KOMENTAR
Ena redkih informacij, ki je resnično nespremenljiva in potencialno neprecenljiva, je genetska informacija. Svojega genoma ne moremo spremeniti v veliki meri. Za razliko od biometričnih podatkov, ki so lahko shranjeni v poljubnem številu različnih algoritemskih ali zgoščenih struktur, je mogoče genetske informacije vedno reducirati na preprosta zaporedja parov aminokislin. Scenarij nočne more je torej, da slabi akterji vdrejo v genetsko bazo podatkov in pridobijo dostop do bioloških načrtov velikemu številu ljudi.
Pred kratkim se je ta nočna mora uresničila z vdor v podjetje za genetsko testiranje 23andMe. Napadalci so uporabili klasiko tehnike polnjenja poverilnic za nezakonit dostop do 14,000 uporabniških računov. Vendar se niso ustavili pri tem. Zaradi funkcij skupne rabe 23andMe, ki uporabnikom omogočajo skupno rabo in branje podatkov drugih uporabnikov, ki bi lahko bili povezani, je hekerjem uspelo pridobiti genetskih podatkov 6.9 milijona ljudi. Napadalci so na temnem spletu objavili ponudbe za 1 milijon profilov. 23andMe ni razkril celotnega učinka do enega meseca po napadu.
Za zaščito uporabnikov 23andMe poziva vse uporabnike, naj nemudoma spremenijo svoja gesla in zagotovijo, da so edinstvena in zapletena. To je dobro, a premalo. Še pomembneje pa je, da podjetje samodejno vključuje obstoječe stranke v dvostopenjsko avtentikacijo za dodatno raven varnosti. Namesto da bi čakali na neizogiben katastrofalen dogodek, bi morala vsaka posamezna aplikacija programske opreme kot storitve (SaaS) narediti 2FA obvezno, najboljše prakse pa bi bilo treba premakniti iz 2FA v MFA z najmanj tremi razpoložljivimi dejavniki. Zdaj je to stvar javne varnosti in bi moralo biti obvezno, tako kot morajo proizvajalci avtomobilov v svoja vozila vključiti varnostne pasove in zračne blazine.
Omrežni učinki pomnožijo učinke kompromisa
Številni naši računi in aplikacije SaaS vključujejo omrežne zmogljivosti, ki eksponentno povečujejo izpostavljenost. V primeru 23andMe so izpostavljeni podatki vključevali informacije iz profilov DNK sorodnikov (5.5 milijona) in profilov družinskega drevesa (1.4 milijona), ki jih je 14,000 uporabnikov računov delilo ali omogočilo dostop. Te informacije so vključevale lokacije, prikazana imena, oznake razmerij in DNK, ki je bil deljen z ujemajočimi se osebami, kot tudi letnice rojstva in lokacije nekaterih uporabnikov. Medtem ko tržna vrednost podatkov DNK za hekerje ostaja nejasna, njihova edinstvenost in nenadomestljivost vzbujata pomisleke glede morebitne zlorabe in ciljanja v prihodnosti.
Zamenjajte 23andMe z Dropboxom, Outlookom ali Slackom in preprosto boste videli, kako lahko relativno majhno število izpostavljenih računov prinese podatke za celotno organizacijo. Dostop do Outlookovega računa lahko prinese imena in socialne povezave, skupaj z interakcijami, ki bi lahko bile uporabne za ustvarjanje verjetnejših napadov socialnega inženiringa.
To ni manjša grožnja. Vse pogosteje opažamo, da spretni napadalci iščejo bolj šibko varovane aplikacije, ki imajo veliko omrežnih informacij za izvajanje širših napadov. Glede na 2023 IBM X-Force 2023 Threat Intelligence Index41 % uspešnih napadov je uporabljalo lažno predstavljanje in socialni inženiring kot glavni vektor. Na primer, Incident z žetonom seje Okta poskušal izkoristiti šibkejšo varnost svojega sistema za podporo strankam in izdajanja vozovnic kot sredstvo za zbiranje informacij za napade z lažnim predstavljanjem proti strankam. Stroški teh napadov naraščajo in so lahko osupljivi. IBM ocenjuje, da je povprečna kršitev stala več kot 4 milijone dolarjev in tržna kapitalizacija družbe Okta je padla na milijarde dolarjev po objavi kršitve.
Dolgo pričakovan popravek: obvezna 2FA za prijave
Vdor 23andMe razkrije očitno resnico. Kombinacije uporabniškega imena in gesla niso samo same po sebi nevarne, ampak v bistvu niso zavarovalne in predstavljajo nesprejemljivo tveganje. Tudi domneva, da samo geslo zagotavlja varnost, je neumno. V varnostnih in drugih postopkih certificiranja bi moralo biti vsako podjetje, ki ne omogoči avtomatiziranega vpisa 2FA, označeno kot tvegano, da bi zagotovilo potrebne informacije o tveganju partnerjem, vlagateljem, strankam in vladnim organom.
2FA mora biti obvezen in uveljavljen kot vstopna cena za katero koli aplikacijo SaaS – brez izjem. Nekatere organizacije se lahko pritožujejo, da bo takšno pooblastilo povzročilo dodatna trenja in negativno vplivalo na uporabniško izkušnjo. Toda inovativni oblikovalci aplikacij so večinoma rešili te težave z gradnjo iz prvih načel ob predpostavki, da bodo njihovi uporabniki morali uporabljati 2FA. Še več, številne vodilne organizacije, kot je GitHub, so uvedle mandate 2FA, tako da ne manjka primerov, kako se nadarjene ekipe UX spopadajo z izzivom.
Nenavadno je, da so bile iste trditve o trenju in nevšečnostih nekoč glavna pritožba proti zahtevam varnostnega pasu. Danes nihče ne utripa, varnostni pasovi pa so splošno sprejeti. V istem duhu bodo varnostni pasovi in zračne blazine za aplikacije SaaS na koncu svetu prihranili več milijard dolarjev z zmanjšanimi izgubami in povečano produktivnostjo.
Kaj pa gesla? Na žalost je malo verjetno, da bodo v prihodnjih letih dosegli kritično maso v podjetju. Gesla so še bolj varna, če so povezana z MFA. Izziv bo torej na izdelovalcih SaaS, da izboljšajo svojo igro uporabnosti in naredijo 2FA in MFA še enostavnejšo za uporabo za vse – zlasti bolj varne dejavnike, kot so biometrija, strojni ključi in aplikacije za preverjanje pristnosti.
Genetski podatki so kanarček v varnostnem premogovniku SaaS. Ker vse več naših življenj in dejavnosti poteka na spletu, večja tveganja nastajajo tako za podjetja kot za potrošnike. Vgradnja večje varnosti v SaaS je javno dobro, ki bo koristilo vsem. Najboljši in najbolj očiten korak trenutno je uvedba 2FA kot osnovne ravni varnosti.
- Distribucija vsebine in PR s pomočjo SEO. Okrepite se še danes.
- PlatoData.Network Vertical Generative Ai. Opolnomočite se. Dostopite tukaj.
- PlatoAiStream. Web3 Intelligence. Razširjeno znanje. Dostopite tukaj.
- PlatoESG. Ogljik, CleanTech, Energija, Okolje, sončna energija, Ravnanje z odpadki. Dostopite tukaj.
- PlatoHealth. Obveščanje o biotehnologiji in kliničnih preskušanjih. Dostopite tukaj.
- vir: https://www.darkreading.com/vulnerabilities-threats/2fa-must-be-mandatory-asap
- : je
- :ne
- $GOR
- 000
- 1
- 14
- 2023
- 2FA
- 9
- a
- Sposobna
- O meni
- sprejeta
- dostop
- dostopen
- Račun
- računi
- dejavnosti
- akterji
- Dodatne
- Prednost
- po
- proti
- algoritmični
- podobno
- vsi
- sam
- skupaj
- an
- in
- Napoveduje
- kaj
- aplikacija
- uporaba
- aplikacije
- aplikacije
- SE
- AS
- predpostavka
- napad
- Napadi
- Preverjanje pristnosti
- Avtomatizirano
- samodejno
- Na voljo
- povprečno
- Slab
- Izhodišče
- BE
- ker
- koristi
- BEST
- najboljše prakse
- milijardah
- biometrična
- biometrija
- Rojstvo
- Organi
- kršitev
- širši
- Building
- podjetja
- vendar
- by
- prišel
- CAN
- Zmogljivosti
- Kapitalizacija
- voziček
- primeru
- katastrofalno
- certificiranje
- izziv
- spremenite
- terjatve
- klasična
- Premog
- kombinacije
- kako
- podjetje
- pritožba
- kompleksna
- Kompromis
- Skrbi
- povezave
- velika
- Potrošniki
- strošek
- stroški
- bi
- kritično
- stranka
- Pomoč strankam
- Stranke, ki so
- Temnomodra
- Dark Web
- datum
- Baze podatkov
- Stopnja
- oblikovalci
- DID
- ni
- drugačen
- Razkrije
- zaslon
- DNK
- dolarjev
- varno shrambo
- lažje
- enostavno
- Učinki
- omogočajo
- konec
- prisiljeni
- Inženiring
- zagotovitev
- Podjetje
- Celotna
- Vpis
- zlasti
- v bistvu
- ocene
- Tudi
- Event
- Tudi vsak
- vsi
- Primer
- Primeri
- izvršiti
- obstoječih
- izkušnje
- eksponentno
- izpostavljena
- Izpostavljenost
- dodatna
- ekstrakt
- dejavniki
- ne uspe
- družina
- Lastnosti
- Nekaj
- prva
- fiksna
- označeno
- za
- trenja
- iz
- polno
- Prihodnost
- igra
- zbiranje
- genetska
- pridobivanje
- GitHub
- Go
- dobro
- vlada
- več
- večja varnost
- kramp
- hekerji
- taksist
- imel
- Ravnanje
- strojna oprema
- ošišan
- Imajo
- hit
- Domov
- Kako
- HTTPS
- IBM
- nezakonito
- takoj
- nespremenljiv
- vpliv
- Vplivi
- Pomembno
- in
- vključujejo
- vključeno
- Povečajte
- povečal
- vedno
- neizogibno
- Podatki
- inherentno
- inovativne
- negotov
- Intelligence
- interakcije
- v
- uvesti
- neprecenljivo
- vedno
- Vlagatelji
- isn
- IT
- ITS
- jpg
- samo
- tipke
- Oznake
- velika
- v veliki meri
- plast
- vodi
- Stopnja
- kot
- živi
- Lokacije
- Long
- Pogledal
- si
- izgube
- je
- Znamka
- Ustvarjalci
- Mandat
- mandati
- mandatiranje
- obvezna
- Proizvajalci
- več
- Tržna
- Tržna vrednost
- Masa
- tekme
- Matter
- Maj ..
- pomeni
- MZZ
- morda
- milijonov
- minimalna
- mladoletnika
- zloraba
- mesec
- več
- Najbolj
- premaknjeno
- morajo
- Imena
- Narava
- potrebno
- negativno
- mreža
- mrežni učinki
- št
- zdaj
- Številka
- številke
- številne
- Očitna
- of
- Ponudbe
- OKTA
- on
- enkrat
- ONE
- na spletu
- samo
- or
- Organizacija
- organizacije
- Ostalo
- naši
- ven
- Outlook
- več
- seznanjeni
- parov
- partnerji
- Geslo
- gesla
- ljudje
- Ribarjenje
- lažni napadi
- kosov
- platon
- Platonova podatkovna inteligenca
- PlatoData
- objavljene
- potencial
- potencialno
- vaje
- Cena
- primarni
- Načela
- Težave
- Procesi
- produktivnost
- Profili
- zaščito
- zagotavljajo
- zagotavlja
- javnega
- dvigniti
- precej
- RE
- Preberi
- Zmanjšana
- povezane
- Razmerje
- relativno
- sorodniki
- ostanki
- obvezna
- Pravica
- narašča
- Tveganje
- Tvegano
- Valjani
- s
- SaaS
- Varnost
- Enako
- Shrani
- zdrava pamet
- Scenarij
- zavarovanje
- varnost
- glej
- videnje
- Zasedanje
- Delite s prijatelji, znanci, družino in partnerji :-)
- deli
- delitev
- pomanjkanje
- shouldnt
- Enostavno
- sam
- Slack
- majhna
- So
- socialna
- Socialni inženiring
- nekaj
- Sponzorirane
- osupli
- rezana
- Korak
- stop
- shranjeni
- strukture
- uspešno
- taka
- podpora
- sistem
- Bodite
- nadarjeni
- ciljanje
- Skupine
- Testiranje
- kot
- da
- O
- Prihodnost
- svet
- njihove
- POTEM
- Tukaj.
- te
- jih
- ta
- Grožnja
- 3
- vozovnice
- do
- danes
- žeton
- Drevo
- Res
- resnično
- Resnica
- pod
- na žalost
- edinstven
- Edinstvenost
- za razliko od
- malo verjetno
- dokler
- uporabnost
- uporaba
- Rabljeni
- koristno
- uporabnik
- Uporabniška izkušnja
- Uporabniki
- ux
- vrednost
- Vozila
- Počakaj
- we
- šibkejši
- web
- Dobro
- so bili
- Kaj
- kdaj
- ki
- medtem
- WHO
- pogosto
- bo
- z
- svet
- let
- donos
- Vi
- zefirnet