COMMENTARY
Một trong số ít thông tin thực sự bất biến và có giá trị tiềm tàng là thông tin di truyền. Chúng ta không thể thay đổi bộ gen của mình ở bất kỳ mức độ lớn nào. Không giống như dữ liệu sinh trắc học, có thể được lưu trữ trong bất kỳ số lượng cấu trúc thuật toán hoặc hàm băm nào khác nhau, thông tin di truyền có thể luôn được giảm xuống thành các chuỗi đơn giản của các cặp axit amin. Khi đó, kịch bản ác mộng là những kẻ xấu sẽ hack cơ sở dữ liệu di truyền và giành quyền truy cập vào bản thiết kế sinh học cho một số lượng lớn người.
Gần đây, cơn ác mộng đó đã thành hiện thực với hack công ty xét nghiệm di truyền 23andMe. Kẻ tấn công sử dụng cổ điển kỹ thuật nhồi thông tin xác thực truy cập trái phép 14,000 tài khoản người dùng. Nhưng họ không dừng lại ở đó. Do tính năng chia sẻ của 23andMe cho phép người dùng chia sẻ và đọc dữ liệu của những người dùng khác có thể có liên quan nên tin tặc đã có thể trích xuất dữ liệu di truyền từ 6.9 triệu người. Những kẻ tấn công đã đăng các ưu đãi trên Dark Web cho 1 triệu hồ sơ. 23andMe đã không tiết lộ toàn bộ tác động cho đến một tháng sau cuộc tấn công.
Để bảo vệ người dùng, 23andMe đang nhắc tất cả người dùng thay đổi mật khẩu ngay lập tức và đảm bảo chúng là duy nhất và phức tạp. Điều này là tốt nhưng chưa đủ. Quan trọng hơn, công ty đang tự động đăng ký xác thực hai yếu tố cho khách hàng hiện tại để có thêm lớp bảo mật. Thay vì chờ đợi sự kiện thảm khốc không thể tránh khỏi, mọi ứng dụng phần mềm dưới dạng dịch vụ (SaaS) nên đặt 2FA bắt buộc và các phương pháp hay nhất nên được chuyển từ 2FA sang MFA với tối thiểu ba yếu tố có sẵn. Giờ đây, đây là vấn đề an toàn công cộng và phải là bắt buộc, giống như các nhà sản xuất ô tô phải trang bị dây an toàn và túi khí trên xe của họ.
Hiệu ứng mạng nhân lên tác động của sự thỏa hiệp
Nhiều tài khoản và ứng dụng SaaS của chúng tôi bao gồm các khả năng được nối mạng giúp tăng mức độ hiển thị theo cấp số nhân. Trong trường hợp của 23andMe, dữ liệu bị lộ bao gồm thông tin từ hồ sơ Người thân DNA (5.5 triệu) và hồ sơ Cây gia phả (1.4 triệu) mà 14,000 người dùng tài khoản đã chia sẻ hoặc có thể truy cập được. Thông tin này bao gồm vị trí, tên hiển thị, nhãn mối quan hệ và DNA được chia sẻ với các kết quả trùng khớp, cũng như năm sinh và vị trí của một số người dùng. Mặc dù giá trị thị trường của dữ liệu DNA đối với tin tặc vẫn chưa rõ ràng, nhưng tính độc đáo và tính chất không thể thay thế của nó làm dấy lên mối lo ngại về khả năng lạm dụng và nhắm mục tiêu trong tương lai.
Thay thế 23andMe bằng Dropbox, Outlook hoặc Slack và bạn có thể dễ dàng thấy một số lượng tương đối nhỏ các tài khoản bị lộ có thể mang lại dữ liệu cho toàn bộ tổ chức như thế nào. Quyền truy cập vào tài khoản Outlook có thể mang lại tên và kết nối xã hội, cùng với các tương tác có thể hữu ích để xây dựng các cuộc tấn công kỹ thuật xã hội đáng tin cậy hơn.
Đây không phải là một mối đe dọa nhỏ. Chúng ta ngày càng thấy những kẻ tấn công hiểu biết đang tìm kiếm các ứng dụng được bảo vệ yếu hơn, có lượng thông tin được nối mạng đáng kể để thực hiện các cuộc tấn công rộng hơn. Theo Chỉ số thông tin về mối đe dọa IBM X-Force 2023 năm 2023, 41% các cuộc tấn công thành công sử dụng lừa đảo và kỹ thuật xã hội làm phương thức chính. Ví dụ, Sự cố mã thông báo phiên Okta đã tìm cách tận dụng khả năng bảo mật yếu hơn trên hệ thống hỗ trợ khách hàng và bán vé của mình như một phương tiện để thu thập thông tin cho các cuộc tấn công lừa đảo nhằm vào khách hàng. Chi phí của các cuộc tấn công này đang tăng lên và có thể đáng kinh ngạc. IBM ước tính chi phí vi phạm trung bình là hơn 4 triệu USD và vốn hóa thị trường của Okta giảm mạnh hàng tỷ USD sau khi thông báo vi phạm.
Cách khắc phục quá hạn: 2FA bắt buộc đối với thông tin đăng nhập
Vụ hack 23andMe cho thấy một sự thật hiển nhiên. Việc kết hợp tên người dùng và mật khẩu không chỉ không an toàn về bản chất mà còn về cơ bản là không thể bảo hiểm và là rủi ro không thể chấp nhận được. Ngay cả việc cho rằng chỉ riêng mật khẩu cũng có thể cung cấp bảo mật cũng là điều ngu ngốc. Trong các quy trình bảo mật và chứng nhận khác, bất kỳ công ty nào không kích hoạt đăng ký 2FA tự động sẽ bị gắn cờ là rủi ro khi cung cấp thông tin rủi ro cần thiết cho đối tác, nhà đầu tư, khách hàng và cơ quan chính phủ.
2FA phải bắt buộc và được thực thi như giá đầu vào cho bất kỳ ứng dụng SaaS nào - không có ngoại lệ. Một số tổ chức có thể phàn nàn rằng nhiệm vụ như vậy sẽ gây thêm xích mích và tác động tiêu cực đến trải nghiệm người dùng. Nhưng các nhà thiết kế ứng dụng đổi mới phần lớn đã giải quyết được những vấn đề này bằng cách xây dựng từ những nguyên tắc đầu tiên với giả định rằng người dùng của họ sẽ được yêu cầu sử dụng 2FA. Hơn nữa, nhiều tổ chức hàng đầu như GitHub đã triển khai các nhiệm vụ 2FA, do đó, không thiếu các ví dụ về cách các nhóm UX tài năng đang xử lý thử thách.
Điều kỳ lạ là, những tuyên bố tương tự về xích mích và sự bất tiện đã từng là lời phàn nàn chủ yếu chống lại quy định thắt dây an toàn. Ngày nay, không ai chớp mắt, và dây an toàn được chấp nhận rộng rãi. Tương tự như vậy, dây an toàn và túi khí cho các ứng dụng SaaS cuối cùng sẽ giúp thế giới tiết kiệm hàng tỷ đô la nhờ giảm tổn thất và tăng năng suất.
Còn mật mã thì sao? Thật không may, chúng khó có thể đạt được khối lượng quan trọng trong doanh nghiệp trong nhiều năm tới. Và mật mã thậm chí còn an toàn hơn khi kết hợp với MFA. Khi đó, thách thức sẽ thuộc về các nhà sản xuất SaaS trong việc nâng cao khả năng sử dụng của họ và làm cho 2FA và MFA trở nên dễ dàng hơn cho mọi người sử dụng — đặc biệt là các yếu tố an toàn hơn như sinh trắc học, khóa phần cứng và ứng dụng xác thực.
Dữ liệu di truyền là con chim hoàng yến trong mỏ than an ninh SaaS. Khi ngày càng nhiều cuộc sống và hoạt động của chúng ta được chuyển sang trực tuyến, nhiều rủi ro sẽ xảy ra với các doanh nghiệp cũng như người tiêu dùng. Xây dựng mức độ bảo mật cao hơn cho SaaS là một lợi ích công cộng sẽ mang lại lợi ích cho tất cả mọi người. Bước tốt nhất và rõ ràng nhất hiện nay là bắt buộc 2FA làm mức bảo mật cơ bản.
- Phân phối nội dung và PR được hỗ trợ bởi SEO. Được khuếch đại ngay hôm nay.
- PlatoData.Network Vertical Generative Ai. Trao quyền cho chính mình. Truy cập Tại đây.
- PlatoAiStream. Thông minh Web3. Kiến thức khuếch đại. Truy cập Tại đây.
- Trung tâmESG. Than đá, công nghệ sạch, Năng lượng, Môi trường Hệ mặt trời, Quản lý chất thải. Truy cập Tại đây.
- PlatoSức khỏe. Tình báo thử nghiệm lâm sàng và công nghệ sinh học. Truy cập Tại đây.
- nguồn: https://www.darkreading.com/vulnerabilities-threats/2fa-must-be-mandatory-asap
- :là
- :không phải
- $ LÊN
- 000
- 1
- 14
- 2023
- 2FA
- 9
- a
- Có khả năng
- Giới thiệu
- chấp nhận
- truy cập
- có thể truy cập
- Tài khoản
- Trợ Lý Giám Đốc
- hoạt động
- diễn viên
- thêm vào
- Lợi thế
- Sau
- chống lại
- thuật toán
- như nhau
- Tất cả
- cô đơn
- dọc theo
- an
- và
- Thông báo
- bất kì
- ứng dụng
- Các Ứng Dụng
- các ứng dụng
- ứng dụng
- LÀ
- AS
- giả định
- tấn công
- Các cuộc tấn công
- Xác thực
- Tự động
- tự động
- có sẵn
- Trung bình cộng
- Bad
- Baseline
- BE
- bởi vì
- hưởng lợi
- BEST
- thực hành tốt nhất
- tỷ
- biometric
- sinh trắc học
- sinh
- cơ quan
- vi phạm
- rộng hơn
- Xây dựng
- các doanh nghiệp
- nhưng
- by
- đến
- CAN
- khả năng
- viết hoa
- xe hơi
- trường hợp
- thảm họa
- Chứng nhận
- thách thức
- thay đổi
- tuyên bố
- cổ điển
- Than đá
- kết hợp
- Đến
- công ty
- khiếu nại
- phức tạp
- thỏa hiệp
- Mối quan tâm
- Kết nối
- đáng kể
- Người tiêu dùng
- Phí Tổn
- Chi phí
- có thể
- quan trọng
- khách hàng
- Hỗ trợ khách hàng
- khách hàng
- tối
- Web tối
- dữ liệu
- Cơ sở dữ liệu
- Bằng cấp
- thiết kế
- ĐÃ LÀM
- đã không
- khác nhau
- tiết lộ
- Giao diện
- dna
- đô la
- Dropbox
- dễ dàng hơn
- dễ dàng
- hiệu ứng
- cho phép
- cuối
- thi hành
- Kỹ Sư
- đảm bảo
- Doanh nghiệp
- Toàn bộ
- nhập
- đặc biệt
- chủ yếu
- dự toán
- Ngay cả
- Sự kiện
- Mỗi
- mọi người
- ví dụ
- ví dụ
- thi hành
- hiện tại
- kinh nghiệm
- theo hàm mũ
- tiếp xúc
- Tiếp xúc
- thêm
- trích xuất
- các yếu tố
- không
- gia đình
- Tính năng
- vài
- Tên
- Sửa chữa
- được gắn cờ
- Trong
- xích mích
- từ
- Full
- tương lai
- trò chơi
- thu thập
- di truyền
- nhận được
- GitHub
- Go
- tốt
- Chính phủ
- lớn hơn
- an ninh lớn hơn
- tấn
- tin tặc
- hack
- có
- Xử lý
- phần cứng
- băm
- Có
- Đánh
- Trang Chủ
- Độ đáng tin của
- HTTPS
- IBM
- bất hợp pháp
- ngay
- bất biến
- Va chạm
- Tác động
- quan trọng
- in
- bao gồm
- bao gồm
- Tăng lên
- tăng
- lên
- chắc chắn xảy ra
- thông tin
- vốn có
- sáng tạo
- không an toàn
- Sự thông minh
- tương tác
- trong
- giới thiệu
- vô giá
- luôn luôn
- Các nhà đầu tư
- isn
- IT
- ITS
- jpg
- chỉ
- phím
- Nhãn
- lớn
- phần lớn
- lớp
- hàng đầu
- Cấp
- Lượt thích
- cuộc sống
- . Các địa điểm
- dài
- nhìn
- tìm kiếm
- thiệt hại
- thực hiện
- làm cho
- Các nhà sản xuất
- Nhiệm vụ
- nhiệm vụ
- ủy thác
- bắt buộc
- Các nhà sản xuất
- nhiều
- thị trường
- giá trị thị trường
- Thánh Lễ
- diêm
- chất
- Có thể..
- có nghĩa
- MFA
- Might
- triệu
- tối thiểu
- nhỏ
- sử dụng sai
- tháng
- chi tiết
- hầu hết
- chuyển
- phải
- tên
- Thiên nhiên
- cần thiết
- tiêu cực
- mạng
- hiệu ứng mạng
- Không
- tại
- con số
- số
- nhiều
- Rõ ràng
- of
- Cung cấp
- OKTA
- on
- hàng loạt
- ONE
- Trực tuyến
- có thể
- or
- cơ quan
- tổ chức
- Nền tảng khác
- vfoXNUMXfipXNUMXhfpiXNUMXufhpiXNUMXuf
- ra
- Outlook
- kết thúc
- ghép đôi
- cặp
- Đối tác
- Mật khẩu
- Mật khẩu
- người
- Lừa đảo
- tấn công lừa đảo
- miếng
- plato
- Thông tin dữ liệu Plato
- PlatoDữ liệu
- đăng
- tiềm năng
- có khả năng
- thực hành
- giá
- chính
- nguyên tắc
- vấn đề
- Quy trình
- năng suất
- Profiles
- bảo vệ
- cho
- cung cấp
- công khai
- nâng cao
- hơn
- RE
- Đọc
- Giảm
- liên quan
- mối quan hệ
- tương đối
- thân
- vẫn còn
- cần phải
- ngay
- tăng
- Nguy cơ
- Rủi ro
- Cán
- s
- SaaS
- Sự An Toàn
- tương tự
- Lưu
- hiểu
- kịch bản
- an toàn
- an ninh
- xem
- nhìn thấy
- Phiên
- Chia sẻ
- chia sẻ
- chia sẻ
- sự thiếu
- nên
- Đơn giản
- duy nhất
- lún xuống
- nhỏ
- So
- Mạng xã hội
- Kỹ thuật xã hội
- một số
- Được tài trợ
- sửng sốt
- kẹp giấy
- Bước
- Dừng
- lưu trữ
- cấu trúc
- thành công
- như vậy
- hỗ trợ
- hệ thống
- Hãy
- tài năng
- nhắm mục tiêu
- đội
- Kiểm tra
- hơn
- việc này
- Sản phẩm
- Tương lai
- thế giới
- cung cấp their dịch
- sau đó
- Đó
- Kia là
- họ
- điều này
- mối đe dọa
- số ba
- bán vé
- đến
- bây giờ
- mã thông báo
- cây
- đúng
- thực sự
- Sự thật
- Dưới
- không may
- độc đáo
- độc đáo
- không giống
- không
- cho đến khi
- khả năng sử dụng
- sử dụng
- đã sử dụng
- hữu ích
- người sử dang
- Kinh nghiệm người dùng
- Người sử dụng
- ux
- giá trị
- Xe cộ
- chờ đợi
- we
- yếu hơn
- web
- TỐT
- là
- Điều gì
- khi nào
- cái nào
- trong khi
- CHÚNG TÔI LÀ
- rộng rãi
- sẽ
- với
- thế giới
- năm
- Năng suất
- Bạn
- zephyrnet