Platon Data Intelligence.
Vertikal sökning & Ai.

Cybersäkerhet

Liksom säkerhetsbälten och krockkuddar måste 2FA vara obligatoriskt ASAP

Republiserad av Platon
Republiserad av Platon

Datum:

Visningar: 0

KOMMENTAR

En av få informationsbitar som verkligen är oföränderlig och potentiellt ovärderlig är genetisk information. Vi kan inte förändra vårt genom i någon större utsträckning. Till skillnad från biometriska data, som kan lagras i valfritt antal olika algoritmiska eller hashade strukturer, kan genetisk information undantagslöst reduceras till enkla sekvenser av aminosyrapar. Mardrömsscenariot är alltså dåliga skådespelare som hackar en genetisk databas och får tillgång till de biologiska ritningarna för ett stort antal människor.

Nyligen blev den mardrömmen sann med hack från gentestningsföretaget 23andMe. Angripare använde klassisk tekniker för att fylla på legitimation olaglig tillgång till 14,000 23 användarkonton. Men de stannade inte där. På grund av delningsfunktioner i XNUMXandMe som gör det möjligt för användare att dela och läsa data från andra användare som kan vara relaterade, kunde hackarna extrahera genetiska data från 6.9 miljoner människor. Angriparna lade upp erbjudanden på Dark Web för 1 miljon profiler. 23andMe avslöjade inte den fulla effekten förrän en månad efter attacken.

För att skydda användarna uppmanar 23andMe alla användare att omedelbart ändra sina lösenord och se till att de är unika och komplexa. Detta är bra men otillräckligt. Ännu viktigare är att företaget automatiskt registrerar befintliga kunder till tvåfaktorsautentisering för ett extra lager av säkerhet. I stället för att vänta på den oundvikliga katastrofala händelsen bör varje enskild programvara-som-en-tjänst (SaaS)-app göra 2FA obligatoriskt och bästa praxis bör flyttas från 2FA till MFA med minst tre tillgängliga faktorer. Det är nu en fråga om allmän säkerhet och borde vara obligatoriskt, precis som biltillverkare måste inkludera säkerhetsbälten och krockkuddar i sina fordon.

Nätverkseffekter multiplicerar effekterna av kompromisser

Många av våra konton och SaaS-applikationer inkluderar nätverksfunktioner som ökar exponeringen exponentiellt. I fallet med 23andMe inkluderade exponerade data information från DNA-släktingars profiler (5.5 miljoner) och Family Tree-profiler (1.4 miljoner) som de 14,000 XNUMX kontoanvändarna hade delat eller gjort tillgängliga. Denna information inkluderade platser, visningsnamn, relationsetiketter och DNA som delas med matchningar, samt födelseår och platser för vissa användare. Marknadsvärdet av DNA-data för hackare är fortfarande oklart, men dess unika karaktär och oersättliga karaktär väcker farhågor om potentiellt missbruk och inriktning i framtiden.

Byt ut 23andMe mot Dropbox, Outlook eller Slack så kan du enkelt se hur ett relativt litet antal exponerade konton kan ge data för en hel organisation. Tillgång till ett Outlook-konto kan ge namn och sociala kopplingar, tillsammans med interaktioner som kan vara användbara för att bygga mer trovärdiga sociala ingenjörsattacker.

Det här är inte ett mindre hot. Vi ser allt mer kunniga angripare som letar efter mer svagt bevakade applikationer som har betydande nätverksinformation för att utföra bredare attacker. Enligt 2023 IBM X-Force 2023 Threat Intelligence Index, 41 % av framgångsrika attacker använde nätfiske och social ingenjörskonst som sin primära vektor. Till exempel Okta session token incident försökte dra fördel av svagare säkerhet på sitt kundsupport- och biljettsystem som ett sätt att samla information för nätfiskeattacker mot kunder. Kostnaderna för dessa attacker ökar och kan vara häpnadsväckande. IBM uppskattar att den genomsnittliga överträdelsen kostar över 4 miljoner dollar och Marknadsvärdet för Okta rasade miljarder dollar efter att ha meddelat överträdelsen.

En lång försenad fix: Obligatorisk 2FA för inloggningar

23andMe-hacket hammar in en uppenbar sanning. Användarnamn och lösenordskombinationer är inte bara i sig osäkra utan i huvudsak oförsäkrade och en oacceptabel risk. Även att anta att ett lösenord ensamt ger säkerhet är dumt. I säkerhets- och andra certifieringsprocesser bör alla företag som misslyckas med att aktivera automatisk 2FA-registrering flaggas som riskfyllda för att tillhandahålla nödvändig riskinformation till partners, investerare, kunder och statliga organ.

2FA måste vara obligatoriskt och tillämpas som inträdespriset för alla SaaS-applikationer – inga undantag. Vissa organisationer kan klaga på att ett sådant uppdrag kommer att införa ytterligare friktion och negativt påverka användarupplevelsen. Men innovativa applikationsdesigners har till stor del löst dessa problem genom att bygga från första principer under antagandet att deras användare kommer att behöva använda 2FA. Dessutom har många ledande organisationer som GitHub rullat ut 2FA-mandat, så det finns ingen brist på exempel på hur begåvade UX-team hanterar utmaningen.

Märkligt nog var samma påståenden om friktion och olägenhet en gång huvudanvändningen mot säkerhetsbältesmandat. Idag blinkar ingen, och säkerhetsbälten är allmänt accepterade. I samma veva kommer säkerhetsbälten och krockkuddar för SaaS-appar i slutändan att spara världen många miljarder dollar i minskade förluster och ökad produktivitet.

Hur är det med lösenord? Tyvärr är det osannolikt att de kommer att träffa kritisk massa i företag under många år framöver. Och lösenord är ännu säkrare när de paras ihop med MFA. Utmaningen kommer alltså att ligga på SaaS-tillverkare att förbättra sitt användbarhetsspel och göra 2FA och MFA ännu enklare för alla att använda – särskilt säkrare faktorer som biometri, hårdvaru-nycklar och autentiseringsappar.

Genetisk data är kanariefågeln i säkerhetskolgruvan SaaS. När fler och fler av våra liv och aktiviteter går online, tillfaller företag och konsumenter mer risker. Att bygga in större säkerhet i SaaS är ett allmännytta som kommer alla att gynna. Det bästa och mest uppenbara steget just nu är att tvinga 2FA som en grundläggande säkerhetsnivå.

plats_img

Senaste intelligens

plats_img

Copyright @ 2024 Plato Technologies Inc.

Chatta med oss

Hallå där! Hur kan jag hjälpa dig?