KOMMENTAR
En af de få informationer, der virkelig er uforanderlige og potentielt uvurderlige, er genetisk information. Vi kan ikke ændre vores genom i nogen større grad. I modsætning til biometriske data, som kan lagres i et hvilket som helst antal forskellige algoritmiske eller hash-strukturer, kan genetisk information uvægerligt reduceres til simple sekvenser af aminosyrepar. Mareridtsscenariet er altså dårlige skuespillere, der hacker en genetisk database og får adgang til de biologiske tegninger til et stort antal mennesker.
For nylig gik det mareridt i opfyldelse med hack fra gentestfirmaet 23andMe. Angribere brugte klassisk teknikker til udfyldning af legitimationsoplysninger ulovligt at få adgang til 14,000 brugerkonti. Men de stoppede ikke der. På grund af delingsfunktioner i 23andMe, der gør det muligt for brugere at dele og læse data fra andre brugere, der kan være relateret, var hackerne i stand til at udtrække genetiske data fra 6.9 millioner mennesker. Angriberne postede tilbud på Dark Web for 1 million profiler. 23andMe afslørede ikke den fulde virkning før en måned efter angrebet.
For at beskytte brugerne beder 23andMe alle brugere om straks at ændre deres adgangskoder og sikre, at de er unikke og komplekse. Dette er godt, men utilstrækkeligt. Endnu vigtigere er det, at virksomheden automatisk tilmelder eksisterende kunder til to-faktor-autentificering for et ekstra lag af sikkerhed. I stedet for at vente på den uundgåelige katastrofale begivenhed, bør hver enkelt software-as-a-service (SaaS) app gøre 2FA obligatorisk, og bedste praksis bør flyttes fra 2FA til MFA med mindst tre tilgængelige faktorer. Det er nu et spørgsmål om offentlig sikkerhed og bør være obligatorisk, ligesom bilproducenter skal inkludere sikkerhedsseler og airbags i deres køretøjer.
Netværkseffekter multiplicerer virkningerne af kompromis
Mange af vores konti og SaaS-applikationer inkluderer netværksfunktioner, der øger eksponeringen eksponentielt. I tilfældet med 23andMe omfattede afslørede data oplysninger fra DNA-slægtninge-profiler (5.5 millioner) og Family Tree-profiler (1.4 millioner), som de 14,000 kontobrugere havde delt eller gjort tilgængelige. Disse oplysninger omfattede lokationer, visningsnavne, forholdsetiketter og DNA delt med matches, samt fødselsår og -steder for nogle brugere. Mens markedsværdien af DNA-data for hackere forbliver uklar, vækker dets unikke karakter og uerstattelige karakter bekymringer om potentielt misbrug og målretning i fremtiden.
Erstat 23andMe med Dropbox, Outlook eller Slack, og du kan nemt se, hvordan et relativt lille antal eksponerede konti kan give data til en hel organisation. Adgang til en Outlook-konto kan give navne og sociale forbindelser sammen med interaktioner, der kan være nyttige til at opbygge mere troværdige social engineering-angreb.
Dette er ikke en mindre trussel. Vi ser i stigende grad kyndige angribere, der leder efter mere svagt beskyttede applikationer, der har betydelig netværksinformation til at udføre bredere angreb. Ifølge 2023 IBM X-Force 2023 Threat Intelligence Index41 % af vellykkede angreb brugte phishing og social engineering som deres primære vektor. For eksempel Okta session token hændelse søgte at drage fordel af svagere sikkerhed på deres kundesupport og billetsystem som et middel til at indsamle oplysninger til phishing-angreb mod kunder. Omkostningerne ved disse angreb stiger og kan være svimlende. IBM anslår, at det gennemsnitlige brud koster over 4 millioner dollars og Markedsværdien af Okta styrtdykkede for milliarder af dollars efter at have annonceret bruddet.
En lang forsinket rettelse: Obligatorisk 2FA for logins
23andMe-hacket hamrer en åbenlys sandhed hjem. Brugernavn og adgangskodekombinationer er ikke kun iboende usikre, men i det væsentlige uforsikrelige og en uacceptabel risiko. Selv at antage, at en adgangskode alene giver sikkerhed, er tåbeligt. I sikkerheds- og andre certificeringsprocesser bør enhver virksomhed, der undlader at aktivere automatiseret 2FA-tilmelding, markeres som risikabel for at give de nødvendige risikooplysninger til partnere, investorer, kunder og offentlige organer.
2FA skal være obligatorisk og håndhæves som adgangsprisen for enhver SaaS-applikation - ingen undtagelser. Nogle organisationer klager måske over, at et sådant mandat vil introducere yderligere friktion og have en negativ indvirkning på brugeroplevelsen. Men innovative applikationsdesignere har stort set løst disse problemer ved at bygge ud fra de første principper under den antagelse, at deres brugere skal bruge 2FA. Derudover har adskillige førende organisationer som GitHub udrullet 2FA-mandater, så der er ingen mangel på eksempler på, hvordan talentfulde UX-teams håndterer udfordringen.
Mærkeligt nok var de samme påstande om friktion og besvær engang den vigtigste klage over sikkerhedsselemandater. I dag er der ingen, der blinker, og sikkerhedsseler er bredt accepteret. På samme måde vil sikkerhedsseler og airbags til SaaS-apps i sidste ende spare verden for mange milliarder dollars i reducerede tab og øget produktivitet.
Hvad med adgangsnøgler? Desværre er det usandsynligt, at de vil ramme kritisk masse i virksomheden i de kommende år. Og adgangsnøgler er endnu mere sikre, når de er parret med MFA. Udfordringen vil derfor være på SaaS-producenter for at forbedre deres brugervenlighedsspil og gøre 2FA og MFA endnu nemmere for alle at bruge - især mere sikre faktorer såsom biometri, hardwarenøgler og autentificeringsapps.
Genetiske data er kanariefuglen i SaaS-sikkerhedskulminen. Efterhånden som flere og flere af vores liv og aktiviteter går online, tilfalder både virksomheder og forbrugere flere risici. At bygge større sikkerhed i SaaS er et offentligt gode, som vil gavne alle. Det bedste og mest oplagte skridt lige nu er at pålægge 2FA som et grundlæggende sikkerhedsniveau.
- SEO Powered Content & PR Distribution. Bliv forstærket i dag.
- PlatoData.Network Vertical Generative Ai. Styrk dig selv. Adgang her.
- PlatoAiStream. Web3 intelligens. Viden forstærket. Adgang her.
- PlatoESG. Kulstof, CleanTech, Energi, Miljø, Solenergi, Affaldshåndtering. Adgang her.
- PlatoHealth. Bioteknologiske og kliniske forsøgs intelligens. Adgang her.
- Kilde: https://www.darkreading.com/vulnerabilities-threats/2fa-must-be-mandatory-asap
- :er
- :ikke
- $OP
- 000
- 1
- 14
- 2023
- 2FA
- 9
- a
- I stand
- Om
- accepteret
- adgang
- tilgængelig
- Konto
- Konti
- aktiviteter
- aktører
- Yderligere
- Fordel
- Efter
- mod
- algoritmisk
- ens
- Alle
- alene
- sammen
- an
- ,
- Annoncerer
- enhver
- app
- Anvendelse
- applikationer
- apps
- ER
- AS
- antagelse
- angribe
- Angreb
- Godkendelse
- Automatiseret
- automatisk
- til rådighed
- gennemsnit
- Bad
- Baseline
- BE
- fordi
- gavner det dig
- BEDSTE
- bedste praksis
- milliarder
- biometrisk
- biometri
- fødsel
- organer
- brud
- bredere
- Bygning
- virksomheder
- men
- by
- kom
- CAN
- kapaciteter
- kapitalisering
- bil
- tilfælde
- katastrofale
- Certificering
- udfordre
- lave om
- fordringer
- Classic
- Kul
- kombinationer
- Kom
- selskab
- klage
- komplekse
- kompromis
- Bekymringer
- Tilslutninger
- betydelig
- Forbrugere
- Koste
- Omkostninger
- kunne
- kritisk
- kunde
- Kunde support
- Kunder
- mørk
- Mørk Web
- data
- Database
- Degree
- designere
- DID
- gjorde ikke
- forskellige
- offentliggøre
- Skærm
- dna
- dollars
- Dropbox
- lettere
- nemt
- effekter
- muliggøre
- ende
- håndhæves
- Engineering
- sikre
- Enterprise
- Hele
- indrejse
- især
- væsentlige
- skøn
- Endog
- begivenhed
- Hver
- alle
- eksempel
- eksempler
- udføre
- eksisterende
- erfaring
- eksponentielt
- udsat
- Eksponering
- ekstra
- ekstrakt
- faktorer
- mislykkes
- familie
- Funktionalitet
- få
- Fornavn
- Fix
- Markeret
- Til
- friktion
- fra
- fuld
- fremtiden
- spil
- samle
- genetiske
- få
- GitHub
- Go
- godt
- Regering
- større
- større sikkerhed
- hack
- hackere
- hacking
- havde
- Håndtering
- Hardware
- hash'et
- Have
- Hit
- Home
- Hvordan
- HTTPS
- IBM
- ulovligt
- straks
- uforanderlige
- KIMOs Succeshistorier
- Påvirkninger
- vigtigt
- in
- omfatter
- medtaget
- Forøg
- øget
- stigende
- uundgåelige
- oplysninger
- sagens natur
- innovativ
- usikker
- Intelligens
- interaktioner
- ind
- indføre
- uvurderlig
- uvægerligt
- Investorer
- isn
- IT
- ITS
- jpg
- lige
- nøgler
- Etiketter
- stor
- vid udstrækning
- lag
- førende
- Niveau
- ligesom
- Lives
- placeringer
- Lang
- kiggede
- leder
- tab
- lavet
- lave
- Makers
- Mandat
- mandater
- mandat
- obligatorisk
- Producenter
- mange
- Marked
- markedsværdi
- Masse
- tændstikker
- Matter
- Kan..
- midler
- MFA
- måske
- million
- minimum
- mindre
- misbruge
- Måned
- mere
- mest
- flyttet
- skal
- navne
- Natur
- nødvendig
- negativt
- netværk
- netværkseffekter
- ingen
- nu
- nummer
- numre
- talrige
- Obvious
- of
- Tilbud
- Okta
- on
- engang
- ONE
- online
- kun
- or
- organisation
- organisationer
- Andet
- vores
- ud
- Outlook
- i løbet af
- parret
- par
- partnere
- Adgangskode
- Nulstilling/ændring af adgangskoder
- Mennesker
- Phishing
- phishing-angreb
- stykker
- plato
- Platon Data Intelligence
- PlatoData
- indsendt
- potentiale
- potentielt
- praksis
- pris
- primære
- principper
- problemer
- Processer
- produktivitet
- Profiler
- beskytte
- give
- giver
- offentlige
- rejse
- hellere
- RE
- Læs
- Reduceret
- relaterede
- forhold
- relativt
- slægtninge
- resterne
- påkrævet
- højre
- stigende
- Risiko
- Risikabel
- Rullet
- s
- SaaS
- Sikkerhed
- samme
- Gem
- kyndige
- scenarie
- sikker
- sikkerhed
- se
- se
- Session
- Del
- delt
- deling
- mangel
- bør
- Simpelt
- enkelt
- slæk
- lille
- So
- Social
- Samfundsteknologi
- nogle
- Sponsoreret
- svimlende
- hæftning
- Trin
- Stands
- opbevaret
- strukturer
- vellykket
- sådan
- support
- systemet
- Tag
- talentfuld
- rettet mod
- hold
- Test
- end
- at
- Fremtiden
- verdenen
- deres
- derefter
- Der.
- Disse
- de
- denne
- trussel
- tre
- billettering
- til
- i dag
- token
- træ
- sand
- virkelig
- Sandheden
- under
- desværre
- enestående
- entydighed
- I modsætning til
- usandsynligt
- indtil
- usability
- brug
- anvendte
- nyttigt
- Bruger
- Brugererfaring
- brugere
- ux
- værdi
- Køretøjer
- vente
- we
- svagere
- web
- GODT
- var
- Hvad
- hvornår
- som
- mens
- WHO
- bredt
- vilje
- med
- world
- år
- Udbytte
- Du
- zephyrnet