التعليق
واحدة من المعلومات القليلة التي لا يمكن تغييرها حقًا والتي لا تقدر بثمن هي المعلومات الجينية. لا يمكننا تغيير الجينوم لدينا إلى أي درجة كبيرة. على عكس البيانات البيومترية، التي يمكن تخزينها في أي عدد من الهياكل الخوارزمية أو المجزأة المختلفة، يمكن دائمًا اختزال المعلومات الجينية إلى تسلسلات بسيطة من أزواج الأحماض الأمينية. السيناريو الكابوس إذن هو قيام الجهات الفاعلة السيئة باختراق قاعدة البيانات الجينية والوصول إلى المخططات البيولوجية لأعداد كبيرة من الناس.
في الآونة الأخيرة، أصبح هذا الكابوس حقيقة مع اختراق شركة الاختبارات الجينية 23andMe. استخدم المهاجمون الكلاسيكية تقنيات حشو أوراق الاعتماد للوصول بشكل غير قانوني إلى 14,000 حساب مستخدم. لكنهم لم يتوقفوا عند هذا الحد. بسبب ميزات المشاركة في 23andMe التي تمكن المستخدمين من مشاركة وقراءة بيانات المستخدمين الآخرين الذين قد يكونون على صلة، تمكن المتسللون من استخراج البيانات الجينية من 6.9 مليون شخص. نشر المهاجمون عروضًا على شبكة الويب المظلمة لمليون ملف شخصي. ولم تكشف شركة 1andMe عن التأثير الكامل إلا بعد مرور شهر على الهجوم.
لحماية المستخدمين، تطالب 23andMe جميع المستخدمين بتغيير كلمات المرور الخاصة بهم على الفور والتأكد من أنها فريدة ومعقدة. وهذا أمر جيد ولكنه غير كاف. والأهم من ذلك، أن الشركة تقوم تلقائيًا بتسجيل العملاء الحاليين في المصادقة الثنائية لتوفير طبقة إضافية من الأمان. بدلاً من انتظار الحدث الكارثي الذي لا مفر منه، يجب على كل تطبيق برمجي كخدمة (SaaS) أن يجعل المصادقة الثنائية إلزامية ويجب نقل أفضل الممارسات من المصادقة الثنائية إلى المصادقة المتعددة العوامل مع توفر ثلاثة عوامل على الأقل. لقد أصبحت الآن مسألة تتعلق بالسلامة العامة ويجب أن تكون إلزامية، تمامًا كما يجب على مصنعي السيارات تضمين أحزمة الأمان والوسائد الهوائية في سياراتهم.
تأثيرات الشبكة تضاعف تأثيرات التسوية
تشتمل العديد من حساباتنا وتطبيقات SaaS على إمكانات شبكية تزيد من التعرض بشكل كبير. في حالة شركة 23andMe، تضمنت البيانات المكشوفة معلومات من ملفات تعريف DNA Relatives (5.5 مليون) وملفات تعريف شجرة العائلة (1.4 مليون) التي شاركها مستخدمو الحساب البالغ عددهم 14,000 أو جعلوها متاحة. تضمنت هذه المعلومات المواقع، وأسماء العرض، وتسميات العلاقات، والحمض النووي المشترك مع المطابقات، بالإضافة إلى سنوات الميلاد والمواقع لبعض المستخدمين. وفي حين أن القيمة السوقية لبيانات الحمض النووي بالنسبة للقراصنة لا تزال غير واضحة، فإن تفردها وطبيعتها التي لا يمكن تعويضها تثير مخاوف بشأن احتمال إساءة استخدامها واستهدافها في المستقبل.
استبدل 23andMe بـ Dropbox أو Outlook أو Slack، ويمكنك أن ترى بسهولة كيف يمكن لعدد صغير نسبيًا من الحسابات المكشوفة أن ينتج بيانات لمؤسسة بأكملها. قد يؤدي الوصول إلى حساب Outlook إلى الحصول على الأسماء والاتصالات الاجتماعية، إلى جانب التفاعلات التي قد تكون مفيدة لبناء هجمات هندسة اجتماعية أكثر تصديقًا.
وهذا ليس تهديدا طفيفا. إننا نشهد بشكل متزايد مهاجمين أذكياء يبحثون عن تطبيقات ذات حراسة ضعيفة تحتوي على قدر كبير من المعلومات المتصلة بالشبكة لتنفيذ هجمات أوسع نطاقًا. وفقًا لمؤشر IBM X-Force 2023 لذكاء التهديدات لعام 2023، 41% من الهجمات الناجحة استخدمت التصيد والهندسة الاجتماعية كناقل أساسي لها. على سبيل المثال، حادثة الرمز المميز لجلسة Okta سعت إلى الاستفادة من ضعف الأمان في نظام دعم العملاء وإصدار التذاكر كوسيلة لجمع المعلومات لهجمات التصيد الاحتيالي ضد العملاء. تكاليف هذه الهجمات آخذة في الارتفاع ويمكن أن تكون مذهلة. وتقدر شركة IBM أن متوسط تكلفة الاختراق يزيد عن 4 ملايين دولار و وانخفضت القيمة السوقية لشركة Okta بمليارات الدولارات بعد الإعلان عن الاختراق.
إصلاح طال انتظاره: 2FA إلزامي لتسجيلات الدخول
يسلط اختراق 23andMe الضوء على حقيقة واضحة. مجموعات اسم المستخدم وكلمة المرور ليست فقط غير آمنة بطبيعتها ولكنها في الأساس غير قابلة للتأمين وتشكل خطراً غير مقبول. وحتى الافتراض بأن كلمة المرور وحدها توفر الأمان هو أمر أحمق. في عمليات الأمان وعمليات إصدار الشهادات الأخرى، يجب وضع علامة على أي شركة تفشل في تمكين تسجيل المصادقة الثنائية الآلي على أنها شركة محفوفة بالمخاطر لتوفير معلومات المخاطر اللازمة للشركاء والمستثمرين والعملاء والهيئات الحكومية.
يجب أن تكون المصادقة الثنائية (2FA) إلزامية ومنفذة باعتبارها سعر الدخول لأي تطبيق SaaS - بدون استثناءات. قد تشكو بعض المنظمات من أن مثل هذا التفويض سيؤدي إلى احتكاك إضافي ويؤثر سلبًا على تجربة المستخدم. لكن مصممي التطبيقات المبتكرة قاموا بحل هذه المشكلات إلى حد كبير من خلال البناء على المبادئ الأولى على افتراض أنه سيُطلب من مستخدميهم استخدام المصادقة الثنائية. علاوة على ذلك، قامت العديد من المنظمات الرائدة مثل GitHub بطرح تفويضات المصادقة الثنائية، لذلك لا يوجد نقص في الأمثلة حول كيفية تعامل فرق تجربة المستخدم الموهوبة مع هذا التحدي.
ومن الغريب أن نفس الادعاءات المتعلقة بالاحتكاك والإزعاج كانت ذات يوم الشكوى الأساسية ضد تفويضات ربط حزام الأمان. اليوم، لا أحد يرمش، وأحزمة الأمان مقبولة على نطاق واسع. وفي نفس السياق، فإن أحزمة الأمان والوسائد الهوائية لتطبيقات SaaS ستوفر في النهاية للعالم عدة مليارات من الدولارات من خلال تقليل الخسائر وزيادة الإنتاجية.
ماذا عن مفاتيح المرور؟ ولسوء الحظ، من غير المرجح أن يصلوا إلى الكتلة الحرجة في المؤسسة لسنوات قادمة. وتكون مفاتيح المرور أكثر أمانًا عند إقرانها بـ MFA. سيكون التحدي إذن هو أن يقوم صانعو SaaS بتعزيز لعبة قابلية الاستخدام الخاصة بهم وجعل استخدام 2FA وMFA أسهل للجميع - وخاصة العوامل الأكثر أمانًا مثل القياسات الحيوية ومفاتيح الأجهزة وتطبيقات المصادقة.
البيانات الجينية هي بمثابة الكناري في منجم الفحم الأمني SaaS. مع تحول المزيد والمزيد من حياتنا وأنشطتنا عبر الإنترنت، تتراكم المزيد من المخاطر على الشركات والمستهلكين على حد سواء. يعد بناء قدر أكبر من الأمان في SaaS منفعة عامة من شأنها أن تعود بالنفع على الجميع. الخطوة الأفضل والأكثر وضوحًا الآن هي تفويض المصادقة الثنائية (2FA) كمستوى أساسي من الأمان.
- محتوى مدعوم من تحسين محركات البحث وتوزيع العلاقات العامة. تضخيم اليوم.
- PlatoData.Network Vertical Generative Ai. تمكين نفسك. الوصول هنا.
- أفلاطونايستريم. ذكاء Web3. تضخيم المعرفة. الوصول هنا.
- أفلاطون كربون، كلينتك ، الطاقة، بيئة، شمسي، إدارة المخلفات. الوصول هنا.
- أفلاطون هيلث. التكنولوجيا الحيوية وذكاء التجارب السريرية. الوصول هنا.
- المصدر https://www.darkreading.com/vulnerabilities-threats/2fa-must-be-mandatory-asap
- :يكون
- :ليس
- $ UP
- 000
- 1
- 14
- 2023
- 2FA
- 9
- a
- ماهرون
- حول المستشفى
- مقبول
- الوصول
- يمكن الوصول
- حسابي
- الحسابات
- أنشطة
- الجهات الفاعلة
- إضافي
- مميزات
- بعد
- ضد
- خوارزمية
- سواء
- الكل
- وحده
- على طول
- an
- و
- اعلان
- أي وقت
- التطبيق
- تطبيق
- التطبيقات
- التطبيقات
- هي
- AS
- افتراض
- مهاجمة
- الهجمات
- التحقّق من المُستخدم
- الآلي
- تلقائيا
- متاح
- المتوسط
- سيئة
- خط الأساس
- BE
- لان
- تستفيد
- أفضل
- أفضل الممارسات
- المليارات
- بصمات
- القياسات الحيوية
- الولادة
- الهيئات
- خرق
- أوسع
- ابني
- الأعمال
- لكن
- by
- أتى
- CAN
- قدرات
- رسملة
- سيارة
- حقيبة
- كارثية
- الشهادات
- تحدى
- تغيير
- مطالبات
- كلاسيكي
- فحم
- تركيبات
- تأتي
- حول الشركة
- شكوى
- مجمع
- حل وسط
- اهتمامات
- التواصل
- كبير
- المستهلكين
- التكلفة
- التكاليف
- استطاع
- حرج
- زبون
- دعم العملاء
- العملاء
- غامق
- الويب المظلم
- البيانات
- قاعدة البيانات
- الدرجة العلمية
- المصممين
- فعل
- ديدن
- مختلف
- كشف
- العرض
- الحمض النووي
- دولار
- Dropbox
- أسهل
- بسهولة
- الآثار
- تمكين
- النهاية
- فرض
- الهندسة
- ضمان
- مشروع
- كامل
- دخول
- خاصة
- أساسيا
- تقديرات
- حتى
- الحدث/الفعالية
- كل
- كل شخص
- مثال
- أمثلة
- تنفيذ
- القائمة
- الخبره في مجال الغطس
- أضعافا مضاعفة
- مكشوف
- تعرض
- احتفل على
- استخراج
- العوامل
- فشل
- للعائلات
- المميزات
- قليل
- الاسم الأول
- حل
- مرصوف
- في حالة
- احتكاك
- تبدأ من
- بالإضافة إلى
- مستقبل
- لعبة
- جمع
- وراثية
- الحصول على
- GitHub جيثب:
- Go
- خير
- حكومة
- أكبر
- مزيد من الأمن
- الإختراق
- قراصنة
- القرصنة
- كان
- معالجة
- أجهزة التبخير
- المجزأة
- يملك
- ضرب
- الصفحة الرئيسية
- كيفية
- HTTPS
- IBM
- بشكل غير قانوني
- فورا
- غير قابل للتغيير
- التأثير
- الآثار
- أهمية
- in
- تتضمن
- شامل
- القيمة الاسمية
- زيادة
- على نحو متزايد
- لا مفر منه
- معلومات
- متأصل
- مبتكرة
- غير آمن
- رؤيتنا
- التفاعلات
- إلى
- تقديم
- نفيس
- بثبات
- المستثمرين
- يسن
- IT
- انها
- JPG
- م
- مفاتيح
- ملصقات
- كبير
- إلى حد كبير
- طبقة
- قيادة
- مستوى
- مثل
- حياة
- المواقع
- طويل
- بدا
- أبحث
- خسائر
- صنع
- جعل
- صناع
- تفويض
- ولايات
- تكليف
- إلزامي
- الشركات المصنعة
- كثير
- تجارة
- القيمة السوقية
- كتلة
- اعواد الثقاب
- أمر
- مايو..
- يعني
- MFA
- ربما
- مليون
- الحد الأدنى
- قاصر
- سوء استخدام
- شهر
- الأكثر من ذلك
- أكثر
- انتقل
- يجب
- أسماء
- الطبيعة
- ضروري
- سلبا
- شبكة
- آثار الشبكة
- لا
- الآن
- عدد
- أرقام
- كثير
- واضح
- of
- عروض
- أوكتا
- on
- مرة
- ONE
- online
- فقط
- or
- منظمة
- المنظمات
- أخرى
- لنا
- خارج
- بريد اوتلوك
- على مدى
- يقترن
- أزواج
- شركاء
- كلمة المرور
- كلمات السر
- مجتمع
- التصيد
- هجمات التصيد
- قطعة
- أفلاطون
- الذكاء افلاطون البيانات
- أفلاطون داتا
- نشر
- محتمل
- يحتمل
- الممارسات
- السعر
- ابتدائي
- مبادئ
- مشاكل
- العمليات
- إنتاجية
- ملامح
- حماية
- تزود
- ويوفر
- جمهور
- رفع
- بدلا
- RE
- عرض
- عقار مخفض
- ذات صلة
- صلة
- نسبيا
- الأقارب
- بقايا
- مطلوب
- حق
- ارتفاع
- المخاطرة
- محفوف بالمخاطر
- توالت
- s
- ادارة العلاقات مع
- السلامة
- نفسه
- حفظ
- ذكاء
- سيناريو
- تأمين
- أمن
- انظر تعريف
- رؤية
- الجلسة
- مشاركة
- شاركت
- مشاركة
- نقص
- ينبغي
- الاشارات
- عزباء
- تثاقل
- صغير
- So
- العدالة
- هندسة اجتماعية
- بعض
- المدعومة
- صاعق
- أساسي
- خطوة
- قلة النوم
- تخزين
- الهياكل
- ناجح
- هذه
- الدعم
- نظام
- أخذ
- موهوب
- استهداف
- فريق
- الاختبار
- من
- أن
- •
- المستقبل
- العالم
- من مشاركة
- then
- هناك.
- تشبه
- هم
- التهديد
- ثلاثة
- التذاكر
- إلى
- اليوم
- رمز
- شجرة
- صحيح
- حقا
- حقيقة
- مع
- لسوء الحظ
- فريد من نوعه
- تميز
- مختلف
- من غير المحتمل
- حتى
- قابليتها للاستخدام
- تستخدم
- مستعمل
- مفيد
- مستخدم
- تجربة المستخدم
- المستخدمين
- ux
- قيمنا
- السيارات
- انتظر
- we
- أضعف
- الويب
- حسن
- كان
- ابحث عن
- متى
- التي
- في حين
- من الذى
- على نحو واسع
- سوف
- مع
- العالم
- سنوات
- التوزيعات للسهم الواحد
- أنت
- زفيرنت