.jpg)
LastPass ihlali paradigmatik olarak hatırlanacak. Bundan patlama yarıçapı Ağustos 2022 ihlali altı aylık bir süre içinde kötüden felakete dönüştü. Başlangıçta, LastPass CEO’su ihlalin kontrol altına alındığını açıkladı. Ancak, Kasım 2022’de bilinmeyen bir tehdit aktörünün sisteme eriştiği keşfedildi. LastPass’ın bulut tabanlı depolama ortamı ve Ağustos olayı sırasında elde edilen bilgileri kullanan şifreli şifre kasaları. Yıl sonunda, LastPass bunu doğruladı şifrelenmiş parolalar ve kullanıcı adları dahil olmak üzere müşteri verilerinin güvenliği ihlal edilmişti.
3 Mart’ta ortaya çıktı ki, LastPass veri ihlalinin temel nedeni şaşırtıcı derecede basitti. Saldırgan, bir LastPass DevOps mühendisinin kişisel bilgisayarını, görünüşe göre bir çalışan tarafından kişisel amaçlar için kullanılan Plex adlı bir üçüncü taraf medya yazılım paketindeki eski bir güvenlik açığı aracılığıyla ele geçirdi. Sonuç olarak, bilgisayara bir keylogger bulaştı ve tehdit aktörlerinin kısmen şifrelenmiş parola kasası verilerini ve müşteri bilgilerini çalmasına izin verdi.
LastPass veri ihlalinin yakın zamanda ortaya çıkan detayları, başta güvenlik şirketleri olmak üzere kuruluşlar için önemli dersler veriyor.
BYOD Politikanıza Uyun: Ayrıcalıklı Kullanıcılar İçin Zorunluluk
Son derece hassas varlıklara erişimi olan dört LastPass mühendisinin kişisel uygulamaları da dahil olmak üzere kişisel cihazlarını iş amacıyla kullanabilmesi endişe verici. Kişisel cihazlar genellikle şirket tarafından verilen cihazlarla aynı güvenlik protokollerine ve yamalara sahip değildir ve aile üyeleri tarafından veya işle ilgili olmayan etkinlikler için kullanılabilirler, bu da tehlikeye girme riskini önemli ölçüde artırabilir. göre bir Action1 anketiBT uzmanlarının %43’ü, uzaktan çalışanların maruz kalabileceği en riskli davranışın, aile üyelerinin işle ilgili olmayan etkinlikler için kurumsal cihazları kullanmasına izin vermek olduğunu bildirdi.
Bu riskleri azaltmak için kuruluşlar, özellikle ayrıcalıklı olanlar olmak üzere tüm kullanıcılar için geçerli olan katı güvenlik politikalarına sahip olmalıdır. Düzenli güvenlik güncellemelerine ve protokollerine tabi şirkete ait cihazlar vermek en iyi uygulamadır. Bununla birlikte, kişisel cihazların iş için kullanıldığı durumlarda, sağlam bir kendi cihazını getir (BYOD) politikası oluşturmak, kişisel makinelerin şirket tarafından verilen cihazlarla aynı güvenlik önlemlerine uymasını sağlamak önemlidir. -kötü amaçlı yazılım ve çok faktörlü kimlik doğrulama (MFA).
Eski Güvenlik Açıklarının Uç Noktalarınızı Riske Atmasına İzin Vermeyin
LastPass ihlali sırasında saldırgan, Plex adlı bir üçüncü taraf medya yazılım paketindeki bir güvenlik açığından yararlandı. Rağmen Plex, güvenlik açığı için 75 sürüm önce bir yama yayınlamıştı., LastPass’taki çalışanın makinesi güncellenmemişti. Bu, şirketlerin özellikle üçüncü taraf yazılımlar için yama yönetiminde dikkatli olmalarının önemini vurgulamaktadır. Ayrıca çalışanların makinelerinde yüklü olan yazılımları izlemek ve kurumsal güvenlik politikalarına uygun olmasını sağlamak da önemlidir. Ancak, yalnızca onaylanmamış üçüncü taraf yazılımlarda bulunan eski güvenlik açıkları değil, aynı zamanda tarayıcılar gibi yaygın olarak kullanılan uygulamalarda da bulunabilirler. Siber güvenlikte hem işletim sistemi hem de üçüncü taraf uygulamaları için otomatikleştirilmiş yama yönetiminin önemini hafife almak zordur.
Kolayca Baypas Edilen MFA’dan Kaçının
LastPass ihlali, MFA’nın sınırlamalarını vurgular. Bu olayda, keylogging kötü amaçlı yazılımı, bir çalışanın MFA belirtecini ele geçirerek saldırganın bu güvenlik önlemini atlamasına izin verdi. Bu, tüm MFA yöntemlerinin eşit derecede güvenli olmadığını gösterir.
Mesele şu ki, MFA’nın popülaritesine rağmen, bazı kuruluşlar, farklı MFA yöntemlerinin nüanslarını tam olarak anlamadan onu benimsemiş olabilir. SMS, e-posta veya kimlik doğrulama uygulamaları yoluyla kimlik doğrulama sağlayan birçok hizmet vardır. Ancak gerçek şu ki, donanım belirteçlerine sahip MFA en güvenli olanıdır. Donanım belirteçleri, yakalanması veya çoğaltılması zor olan benzersiz parolalar üretir ve İnternet veya hücresel bağlantılara dayanmazlar ve son derece hassas varlıklara sahip hizmetlere erişimin güvenliğini sağlamak için düşünülmelidir.
Ürünlerinize ve Altyapınıza Baştan Baştan Güvenlik Oluşturun
LastPass, ürünleri için gelişmiş güvenlik önlemleri açıklasa da, ihlal çeşitli alanlarda boşlukları ortaya çıkardı. Örneğin, LastPass saklanmış MFA tohumları ve bölünmüş bilgi bileşeni (K2) anahtarı birlikte, tehdit aktörlerinin LastPass MFA/federasyon veritabanının şifrelenmiş yedekleri için şifre çözme anahtarlarını aldıktan sonra bunlara erişmesine izin verdi. Bu son derece hassas varlıkları ayrı ayrı saklamak daha ihtiyatlı olurdu. Ek olarak, LastPass, kullanıcıların güçlü ana parolalar uygulamasını gerektirse de, bu önlemler her zaman uygulanmaz ve bildirimler yeterince fark edilmeyebilirbazı uzmanların belirttiği gibi.
Bu, BT mimarisinin ihtiyaçları karşılamak ve pazarı ele geçirmek için iş talebine yanıt olarak geliştiği ve BT güvenliğinin mimariye ancak daha sonra dahil edildiği tipik bir durumun ortaya çıktığını göstermektedir. Sonuç olarak, güvenlik politikalarını dahil etmek ve mimariyi buna göre yeniden tasarlamak zorlaşıyor. Bu nedenle, ürün geliştirmenin başlangıcından itibaren BT güvenliğini dikkate almak daha iyidir.
Çözüm
Yıkıcı siber saldırılar genellikle temel siber güvenlik önlemleriyle önlenebilir, ancak güvenlik şirketleri bile hata yapabilir. Kendi güvenlik uygulamalarımızı geliştirmek için bu hatalardan ders almalıyız.