КОММЕНТАРИЙ
Одна из немногих частей информации, которая действительно неизменна и потенциально бесценна, — это генетическая информация. Мы не можем в значительной степени изменить наш геном. В отличие от биометрических данных, которые могут храниться в любом количестве различных алгоритмических или хешированных структур, генетическая информация всегда может быть сведена к простым последовательностям пар аминокислот. Таким образом, кошмарный сценарий заключается в том, что злоумышленники взломают генетическую базу данных и получат доступ к биологическим проектам большому количеству людей.
Недавно этот кошмар стал реальностью: взлом компании по генетическому тестированию 23andMe. Злоумышленники использовали классику методы вброса учетных данных для незаконного доступа к 14,000 23 учетным записям пользователей. Но они не остановились на этом. Благодаря функциям обмена XNUMXandMe, которые позволяют пользователям обмениваться и читать данные других пользователей, которые могут быть связаны, хакерам удалось извлечь генетические данные от 6.9 миллионов человек. Злоумышленники разместили в даркнете предложения на 1 миллион профилей. 23andMe раскрыла все последствия атаки только через месяц после атаки.
Чтобы защитить пользователей, 23andMe предлагает всем пользователям немедленно сменить свои пароли и убедиться, что они уникальны и сложны. Это хорошо, но недостаточно. Что еще более важно, компания автоматически регистрирует существующих клиентов для двухфакторной аутентификации для дополнительного уровня безопасности. Вместо того, чтобы ждать неизбежного катастрофического события, каждое отдельное приложение «программное обеспечение как услуга» (SaaS) должно сделать 2FA обязательным, а лучшие практики следует перенести с 2FA на MFA с наличием как минимум трех факторов. Теперь это вопрос общественной безопасности, и он должен быть обязательным, точно так же, как производители автомобилей должны включать в свои автомобили ремни безопасности и подушки безопасности.
Сетевые эффекты умножают последствия компромисса
Многие из наших учетных записей и приложений SaaS включают в себя сетевые возможности, которые экспоненциально увеличивают воздействие. В случае с 23andMe раскрытые данные включали информацию из профилей ДНК-родственников (5.5 миллионов) и профилей семейного древа (1.4 миллиона), которыми поделились или сделали доступными 14,000 XNUMX пользователей учетной записи. Эта информация включала местоположения, отображаемые имена, метки родства и ДНК, общие для совпадений, а также годы рождения и местоположения для некоторых пользователей. Хотя рыночная ценность данных ДНК для хакеров остается неясной, их уникальность и незаменимость вызывают опасения по поводу возможного злоупотребления и преследований в будущем.
Замените 23andMe на Dropbox, Outlook или Slack, и вы легко увидите, как относительно небольшое количество открытых учетных записей может предоставить данные для всей организации. Доступ к учетной записи Outlook может привести к раскрытию имен и социальных связей, а также взаимодействий, которые могут быть полезны для создания более правдоподобных атак социальной инженерии.
Это не маленькая угроза. Мы все чаще видим, как сообразительные злоумышленники ищут более слабо защищенные приложения, содержащие значительный объем сетевой информации, для выполнения более широких атак. Согласно индексу Threat Intelligence Index 2023 IBM X-Force 2023., 41% успешных атак использовали фишинг и социальную инженерию в качестве основного вектора. Например, Инцидент с токеном сеанса Okta стремилась воспользоваться более слабой защитой своей системы поддержки клиентов и системы обработки заявок как средство сбора информации для фишинговых атак на клиентов. Цена таких атак растет и может быть ошеломляющей. По оценкам IBM, средний ущерб от взлома составляет более 4 миллионов долларов. и рыночная капитализация «Окты» упала на миллиарды долларов после объявления о нарушении.
Давно назревшее решение: обязательная 2FA для входа в систему
Взлом 23andMe доказывает очевидную истину. Комбинации имени пользователя и пароля не только небезопасны по своей сути, но и по сути не подлежат страхованию и представляют собой неприемлемый риск. Даже предполагать, что пароль сам по себе обеспечивает безопасность, глупо. В процессах безопасности и других процессах сертификации любая компания, которая не может включить автоматическую регистрацию 2FA, должна быть помечена как рискованная, чтобы предоставить необходимую информацию о рисках партнерам, инвесторам, клиентам и государственным органам.
2FA должна быть обязательной и применяться в качестве цены входа для любого приложения SaaS — без исключений. Некоторые организации могут жаловаться, что такой мандат создаст дополнительные трудности и негативно скажется на пользовательском опыте. Но разработчики инновационных приложений в значительной степени решили эти проблемы, опираясь на основные принципы, исходя из предположения, что их пользователи будут обязаны использовать 2FA. Более того, многие ведущие организации, такие как GitHub, внедрили мандаты 2FA, поэтому нет недостатка в примерах того, как талантливые UX-команды справляются с этой задачей.
Любопытно, что те же самые утверждения о трении и неудобствах когда-то были основной жалобой на обязательность использования ремней безопасности. Сегодня никто не моргает, и ремни безопасности широко распространены. Аналогичным образом, ремни безопасности и подушки безопасности для SaaS-приложений, в конечном итоге, сэкономят миру многие миллиарды долларов за счет снижения потерь и повышения производительности.
А что насчет паролей? К сожалению, они вряд ли достигнут критической массы на предприятии в ближайшие годы. А ключи доступа становятся еще более безопасными в сочетании с MFA. Таким образом, задача будет заключаться в том, чтобы производители SaaS усовершенствовали свою игру с удобством использования и сделали 2FA и MFA еще более простыми для использования всеми, особенно более безопасные факторы, такие как биометрия, аппаратные ключи и приложения для аутентификации.
Генетические данные — это канарейка в угольной шахте безопасности SaaS. Поскольку все больше и больше нашей жизни и деятельности происходит в Интернете, все больше рисков возникает как для бизнеса, так и для потребителей. Обеспечение большей безопасности в SaaS — это общественное благо, от которого выиграют все. Лучшим и наиболее очевидным шагом на данный момент является обязательное использование 2FA в качестве базового уровня безопасности.
- SEO-контент и PR-распределение. Получите усиление сегодня.
- PlatoData.Network Вертикальный генеративный ИИ. Расширьте возможности себя. Доступ здесь.
- ПлатонАйСтрим. Интеллект Web3. Расширение знаний. Доступ здесь.
- ПлатонЭСГ. Углерод, чистые технологии, Энергия, Окружающая среда, Солнечная, Управление отходами. Доступ здесь.
- ПлатонЗдоровье. Биотехнологии и клинические исследования. Доступ здесь.
- Источник: https://www.darkreading.com/vulnerabilities-threats/2fa-must-be-mandatory-asap
- :является
- :нет
- $UP
- 000
- 1
- 14
- 2023
- 2FA
- 9
- a
- в состоянии
- О нас
- принятый
- доступ
- доступной
- Учетная запись
- Учетные записи
- активно
- актеры
- дополнительный
- плюс
- После
- против
- алгоритмический
- одинаково
- Все
- в одиночестве
- вдоль
- an
- и
- объявляющий
- любой
- приложение
- Применение
- Приложения
- Программы
- МЫ
- AS
- предположение
- атаковать
- нападки
- Аутентификация
- Автоматизированный
- автоматически
- доступен
- в среднем
- Плохой
- Базовая линия
- BE
- , так как:
- польза
- ЛУЧШЕЕ
- лучшие практики
- миллиарды
- биометрический
- биометрия
- рождение
- органов
- нарушение
- шире
- Строительство
- бизнес
- но
- by
- пришел
- CAN
- возможности
- капитализация
- автомобиль
- случаев
- катастрофический
- Сертификация
- вызов
- изменение
- требования
- классический
- Coal
- комбинации
- как
- Компания
- жалоба
- комплекс
- скомпрометированы
- Обеспокоенность
- Коммутация
- значительный
- Потребители
- Цена
- Расходы
- может
- критической
- клиент
- служба поддержки
- Клиенты
- темно
- Dark Web
- данным
- База данных
- Степень
- дизайнеры
- DID
- А не было
- различный
- Раскрывать
- Дисплей
- Г-жа
- долларов
- Dropbox
- легче
- легко
- эффекты
- включить
- конец
- исполнение
- Проект и
- обеспечивать
- Предприятие
- Весь
- запись
- особенно
- по существу
- Оценки
- Даже
- События
- Каждая
- все члены
- пример
- Примеры
- выполнять
- существующий
- опыт
- экспоненциально
- подвергаться
- Экспозиция
- дополнительно
- извлечение
- факторы
- не удается
- семья
- Особенности
- несколько
- First
- фиксированный
- Помеченные
- Что касается
- трение
- от
- полный
- будущее
- игра
- собирать
- генетический
- получающий
- GitHub
- Go
- хорошо
- Правительство
- большой
- большая безопасность
- мотыга
- Хакеры
- взлом
- было
- Управляемость
- Аппаратные средства
- хешированное
- Есть
- Удар
- Главная
- Как
- HTTPS
- IBM
- незаконно
- немедленно
- неизменный
- Влияние
- Воздействие
- важную
- in
- включают
- включены
- Увеличение
- расширились
- все больше и больше
- неизбежный
- информация
- по существу
- инновационный
- небезопасный
- Интеллекта
- взаимодействие
- в
- вводить
- неоценимый
- неизменно
- Инвесторы
- мобильной
- IT
- ЕГО
- JPG
- всего
- ключи
- Этикетки
- большой
- в значительной степени
- слой
- ведущий
- уровень
- такое как
- Живет
- места
- Длинное
- смотрел
- искать
- потери
- сделанный
- сделать
- Makers
- Мандат
- мандаты
- обязательное
- обязательный
- Производители
- многих
- рынок
- рыночная стоимость
- Масса
- спички
- Вопрос
- Май..
- означает
- МИД
- может быть
- миллиона
- минимальный
- небольшая
- злоупотреблять
- Месяц
- БОЛЕЕ
- самых
- переехал
- должен
- имена
- природа
- необходимо
- отрицательно
- сеть
- сетевые эффекты
- нет
- сейчас
- номер
- номера
- многочисленный
- Очевидный
- of
- Предложения
- ОКТА
- on
- консолидировать
- ONE
- онлайн
- только
- or
- организация
- организации
- Другое
- наши
- внешний
- Outlook
- за
- в паре
- пар
- партнеры
- Пароль
- пароли
- Люди
- фишинг
- фишинговые атаки
- штук
- Платон
- Платон Интеллектуальные данные
- ПлатонДанные
- размещены
- потенциал
- потенциально
- практиками
- цена
- первичный
- Принципы
- проблемам
- Процессы
- производительность
- Профили
- для защиты
- обеспечивать
- приводит
- что такое варган?
- повышение
- скорее
- RE
- Читать
- Цена снижена
- Связанный
- отношения
- относительно
- родственники
- остатки
- обязательный
- правую
- повышение
- Снижение
- рискованный
- Прокат
- s
- SaaS
- Сохранность
- то же
- Сохранить
- здравый смысл
- сценарий
- безопасный
- безопасность
- посмотреть
- видя
- Сессия
- Поделиться
- общие
- разделение
- нехватка
- должен
- просто
- одинарной
- слабина
- небольшой
- So
- Соцсети
- Социальная инженерия
- некоторые
- Спонсоров
- ошеломляющий
- штапель
- Шаг
- Stop
- хранить
- структур
- успешный
- такие
- поддержка
- система
- взять
- талантливый
- направлены
- команды
- Тестирование
- чем
- который
- Ассоциация
- Будущее
- мир
- их
- тогда
- Там.
- Эти
- они
- этой
- угроза
- три
- продажи билетов
- в
- сегодня
- знак
- дерево
- правда
- по-настоящему
- Правда
- под
- К сожалению
- созданного
- уникальность
- В отличие от
- вряд ли
- до
- юзабилити
- использование
- используемый
- полезный
- Информация о пользователе
- Пользовательский опыт
- пользователей
- ux
- ценностное
- Транспорт
- ждать
- we
- слабее
- Web
- ЧТО Ж
- были
- Что
- когда
- который
- в то время как
- КТО
- широко
- будете
- Мир
- лет
- Уступать
- Ты
- зефирнет