KOMMENTAR
En av de få informasjonene som virkelig er uforanderlige og potensielt uvurderlige er genetisk informasjon. Vi kan ikke endre genomet vårt i særlig grad. I motsetning til biometriske data, som kan lagres i et hvilket som helst antall forskjellige algoritmiske eller hash-strukturer, kan genetisk informasjon alltid reduseres til enkle sekvenser av aminosyrepar. Marerittscenariet er altså dårlige skuespillere som hacker en genetisk database og får tilgang til de biologiske tegningene til et stort antall mennesker.
Nylig ble det marerittet virkelighet med hack fra gentestingsselskapet 23andMe. Angripere brukte klassisk teknikker for fylling av legitimasjon ulovlig tilgang til 14,000 23 brukerkontoer. Men de stoppet ikke der. På grunn av delingsfunksjoner til XNUMXandMe som gjør det mulig for brukere å dele og lese data fra andre brukere som kan være relatert, klarte hackerne å trekke ut genetiske data fra 6.9 millioner mennesker. Angriperne la ut tilbud på Dark Web for 1 million profiler. 23andMe avslørte ikke den fulle virkningen før en måned etter angrepet.
For å beskytte brukerne ber 23andMe alle brukere umiddelbart endre passordene sine og sikre at de er unike og komplekse. Dette er bra, men utilstrekkelig. Enda viktigere er at selskapet automatisk registrerer eksisterende kunder til tofaktorautentisering for et ekstra lag med sikkerhet. I stedet for å vente på den uunngåelige katastrofale hendelsen, bør hver enkelt programvare-som-en-tjeneste (SaaS)-app gjøre 2FA obligatorisk, og beste praksis bør flyttes fra 2FA til MFA med minst tre tilgjengelige faktorer. Det er nå et spørsmål om offentlig sikkerhet og bør være obligatorisk, akkurat som bilprodusenter må inkludere setebelter og kollisjonsputer i kjøretøyene sine.
Nettverkseffekter multipliserer virkningene av kompromisser
Mange av våre kontoer og SaaS-applikasjoner inkluderer nettverksfunksjoner som øker eksponeringen eksponentielt. Når det gjelder 23andMe, inkluderte eksponerte data informasjon fra DNA-slektningsprofiler (5.5 millioner) og Family Tree-profiler (1.4 millioner) som de 14,000 XNUMX kontobrukerne hadde delt eller gjort tilgjengelige. Denne informasjonen inkluderte steder, visningsnavn, relasjonsetiketter og DNA delt med treff, samt fødselsår og -steder for noen brukere. Mens markedsverdien av DNA-data for hackere fortsatt er uklar, skaper dens unike karakter og uerstattelige natur bekymringer om potensielt misbruk og målretting i fremtiden.
Bytt ut 23andMe med Dropbox, Outlook eller Slack, og du kan enkelt se hvordan et relativt lite antall eksponerte kontoer kan gi data for en hel organisasjon. Tilgang til en Outlook-konto kan gi navn og sosiale forbindelser, sammen med interaksjoner som kan være nyttige for å bygge mer troverdige sosiale ingeniørangrep.
Dette er ikke en liten trussel. Vi ser i økende grad erfarne angripere som leter etter mer svakt bevoktede applikasjoner som har betydelig nettverksinformasjon for å utføre bredere angrep. I følge 2023 IBM X-Force 2023 Threat Intelligence Index41 % av vellykkede angrep brukte phishing og sosial ingeniørkunst som sin primære vektor. For eksempel Okta session token-hendelse så ut til å dra nytte av svakere sikkerhet på kundestøtte- og billettsystemet som et middel til å samle informasjon for phishing-angrep mot kunder. Kostnadene ved disse angrepene øker og kan være svimlende. IBM anslår at gjennomsnittlig brudd koster over 4 millioner dollar og markedsverdien til Okta falt for milliarder av dollar etter å ha kunngjort bruddet.
En lang forsinket løsning: Obligatorisk 2FA for pålogginger
23andMe hacket hamrer hjem en åpenbar sannhet. Brukernavn og passordkombinasjoner er ikke bare iboende usikre, men i hovedsak uforsikrede og en uakseptabel risiko. Selv å anta at et passord alene gir sikkerhet er dumt. I sikkerhets- og andre sertifiseringsprosesser bør ethvert selskap som ikke klarer å aktivere automatisert 2FA-registrering, flagges som risikabelt for å gi nødvendig risikoinformasjon til partnere, investorer, kunder og offentlige organer.
2FA må være obligatorisk og håndheves som inngangsprisen for enhver SaaS-applikasjon – ingen unntak. Noen organisasjoner kan klage over at et slikt mandat vil introdusere ytterligere friksjon og negativt påvirke brukeropplevelsen. Men innovative applikasjonsdesignere har i stor grad løst disse problemene ved å bygge fra første prinsipper under antagelsen om at brukerne deres vil bli pålagt å bruke 2FA. Dessuten har mange ledende organisasjoner som GitHub rullet ut 2FA-mandater, så det mangler ikke på eksempler på hvordan talentfulle UX-team takler utfordringen.
Merkelig nok var de samme påstandene om friksjon og ulemper en gang hovedklagen mot sikkerhetsbeltemandater. I dag er det ingen som blunker, og bilbelter er allment akseptert. På samme måte vil sikkerhetsbelter og kollisjonsputer for SaaS-apper til slutt spare verden for mange milliarder dollar i reduserte tap og økt produktivitet.
Hva med passord? Dessverre er det usannsynlig at de vil treffe kritisk masse i bedriften i årene som kommer. Og passord er enda sikrere når de er paret med MFA. Utfordringen vil derfor ligge på SaaS-produsenter for å forbedre brukervennlighetsspillet og gjøre 2FA og MFA enda enklere å bruke for alle – spesielt sikrere faktorer som biometri, maskinvarenøkler og autentiseringsapper.
Genetiske data er kanarifuglen i SaaS-sikkerhetskullgruven. Etter hvert som flere og flere av livene våre og aktivitetene våre går på nettet, påløper det mer risiko både for bedrifter og forbrukere. Å bygge større sikkerhet i SaaS er et offentlig gode som vil komme alle til gode. Det beste og mest åpenbare trinnet akkurat nå er å kreve 2FA som et grunnleggende sikkerhetsnivå.
- SEO-drevet innhold og PR-distribusjon. Bli forsterket i dag.
- PlatoData.Network Vertical Generative Ai. Styrk deg selv. Tilgang her.
- PlatoAiStream. Web3 Intelligence. Kunnskap forsterket. Tilgang her.
- PlatoESG. Karbon, CleanTech, Energi, Miljø, Solenergi, Avfallshåndtering. Tilgang her.
- PlatoHelse. Bioteknologisk og klinisk etterretning. Tilgang her.
- kilde: https://www.darkreading.com/vulnerabilities-threats/2fa-must-be-mandatory-asap
- :er
- :ikke
- $OPP
- 000
- 1
- 14
- 2023
- 2FA
- 9
- a
- I stand
- Om oss
- akseptert
- adgang
- tilgjengelig
- Logg inn
- kontoer
- Aktiviteter
- aktører
- Ytterligere
- Fordel
- Etter
- mot
- algoritmisk
- alike
- Alle
- alene
- langs
- an
- og
- Kunngjøring
- noen
- app
- Søknad
- søknader
- apps
- ER
- AS
- forutsetningen
- angripe
- Angrep
- Autentisering
- Automatisert
- automatisk
- tilgjengelig
- gjennomsnittlig
- dårlig
- Baseline
- BE
- fordi
- nytte
- BEST
- beste praksis
- milliarder
- biometrisk
- biometri
- fødsel
- organer
- brudd
- bredere
- Bygning
- bedrifter
- men
- by
- kom
- CAN
- evner
- store bokstaver
- bil
- saken
- katastrofal
- sertifisering
- utfordre
- endring
- krav
- Classic
- Kull
- kombinasjoner
- Kom
- Selskapet
- klage
- komplekse
- kompromiss
- bekymringer
- Tilkoblinger
- betydelig
- Forbrukere
- Kostnad
- Kostnader
- kunne
- kritisk
- kunde
- Kundeservice
- Kunder
- mørk
- mørk Web
- dato
- Database
- Grad
- designere
- gJORDE
- gjorde ikke
- forskjellig
- Avsløre
- Vise
- dna
- dollar
- dropbox
- enklere
- lett
- effekter
- muliggjøre
- slutt
- håndheves
- Ingeniørarbeid
- sikre
- Enterprise
- Hele
- entry
- spesielt
- hovedsak
- estimater
- Selv
- Event
- Hver
- alle
- eksempel
- eksempler
- henrette
- eksisterende
- erfaring
- eksponentielt
- utsatt
- Eksponering
- ekstra
- trekke ut
- faktorer
- mislykkes
- familie
- Egenskaper
- Noen få
- Først
- Fix
- flaggede
- Til
- friksjon
- fra
- fullt
- framtid
- spill
- samle
- genetisk
- få
- GitHub
- Go
- god
- Regjeringen
- større
- større sikkerhet
- hack
- hackere
- hacking
- HAD
- Håndtering
- maskinvare
- hashet
- Ha
- hit
- Hjemprodukt
- Hvordan
- HTTPS
- IBM
- ulovlig
- umiddelbart
- uforanderlige
- Påvirkning
- Konsekvenser
- viktig
- in
- inkludere
- inkludert
- Øke
- økt
- stadig
- uunngåelig
- informasjon
- iboende
- innovative
- usikker
- Intelligens
- interaksjoner
- inn
- introdusere
- uvurderlig
- alltid
- Investorer
- er n
- IT
- DET ER
- jpg
- bare
- nøkler
- etiketter
- stor
- i stor grad
- lag
- ledende
- Nivå
- i likhet med
- Bor
- steder
- Lang
- så
- ser
- tap
- laget
- gjøre
- Makers
- Mandat
- mandater
- mandat
- obligatorisk
- Produsenter
- mange
- marked
- markedsverdi
- Mass
- fyrstikker
- Saken
- Kan..
- midler
- MFA
- kunne
- millioner
- minimum
- mindre
- misbruk
- Måned
- mer
- mest
- flyttet
- må
- navn
- Natur
- nødvendig
- negativt
- nettverk
- nettverkseffekter
- Nei.
- nå
- Antall
- tall
- mange
- Åpenbare
- of
- Tilbud
- OKTA
- on
- gang
- ONE
- på nett
- bare
- or
- organisasjon
- organisasjoner
- Annen
- vår
- ut
- Outlook
- enn
- sammen
- par
- partnere
- Passord
- passord
- Ansatte
- phishing
- phishing-angrep
- stykker
- plato
- Platon Data Intelligence
- PlatonData
- postet
- potensiell
- potensielt
- praksis
- pris
- primære
- prinsipper
- problemer
- Prosesser
- produktivitet
- Profiler
- beskytte
- gi
- gir
- offentlig
- heve
- heller
- RE
- Lese
- Redusert
- i slekt
- forholdet
- relativt
- slektninger
- forblir
- påkrevd
- ikke sant
- stiger
- Risiko
- Risikabelt
- Valsede
- s
- SaaS
- Sikkerhet
- samme
- Spar
- erfarne
- scenario
- sikre
- sikkerhet
- se
- se
- Session
- Del
- delt
- deling
- mangel
- bør
- Enkelt
- enkelt
- slakk
- liten
- So
- selskap
- Sosialteknikk
- noen
- Sponset
- svimlende
- stift
- Trinn
- Stopp
- lagret
- strukturer
- vellykket
- slik
- støtte
- system
- Ta
- talentfull
- rettet mot
- lag
- Testing
- enn
- Det
- De
- Fremtiden
- verden
- deres
- deretter
- Der.
- Disse
- de
- denne
- trussel
- tre
- billettsystem
- til
- i dag
- token
- Treet
- sant
- virkelig
- Sannhet
- etter
- dessverre
- unik
- unikhet
- I motsetning til
- usannsynlig
- til
- brukervennlighet
- bruke
- brukt
- nyttig
- Bruker
- Brukererfaring
- Brukere
- ux
- verdi
- Kjøretøy
- vente
- we
- svakere
- web
- VI VIL
- var
- Hva
- når
- hvilken
- mens
- HVEM
- allment
- vil
- med
- verden
- år
- Utbytte
- Du
- zephyrnet