КОМЕНТАР
Однією з небагатьох частин інформації, яка є справді незмінною та потенційно безцінною, є генетична інформація. Ми не можемо значною мірою змінити свій геном. На відміну від біометричних даних, які можуть зберігатися в будь-якій кількості різних алгоритмічних або хешованих структур, генетична інформація може бути незмінно зведена до простих послідовностей пар амінокислот. Тоді кошмарний сценарій полягає в тому, що погані актори зламують генетичну базу даних і отримують доступ до біологічних схем великої кількості людей.
Нещодавно цей кошмар здійснився з злом компанії генетичного тестування 23andMe. Зловмисники використовували класику техніка наповнення облікових даних отримати незаконний доступ до 14,000 23 облікових записів користувачів. Але на цьому вони не зупинилися. Завдяки функціям спільного доступу XNUMXandMe, які дозволяють користувачам ділитися та читати дані інших користувачів, які можуть бути пов’язані, хакерам вдалося витягнути генетичні дані 6.9 мільйонів людей. Зловмисники розмістили в Dark Web пропозиції для 1 млн профілів. 23andMe не розкривав повний вплив аж через місяць після нападу.
Щоб захистити користувачів, 23andMe пропонує всім користувачам негайно змінити свої паролі та переконатися, що вони унікальні та складні. Це добре, але недостатньо. Що ще важливіше, компанія автоматично реєструє наявних клієнтів у двофакторній автентифікації для додаткового рівня безпеки. Замість того, щоб чекати неминучої катастрофічної події, кожна окрема програма програмного забезпечення як послуги (SaaS) має зробити 2FA обов’язковим, а найкращі практики слід перенести з 2FA на MFA, враховуючи принаймні три чинники. Тепер це питання громадської безпеки і має бути обов’язковим, так само як виробники автомобілів повинні включати в свої транспортні засоби ремені безпеки та подушки безпеки.
Мережеві ефекти помножують наслідки компромісу
Багато наших облікових записів і додатків SaaS містять мережеві можливості, які експоненціально збільшують охоплення. У випадку з 23andMe розкриті дані включали інформацію з профілів DNA Relatives (5.5 мільйона) і профілів Family Tree (1.4 мільйона), якими 14,000 XNUMX користувачів облікових записів поділилися або зробили доступними. Ця інформація включала місцезнаходження, відображувані імена, мітки стосунків і ДНК, надані збігам, а також роки народження та місцезнаходження деяких користувачів. Хоча ринкова вартість даних ДНК для хакерів залишається незрозумілою, їх унікальність і незамінність викликають занепокоєння щодо можливого зловживання та цільового використання в майбутньому.
Замініть 23andMe на Dropbox, Outlook або Slack, і ви легко побачите, як відносно невелика кількість відкритих облікових записів може дати дані для всієї організації. Доступ до облікового запису Outlook може давати імена та соціальні зв’язки разом із взаємодіями, які можуть бути корисними для створення більш правдоподібних атак соціальної інженерії.
Це не незначна загроза. Ми все частіше бачимо досвідчених зловмисників, які шукають більш слабко захищені додатки, які мають значну мережеву інформацію для здійснення ширших атак. Згідно з індексом аналізу загроз IBM X-Force 2023 за 2023 рік41% успішних атак використовували фішинг і соціальну інженерію як основний вектор. Наприклад, Інцидент з маркером сесії Okta прагнув скористатися перевагами слабкішої безпеки своєї системи підтримки клієнтів і продажу квитків як засобу збору інформації для фішингових атак на клієнтів. Витрати на ці атаки зростають і можуть бути приголомшливими. За оцінками IBM, середня вартість порушення становить понад 4 мільйони доларів і ринкова капіталізація Okta різко впала на мільярди доларів після оголошення про порушення.
Давно назріле виправлення: обов’язковий 2FA для входу
Хак 23andMe відкриває очевидну правду. Комбінації імені користувача та пароля не тільки за своєю суттю є небезпечними, але, по суті, не підлягають страхуванню та становлять неприйнятний ризик. Нерозумно навіть припускати, що лише пароль забезпечує безпеку. У процесах сертифікації безпеки та інших процесах сертифікації будь-яка компанія, яка не ввімкнула автоматичну реєстрацію 2FA, повинна бути позначена як ризикована, щоб надати необхідну інформацію про ризики партнерам, інвесторам, клієнтам і державним органам.
2FA має бути обов’язковим і застосовуватися як ціна входу для будь-якої програми SaaS — без винятків. Деякі організації можуть скаржитися на те, що такий мандат створить додаткове тертя та негативно вплине на досвід користувачів. Але розробники інноваційних додатків значною мірою вирішили ці проблеми, виходячи з початкових принципів, припускаючи, що їхні користувачі повинні будуть використовувати 2FA. Більше того, численні провідні організації, такі як GitHub, випустили мандати 2FA, тож немає браку прикладів того, як талановиті команди UX справляються з цим завданням.
Цікаво, що ті самі заяви про тертя та незручності колись були основною скаргою проти обов’язкових пасків безпеки. Сьогодні ніхто не моргне, а ремені безпеки широко прийняті. У тому ж ключі ремені безпеки та подушки безпеки для SaaS-додатків зрештою заощадять багато мільярдів доларів за рахунок зменшення втрат і підвищення продуктивності.
А як щодо ключів доступу? На жаль, вони навряд чи досягнуть критичної маси на підприємстві протягом багатьох років. А ключі доступу ще безпечніші в поєднанні з MFA. Отже, перед виробниками SaaS постане завдання покращити юзабіліті та зробити 2FA та MFA ще простішими для всіх — особливо більш безпечні фактори, такі як біометрія, апаратні ключі та програми автентифікації.
Генетичні дані — це канарка у вугільній шахті безпеки SaaS. Оскільки все більше й більше нашого життя та діяльності відбувається в Інтернеті, більше ризиків настає як для компаній, так і для споживачів. Підвищення безпеки SaaS є суспільним благом, яке принесе користь усім. Найкращим і найочевиднішим кроком зараз є обов’язкове використання 2FA як базового рівня безпеки.
- Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
- PlatoData.Network Vertical Generative Ai. Додайте собі сили. Доступ тут.
- PlatoAiStream. Web3 Intelligence. Розширення знань. Доступ тут.
- ПлатонЕСГ. вуглець, CleanTech, Енергія, Навколишнє середовище, Сонячна, Поводження з відходами. Доступ тут.
- PlatoHealth. Розвідка про біотехнології та клінічні випробування. Доступ тут.
- джерело: https://www.darkreading.com/vulnerabilities-threats/2fa-must-be-mandatory-asap
- :є
- : ні
- $UP
- 000
- 1
- 14
- 2023
- 2FA
- 9
- a
- Здатний
- МЕНЮ
- прийнятий
- доступ
- доступною
- рахунки
- Рахунки
- діяльності
- актори
- Додатковий
- Перевага
- після
- проти
- алгоритмічний
- так
- ВСІ
- тільки
- по
- an
- та
- Оголошуючи
- будь-який
- додаток
- додаток
- застосування
- додатка
- ЕСТЬ
- AS
- припущення
- атака
- нападки
- Authentication
- Автоматизований
- автоматично
- доступний
- середній
- поганий
- Базова лінія
- BE
- оскільки
- користь
- КРАЩЕ
- передового досвіду
- мільярди
- біометричні
- біометрії
- народження
- органів
- порушення
- ширше
- Створюємо
- підприємства
- але
- by
- прийшов
- CAN
- можливості
- Капіталізація
- автомобіль
- випадок
- катастрофічний
- сертифікація
- виклик
- зміна
- претензій
- classic
- Вугілля
- комбінації
- Приходити
- компанія
- скарга
- комплекс
- компроміс
- Турбота
- Зв'язки
- значний
- Споживачі
- Коштувати
- витрати
- може
- критичний
- клієнт
- підтримка клієнтів
- Клієнти
- темно
- Dark Web
- дані
- Database
- Ступінь
- Дизайнери
- DID
- А не було
- різний
- Розкрити
- дисплей
- ДНК
- доларів
- Dropbox
- легше
- легко
- ефекти
- включіть
- кінець
- примусово
- Машинобудування
- забезпечувати
- підприємство
- Весь
- запис
- особливо
- по суті
- Оцінки
- Навіть
- Event
- Кожен
- все
- приклад
- Приклади
- виконувати
- існуючий
- досвід
- експоненціально
- піддаватися
- експонування
- додатково
- витяг
- фактори
- зазнає невдачі
- сім'я
- риси
- кілька
- Перший
- виправляти
- позначений прапором
- для
- тертя
- від
- Повний
- майбутнє
- гра
- збирати
- генетичний
- отримання
- GitHub
- Go
- добре
- Уряд
- великий
- більша безпека
- зламати
- хакери
- злом
- було
- Обробка
- апаратні засоби
- хеш
- Мати
- хіт
- Головна
- Як
- HTTPS
- IBM
- незаконно
- негайно
- непорушний
- Impact
- Вплив
- важливо
- in
- включати
- включені
- Augmenter
- збільшений
- все більше і більше
- неминучий
- інформація
- за своєю суттю
- інноваційний
- небезпечно
- Інтелект
- Взаємодії
- в
- вводити
- безцінний
- незмінно
- Інвестори
- isn
- IT
- ЙОГО
- JPG
- просто
- ключі
- етикетки
- великий
- в значній мірі
- шар
- провідний
- рівень
- як
- Місце проживання
- місць
- Довго
- подивився
- шукати
- втрати
- made
- зробити
- Makers
- Мандат
- мандатів
- доручення
- обов'язковий
- Виробники
- багато
- ринок
- ринкова вартість
- Маса
- сірники
- Матерія
- Може..
- засоби
- МЗС
- може бути
- мільйона
- мінімальний
- незначний
- зловживання
- місяць
- більше
- найбільш
- переїхав
- повинен
- Імена
- природа
- необхідно
- негативно
- мережу
- мережеві ефекти
- немає
- зараз
- номер
- номера
- численний
- Очевидний
- of
- Пропозиції
- ОКТА
- on
- один раз
- ONE
- онлайн
- тільки
- or
- організація
- організації
- Інше
- наші
- з
- прогноз
- над
- парний
- пар
- партнери
- Пароль
- Паролі
- Люди
- phishing
- фішинг-атаки
- частин
- plato
- Інформація про дані Платона
- PlatoData
- розміщені
- потенціал
- потенційно
- практики
- price
- первинний
- Принципи
- проблеми
- процеси
- продуктивність
- Профілі
- захист
- забезпечувати
- забезпечує
- громадськість
- підвищення
- швидше
- RE
- Читати
- Знижений
- пов'язаний
- відносини
- щодо
- родичі
- залишається
- вимагається
- право
- підвищення
- Risk
- Ризикований
- Прокат
- s
- SaaS
- Безпека
- то ж
- зберегти
- кмітливість
- сценарій
- безпечний
- безпеку
- побачити
- бачачи
- Сесія
- Поділитись
- загальні
- поділ
- нестача
- Повинен
- простий
- один
- слабкий
- невеликий
- So
- соціальна
- Соціальна інженерія
- деякі
- Рекламні
- приголомшливий
- основний матеріал
- Крок
- Стоп
- зберігати
- структур
- успішний
- такі
- підтримка
- система
- Приймати
- талановитий
- націлювання
- команди
- Тестування
- ніж
- Що
- Команда
- Майбутнє
- світ
- їх
- потім
- Там.
- Ці
- вони
- це
- загроза
- три
- квитки
- до
- сьогодні
- знак
- дерево
- правда
- по-справжньому
- Правда
- при
- на жаль
- створеного
- унікальність
- на відміну від
- навряд чи
- до
- юзабіліті
- використання
- використовуваний
- корисний
- користувач
- User Experience
- користувачі
- ux
- значення
- Транспортні засоби
- чекати
- we
- слабший
- Web
- ДОБРЕ
- були
- Що
- коли
- який
- в той час як
- ВООЗ
- широко
- волі
- з
- світ
- років
- вихід
- Ти
- зефірнет