COMENTARIU
Una dintre puținele informații care sunt cu adevărat imuabile și potențial neprețuite este informația genetică. Nu ne putem schimba genomul într-o măsură mare. Spre deosebire de datele biometrice, care pot fi stocate în orice număr de structuri algoritmice sau hashed, informațiile genetice pot fi invariabil reduse la secvențe simple de perechi de aminoacizi. Scenariul de coșmar, deci, este ca actorii răi să pirateze o bază de date genetică și să obțină acces la modelele biologice unui număr mare de oameni.
Recent, acel coșmar s-a împlinit cu piratare a companiei de testare genetică 23andMe. Atacatorii au folosit clasic tehnici de umplere a acreditărilor pentru a accesa ilegal 14,000 de conturi de utilizator. Dar nu s-au oprit aici. Datorită funcțiilor de partajare ale 23andMe care permit utilizatorilor să partajeze și să citească datele altor utilizatori care ar putea fi înrudiți, hackerii au putut extrage date genetice de la 6.9 milioane de oameni. Atacatorii au postat oferte pe Dark Web pentru 1 milion de profiluri. 23andMe nu a dezvăluit întregul impact decât la o lună după atac.
Pentru a proteja utilizatorii, 23andMe solicită tuturor utilizatorilor să-și schimbe imediat parolele și să se asigure că sunt unice și complexe. Acest lucru este bun, dar insuficient. Mai important, compania înscrie automat clienții existenți în autentificarea cu doi factori pentru un nivel suplimentar de securitate. În loc să aștepte inevitabilul eveniment catastrofal, fiecare aplicație software-as-a-service (SaaS) ar trebui să facă obligatorie 2FA, iar cele mai bune practici ar trebui mutate de la 2FA la MFA, cu minimum trei factori disponibili. Acum este o chestiune de siguranță publică și ar trebui să fie obligatorie, la fel cum producătorii de mașini trebuie să includă centurile de siguranță și airbag-urile în vehiculele lor.
Efectele de rețea multiplica impactul compromisului
Multe dintre conturile noastre și aplicațiile SaaS includ capabilități de rețea care măresc expunerea exponențial. În cazul 23andMe, datele expuse au inclus informații din profilurile DNA Relatives (5.5 milioane) și profiluri Family Tree (1.4 milioane) pe care cei 14,000 de utilizatori de cont le-au partajat sau le-au făcut accesibile. Aceste informații au inclus locații, nume afișate, etichete de relații și ADN partajat cu potriviri, precum și ani de naștere și locații pentru unii utilizatori. În timp ce valoarea de piață a datelor ADN pentru hackeri rămâne neclară, unicitatea și natura sa de neînlocuit ridică îngrijorări cu privire la potențiala utilizare greșită și țintire în viitor.
Înlocuiți 23andMe cu Dropbox, Outlook sau Slack și puteți vedea cu ușurință cum un număr relativ mic de conturi expuse poate furniza date pentru o întreagă organizație. Accesul la un cont Outlook poate genera numele și conexiunile sociale, împreună cu interacțiuni care ar putea fi utile pentru crearea unor atacuri de inginerie socială mai credibile.
Aceasta nu este o amenințare minoră. Vedem din ce în ce mai mulți atacatori pricepuți care caută aplicații mai slab păzite, care au informații considerabile în rețea pentru a executa atacuri mai ample. Conform indexului IBM X-Force 2023 Threat Intelligence 2023, 41% dintre atacurile de succes au folosit phishingul și ingineria socială ca vector principal. De exemplu, cel Incident cu simbolul de sesiune Okta a căutat să profite de securitatea mai slabă a sistemului său de asistență pentru clienți și de ticketing ca mijloc de a colecta informații pentru atacurile de phishing împotriva clienților. Costurile acestor atacuri sunt în creștere și pot fi uluitoare. IBM estimează că costul mediu de încălcare este de peste 4 milioane de dolari si capitalizarea bursieră a Okta a scăzut în miliarde de dolari după anunţarea încălcării.
O remediere întârziată: 2FA obligatoriu pentru autentificare
Hackul 23andMe scoate la iveală un adevăr evident. Combinațiile de nume de utilizator și parolă nu sunt doar în mod inerent nesigure, ci în esență neasigurabile și un risc inacceptabil. Chiar și să presupunem că doar o parolă oferă securitate este o prostie. În procesele de securitate și alte procese de certificare, orice companie care nu reușește să activeze înregistrarea automată 2FA ar trebui semnalată ca riscantă pentru a furniza informațiile necesare despre risc partenerilor, investitorilor, clienților și organismelor guvernamentale.
2FA trebuie să fie obligatoriu și aplicat ca preț de intrare pentru orice aplicație SaaS - fără excepții. Unele organizații s-ar putea plânge că un astfel de mandat va introduce fricțiuni suplimentare și va avea un impact negativ asupra experienței utilizatorului. Dar designerii inovatori de aplicații au rezolvat în mare măsură aceste probleme, construind de la primele principii, presupunând că utilizatorii lor vor trebui să folosească 2FA. În plus, numeroase organizații de top, cum ar fi GitHub, au lansat mandate 2FA, așa că nu lipsesc exemplele despre modul în care echipele UX talentate fac față provocării.
În mod curios, aceleași pretenții de frecare și inconveniente au fost cândva plângerea de bază împotriva mandatelor centurii de siguranță. Astăzi, nimeni nu clipește, iar centurile de siguranță sunt larg acceptate. În același sens, centurile de siguranță și airbag-urile pentru aplicațiile SaaS vor economisi, în cele din urmă, lumea multe miliarde de dolari în pierderi reduse și productivitate crescută.
Dar cheile de acces? Din păcate, este puțin probabil ca aceștia să atingă masa critică în întreprinderi în anii următori. Și cheile de acces sunt și mai sigure atunci când sunt asociate cu MFA. Provocarea, așadar, va fi pentru producătorii de SaaS să-și îmbunătățească jocul de utilizare și să facă 2FA și MFA și mai ușor de utilizat pentru toată lumea – în special factorii mai siguri, cum ar fi biometria, cheile hardware și aplicațiile de autentificare.
Datele genetice sunt canarul din mina de cărbune de securitate SaaS. Pe măsură ce din ce în ce mai multe dintre viețile și activitățile noastre sunt online, mai multe riscuri apar atât pentru companii, cât și pentru consumatori. Construirea unei mai mari securități în SaaS este un bun public care va aduce beneficii tuturor. Cel mai bun și mai evident pas în acest moment este obligarea 2FA ca nivel de bază de securitate.
- Distribuție de conținut bazat pe SEO și PR. Amplifică-te astăzi.
- PlatoData.Network Vertical Generative Ai. Împuterniciți-vă. Accesați Aici.
- PlatoAiStream. Web3 Intelligence. Cunoștințe amplificate. Accesați Aici.
- PlatoESG. carbon, CleanTech, Energie, Mediu inconjurator, Solar, Managementul deșeurilor. Accesați Aici.
- PlatoHealth. Biotehnologie și Inteligență pentru studii clinice. Accesați Aici.
- Sursa: https://www.darkreading.com/vulnerabilities-threats/2fa-must-be-mandatory-asap
- :este
- :nu
- $UP
- 000
- 1
- 14
- 2023
- 2FA
- 9
- a
- Capabil
- Despre Noi
- admis
- acces
- accesibil
- Cont
- Conturi
- activităţi de
- actori
- Suplimentar
- Avantaj
- După
- împotriva
- algoritmică
- deopotrivă
- TOATE
- singur
- de-a lungul
- an
- și
- anunțare
- Orice
- aplicaţia
- aplicație
- aplicatii
- Apps
- SUNT
- AS
- presupunere
- ataca
- Atacuri
- Autentificare
- Automata
- în mod automat
- disponibil
- in medie
- Rău
- De bază
- BE
- deoarece
- beneficia
- CEL MAI BUN
- Cele mai bune practici
- miliarde
- biometrice
- date biometrice
- naştere
- organisme
- încălcarea
- mai larg
- Clădire
- întreprinderi
- dar
- by
- a venit
- CAN
- capacități
- capitalizare
- mașină
- caz
- catastrofic
- Certificare
- contesta
- Schimbare
- creanțe
- clasic
- Cărbune
- combinaţii
- cum
- companie
- plângere
- complex
- compromis
- preocupările
- Conexiuni
- considerabil
- Consumatorii
- A costat
- Cheltuieli
- ar putea
- critic
- client
- Relații Clienți
- clienţii care
- Întuneric
- Web întunecat
- de date
- Baza de date
- Grad
- Designerii
- FĂCUT
- nu
- diferit
- dezvălui
- Afişa
- ADN-ul
- de dolari
- dropbox
- mai ușor
- cu ușurință
- efecte
- permite
- capăt
- executată
- Inginerie
- asigura
- Afacere
- Întreg
- intrare
- mai ales
- În esență,
- estimări
- Chiar
- eveniment
- Fiecare
- toată lumea
- exemplu
- exemple
- a executa
- existent
- experienţă
- exponențial
- expus
- Expunere
- suplimentar
- extrage
- factori
- eșuează
- familie
- DESCRIERE
- puțini
- First
- Repara
- fanionat
- Pentru
- frecare
- din
- Complet
- viitor
- joc
- aduna
- genetic
- obtinerea
- GitHub
- Go
- bine
- Guvern
- mai mare
- o mai mare securitate
- hack
- hackeri
- hacking
- HAD
- Manipularea
- Piese metalice
- hash
- Avea
- Lovit
- Acasă
- Cum
- HTTPS
- IBM
- mod ilegal
- imediat
- imuabil
- Impactul
- Impacturi
- important
- in
- include
- inclus
- Crește
- a crescut
- tot mai mult
- inevitabil
- informații
- în mod inerent
- inovatoare
- nesigur
- Inteligență
- interacţiuni
- în
- introduce
- neprețuit
- invariabil
- Investitori
- ISN
- IT
- ESTE
- jpg
- doar
- chei
- etichete
- mare
- în mare măsură
- strat
- conducere
- Nivel
- ca
- Locuiește
- Locații
- Lung
- uitat
- cautati
- pierderi
- făcut
- face
- factorii de decizie
- Mandat
- mandate
- mandatarea
- obligatoriu
- Producătorii
- multe
- Piață
- valoare de piață
- Masa
- meciuri
- materie
- Mai..
- mijloace
- AMF
- ar putea
- milion
- minim
- minor
- folosire greșită
- Lună
- mai mult
- cele mai multe
- mutat
- trebuie sa
- nume
- Natură
- necesar
- negativ
- reţea
- efecte de rețea
- Nu.
- acum
- număr
- numere
- numeroși
- evident
- of
- promoții
- OKTA
- on
- dată
- ONE
- on-line
- afară
- or
- organizație
- organizații
- Altele
- al nostru
- afară
- Perspectivă
- peste
- împerecheat
- perechi
- parteneri
- Parolă
- Parolele
- oameni
- Phishing
- atacuri de phishing
- piese
- Plato
- Informații despre date Platon
- PlatoData
- postat
- potenţial
- potenţial
- practicile
- preţ
- primar
- Principiile
- probleme
- procese
- productivitate
- Profiluri
- proteja
- furniza
- furnizează
- public
- ridica
- mai degraba
- RE
- Citeste
- Redus
- legate de
- relaţie
- relativ
- rude
- rămășițe
- necesar
- dreapta
- în creștere
- Risc
- Riscant
- Produse laminate
- s
- SaaS
- Siguranţă
- acelaşi
- Economisiți
- pricepere
- scenariu
- sigur
- securitate
- vedea
- vedere
- sesiune
- Distribuie
- comun
- partajarea
- deficit
- să
- simplu
- singur
- moale
- mic
- So
- Social
- Inginerie sociala
- unele
- Sponsorizat
- amețitor
- capsa
- Pas
- Stop
- stocate
- structurile
- de succes
- astfel de
- a sustine
- sistem
- Lua
- talentat
- direcționare
- echipe
- Testarea
- decât
- acea
- Viitorul
- lumea
- lor
- apoi
- Acolo.
- Acestea
- ei
- acest
- amenințare
- trei
- Bilete de avion
- la
- astăzi
- semn
- copac
- adevărat
- cu adevărat
- Adevăr
- în
- din pacate
- unic
- unicitate
- spre deosebire de
- improbabil
- până la
- uzabilitate
- utilizare
- utilizat
- util
- Utilizator
- Experiența de utilizare
- utilizatorii
- ux
- valoare
- Vehicule
- aștepta
- we
- mai slab
- web
- BINE
- au fost
- Ce
- cand
- care
- în timp ce
- OMS
- pe larg
- voi
- cu
- lume
- ani
- Randament
- Tu
- zephyrnet