Kuruluşlarının oturum açma kimlik bilgilerini LastPass’a emanet eden işletme yöneticilerinin, savunmacı bir duruş sergilemek için yapacakları bazı işler vardır.
A aylar süren siber saldırı LastPass’in saklamadığını veya korumadığını söylediği kullanıcıların ana şifreleri dışında, şifre yöneticisi tarafından tutulan son derece hassas müşteri hesabı verilerinin çoğunu tehlikeye attı.
Maruziyet geniş ve yetkisiz kurumsal hesap erişimine karşı ek koruma önlemleri almayan kuruluşlar için potansiyel olarak yıkıcı.
İşletme yöneticilerinin kuruluşlarının riskini birden fazla bileşen genelinde değerlendirmesi ve LastPass’ın geçen hafta bir raporda paylaştığı tavsiyelere kulak vermesi gerekiyor. güvenlik bülteni yaklaşık 100.000 ticari müşteri ile.
İşte, LastPass’ın yanıta öncelik vermek için kurumsal müşterileriyle yukarıdan aşağıya sırayla paylaştığı en üst düzey eylemler (bireysel müşteriler için tavsiyeler görüntülenebilir) Burada):
Ana Parolalar
LastPass’a göre, benzersiz bir şifreleme anahtarı oluşturan kullanıcı adları ve ana parolalar en az 12 karakter uzunluğunda olmalıdır. Özellikle mevcut tüm karakter kümeleri kullanıldığında, ana parola ne kadar uzun olursa o kadar iyidir.
LastPass, “Uzunluğun karmaşıklığa galip geldiğini unutmayın,” dedi.
Yöneticiler, aşağıdakileri gerektiren politikalar belirlemelidir:
- Minimum karakter uzunluğu
- Asgari karakter setleri
- Yeniden kullanım algılandığında bir değişiklik
- Ve daha önce kullanılan şifrelerin kullanımını yasaklayın
LastPass, yönetici konsolundaki güvenlik raporlamasının, zayıf veya yeniden kullanılan parolalara güvenen kullanıcıları belirleyeceğini ve kuruluşların bu kullanıcıları ana parolalarını sıfırlamaya zorlamayı düşünmeleri gerektiğini söyledi.
İstemci tarafı şifreleme işlemi sırasında gerçekleştirilen döngü sayısı düşük bir yineleme hesabına güvenen kullanıcılar tarafından erişilen paylaşılan klasörlere kaydedilen kritik kimlik bilgileri döndürülmelidir. İşletmeler önerilen minimum değeri ayarla tüm kullanıcılar için 600.000 yineleme.
LastPass, yakında tüm kişisel hesapların bu standarda uymasını gerektireceğini ve değişiklik yapılmadan önce işletme yöneticilerini bilgilendireceğini söyledi.
süper yöneticiler
Ayrıcalıklı erişime sahip olan süper yönetici kullanıcılarının her zaman son derece güçlü ana parolaları ve yüksek yineleme sayısı olmalıdır. Zayıf bir parola kullanan süper yöneticileri belirleyin ve tüm kritik kimlik bilgilerini döndürün.
Bu hesaplar yalnızca özel erişim gerektiren “cam kırma” durumları için kurulmalı ve en az bir süper yönetici birleşik olmayan erişim sağlamalıdır.
Paylaşılan sırlar
işletmeler sıfırlamak gerekiyor MFA sırları kasalarına MFA erişimini etkinleştiren ve LastPass, Google, Microsoft veya Grid’den kimlik doğrulayıcılar kullanan tüm birleşik olmayan kullanıcılar için.
Bu işlem, kullanıcıların oturum açmasını, konumunu doğrulamasını ve MFA uygulamaları için yeniden kayıt sürecinden geçmesini gerektirecektir.
LastPass, kullanıcılarını İkili Güvenlik, Symantec VIP, RSA Güvenlik Kimliği Ve Güvenli Kimlik Doğrulama her MFA örneği için paylaşılan sırrı yeniden oluşturmak ve paylaşılan sırrı yönetici konsolundaki ilgili MFA uygulaması yapılandırmasına girmek için.
SIEM Splunk entegrasyonu
SIEM Splunk entegrasyonunu kullanan müşteriler, örnek belirtecini sıfırla. LastPass, 30 Nisan’da bu işlemi yapmayan tüm müşteriler için bu belirteçleri geçersiz kılacağını söyledi.
Şifrelenmemiş veri teşhiri
İşletmeler, açığa çıkmış olabilecek tüm URL’leri görmek için yönetici konsolunda güvenlik raporları çalıştırmalı ve bunun kimlik bilgileri doldurma, kimlik avı ve sosyal mühendislik saldırıları için oluşturduğu riski çalışanlara iletmelidir.
Başka ne?
LastPass, işletmeleri güvenlik puanı zayıf olan kullanıcıları belirlemek için zayıf bir güvenlik raporu çalıştırmaya ve bu kullanıcılardan bu şifreleri değiştir onların kasasında. Yöneticiler ayrıca şunları etkinleştirmelidir: karanlık web izlemeyi kontrol etme politika.
Ticari müşteriler, özellikle üçüncü taraf hizmetleri için hassas erişim bilgileri içerenler olmak üzere paylaşılan klasörlerin sürekli bir risk değerlendirmesi ve yönetimini yürütmelidir.
Bu klasörler yalnızca güçlü ana parolaları, yüksek yineleme sayıları olan ve en az ayrıcalık ilkesiyle özel erişim gerektiren kullanıcılarla paylaşılmalıdır.