataków phishingowych w pierwszej kolejności. A skradzione dane uwierzytelniające prowadzą do naruszeń, które według IBM wydają się być opanowane w bardzo wolnym tempie w porównaniu do innych wektorów ataku. W końcu trudniej jest wykryć, kiedy atakujący może podszyć się pod kogoś używającego legalnych poświadczeń.

Rozwiązania antyphishingowe mają jedną wspólną cechę – są w stanie zapobiec atakom phishingowym tylko wtedy, gdy je rozpoznają. Podobnie jak IPS czy firewall, rozwiązania do filtrowania poczty elektronicznej i stron internetowych mają jednorazową szansę na zablokowanie podejrzanych treści i uniemożliwienie pracownikom odwiedzania stron phishingowych. Jeśli zawiodą, organizacja jest zdana na łaskę i niełaskę swoich pracowników. Przy tak dużej ilości informacji społecznych i publicznych, stworzenie wiadomości spear-phishingowej, która skłoni nawet doświadczonych profesjonalistów do kliknięcia, jest tylko kwestią czasu, a nie szansy.

Czarne listy wydają się być bardzo nieskuteczne ze względu na rozproszoną naturę sieci, bardzo podobną do filtrowania spamu, gdzie nie istnieje „jedna prawdziwa czarna lista”, którą wszyscy mogliby się kierować. W jednym z ostatnich badań zebrano próbkę prawie 100 tysięcy domen phishingowych z czterech niezależnych źródeł. Jednak tylko 2 procent całej listy zostało pokryte przez wszystkich czterech dostawców, co oznacza, że powinieneś starać się polegać na jak największej liczbie źródeł wykrywania.

Jest jednak jeden świetny wskaźnik, który jest bardzo łatwy do oszacowania, a jest nim wiek domeny. Powyższy raport wskazuje, że 45% domen phishingowych jest flagowanych w ciągu zaledwie 14 dni od rejestracji.

Ma to pełny sens w połączeniu z powyższą statystyką, ponieważ nowe domeny mają mniejsze szanse na znalezienie się na czarnej liście w ciągu kilku dni. W rzeczywistości 57% złośliwych rejestracji domen jest wykorzystywanych w ciągu zaledwie trzech dni, czyli szybciej niż dostawcy płatności lub usług hostingowych mogą wykryć oszustwo.

Zgadza się to z innym badaniem przeprowadzonym przez Anti Phishing Working Group, które wykazało, że trzy czwarte wykrytych domen phishingowych miało mniej niż trzy miesiące.

Jednak sam ten wskaźnik nie jest wystarczający, zwłaszcza że praca zdalna zmieniła sposób filtrowania ruchu internetowego dla pracowników – o ile w ogóle…

Phishing ma wiele typów i celów, ale jednym z najbardziej oczywistych i paskudnych typów są kradzieże danych uwierzytelniających. Wysyłają one fałszywy link do fałszywej strony proponującej reset hasła lub prosząc o zalogowanie się z jakiegokolwiek powodu. Gdy tylko dane uwierzytelniające zostaną wprowadzone, napastnicy uzyskują dostęp do potencjalnie krytycznych kont. Oczywiście MFA może ukoić ból, ale to też nie jest magiczne lekarstwo.

Gdy atakujący wejdą w posiadanie danych uwierzytelniających, natychmiast zaczynają próbować je wykorzystać. W rzeczywistości, według badań Agari, skradzione dane uwierzytelniające są już zatwierdzane w ciągu 12 godzin od udanego skompromitowania związanego z phishingiem.

Czym więc różni się wykrywanie Phishingu od zapobiegania?

Gdy pracownicy podadzą dane uwierzytelniające, zapobieganie zawodzi, a wykrycie nieuczciwego dostępu do środowisk hostowanych w chmurze z legalnymi danymi uwierzytelniającymi jest już trudne, nie wspominając o kompromitacji poczty biznesowej i innych wektorach ataku wykorzystujących techniki społeczne. Żadne z rozwiązań opartych na sieci lub poczcie elektronicznej nie jest w stanie wykryć najbardziej krytycznego etapu udanego ataku: momentu, w którym pracownik wprowadza swoje dane uwierzytelniające.

Scirge monitoruje korporacyjną pocztę elektroniczną i użycie haseł poprzez swoje unikalne możliwości wykrywania Shadow IT, a zatem nowe konto na nieznanym adresie URL może natychmiast podnieść alarm. Adresy URL dla ludzi mogą być zwodnicze, ale algorytmy o zimnym sercu wykryją, czy różnią się od domen używanych wcześniej z tymi samymi danymi uwierzytelniającymi. Informacje o wieku domeny publicznej są również natychmiast dostępne, aby skorelować, czy domena została niedawno zarejestrowana.

Na dodatek, fingerprinting haseł (wykorzystujący jednokierunkowe bezpieczne hash’e) pozwala Scirge w ciągu kilku sekund zidentyfikować, które dokładnie konto zostało naruszone. W przypadku, gdy LDAP, AD lub inne poświadczenia o dużym znaczeniu zostały udostępnione w nowej domenie, można natychmiast zresetować hasło i wydać ostrzeżenia dla pracowników.

Wykrywanie ataków phishingowych, którym nie zapobiegły filtry poczty elektronicznej, filtrowanie ruchu sieciowego lub świadomość użytkowników, jest ostatnią linią obrony, która może i powinna być dodana do każdej innej warstwy. Podobnie jak NDR-y, EDR-y i XDR-y poszukujące zagrożonych sieci, Scirge dodaje wykrywanie phishingu do innych istniejących środków zapobiegawczych.

Artykuł powstał na podstawie bloga Scirge.

Apple poinformował pod koniec zeszłego tygodnia o wsparciu dla szyfrowania end-to-end dla iMessage oraz Advanced Data Protection dla iCloud.

Powyższe jest bardzo ciekawe, ponieważ sami używamy ich produktów i cieszymy się, że nasze dane będą jeszcze bardziej chronione 😁

Ale z innego punktu widzenia dajemy Apple dużego plusa – wreszcie będzie można używać kluczy Yubikey do logowania do chmury Apple. Opcja ta będzie dostępna zarówno przez przeglądarkę jak i w systemie operacyjnym iOS (poprzez NFC) czy iPad.

Szczegóły opisał 9TO5Mac.

Passkey jest czymś w rodzaju hasła, elementem dostępu do konta. Jest tworzony na bazie infrastruktury klucza publicznego, dlatego warto się nim zainteresować.

Passkey wykorzystuje poświadczenia WebAuthn/FIDO2, które umożliwia bezhasłowe logowanie się do usług/aplikacji, które to umożliwiają, jak: Gmail, Facebook, Twitter, Microsoft365/Azure Wirtualna Polska, Onet, itp.

Yubico jest współtwórcą FIDO U2F i FIDO2 – protokołów umożliwiających bezpieczne logowanie się, które opiera się phishingowi. Jest też współtwórcą FIDO Aliiance, stowarzyszenia tworzącego i szerzącego bezpieczny sposób logowania.

Standard, który stoi za Passkey, czyli WebAuth/FIDO2, zaczęły wspierać takie firmy, jak Google czy Apple. To ważne, gdyż w oparciu o dowolną z ww. platform, będzie można się uwierzytelnić w usłudze/aplikacji. Dodatkowo, Passkey będzie wspierany w całym ich ekosystemie, czy to Google czy Apple.

Aby lepiej zrozumieć Passkey i ideę, która za nią stoi, firma Yubico stworzyła stronę o Passkey, która w przystępny sposób opisuje, w jakim celu można wykorzystać rozwiązanie. Należy przy tym pamiętać, że Passkey to rozwiązanie darmowe, które może wykorzystać każdy, czy to prywatnie, czy też w organizacji.

Gdzie można użyć Passkey?

Yubikey zabezpieczają Passkey

Łatwo jest myśleć, że Yubikey i Passkey to te same rzeczy, ale zrozumienie różnic jest krytyczne. Od czasu wprowadzenia na rynek Yubikey 5 w 2018 roku, Yubikey mógł tworzyć i przechowywać Passkey, gdzie Passkey nie może być skopiowany lub wyeksportowany. Przechowywanie kluczy dostępu na Twoim Yubikey jest inne niż w przypadku samego Passkey, który są kopiowalny. Klucze dostępu utworzone i zarządzane przez Twoją platformę domyślnie będą przechowywane i synchronizowane z Twoim kontem na platformie. Możliwość synchronizacji kluczy dostępu z kontem w chmurze platformy umożliwia tworzenie kopii zapasowych i odzyskiwanie kluczy, ale istnieją krytyczne kompromisy w zakresie bezpieczeństwa, gdy klucze mogą być kopiowalne.

Jak zweryfikować, czy Twój Passkey działa poprawnie?

Jeśli już stworzyłeś Passkey, ale nie wiesz, czy ono działa, możesz na tej stronie sprawdzić, tworząc tymczasowe konto, (które po 24 godzinach będzie automatycznie usunięte) a logując się za pomocą swojego Passkey.