Керен Елазарі знає, як мислять хакери. Вона є міжнародно визнаним аналітиком безпеки, дослідником, автором і спікером, яка працювала з провідними охоронними фірмами, урядовими організаціями та компаніями зі списку Fortune 500. Але вона також відома як «дружній хакер», также известная как k3r3n3, і провела свою кар’єру, допомагаючи керівникам служб безпеки перехитрити загрози, зміцнити їхню позицію та зменшити вразливість. Керен Елазарі — ізраїльський аналітик з кібербезпеки, письменник і спікер. Вона є старшим науковим співробітником Міждисциплінарного дослідницького центру кібербезпеки Тель-Авівського університету. Нещодавно Керен приєдналася до зустрічі з Емі Еппл’ярд, директором з управління ризиками компанії LostPass, щоб обговорити основні загрози, з якими стикаються організації сьогодні, і які найкращі практики сучасного захисту.
Про що турбуються керівники силових відомств у 2024 році?
Є багато речей, які не дають ІТ-директорам і фахівцям з безпеки спати ночами, але цьому році керівництво, схоже, буде найбільше стурбоване внутрішніми загрозами, що призводять до витоку даних, вразливостями в хмарній інфраструктурі та кіберзагрозами, керованими штучним інтелектом.
Чи працюють традиційні тактики безпеки в умовах мінливого ландшафту загроз?
Сучасні хакери наполегливо працюють та впроваджують інновації з тією ж швидкістю, що й компанії та організації, на які вони націлені. Елазарі переконана, що більшість організацій жахливо не готові до потенційного напливу програм-вимагачів і фішингових атак, які штучний інтелект може допомогти кіберзлочинцям запустити, і вона однозначно вважає, що паролі є слабким методом захисту команд і даних, кажучи: «Ми більше не можемо покладатися на паролі. Мені подобається називати їх минулими словами, тому що я думаю, що вони належать до нашого минулого. Ми дійсно повинні задуматися про те, яким є периметр нашої ідентичності».
Тож, якщо паролі не захистять нас від просунутих загроз, що постійно розвиваються, що можуть зробити організації, щоб доповнити безпеку своїх паролів, щоб краще захистити дані від зловмисних загроз і зловмисників?
- Різні способи аутентифікації
Елазарі швидко зазначила, що «не всі інструменти багатофакторної автентифікації однакові». SMS-коди, які можуть бути надіслані на ваш пристрій, чутливі до тактики викрадення SIM-карти, а push-сповіщення MFA залежать від втоми користувачів від push-атак з боку зловмисників. Метод автентифікації, яким найбільше захоплюється Елазарі, — це ключі доступу, а також поєднання способів автентифікації з речами, які важче підробити, як-от відбитки пальців, голосові ідентифікатори, ідентифікатори обличчя та навіть токени фізичної безпеки, такі як ubikeys.
- Парольні фрази
Паролі не зникнуть за одну ніч, але є певні речі, які можуть вимагати компанії, щоб забезпечити максимальну безпеку паролів, наприклад, довжина та складність. На жаль, чим довшим і складнішим є щось, тим менша ймовірність того, що людина запам’ятає це, і хоча ми хочемо, щоб зловмисники не потрапили до наших даних, ми хочемо, щоб наші команди могли запам’ятати свої паролі, щоб вони могли отримати доступ до їхніх даних. Парольні фрази (наприклад, «Fidoate!my2woolsox») допомагають як зі складністю, так і з проблемами пам’яті, об’єднуючи слова та символи у «фразу», яка може бути індивідуальною для користувача, а отже, з більшою ймовірністю запам’ятається, але також достатньо довгою, щоб зменшити ризик автентифікації грубої сили.
- Без пароля
Passwordless може бути не захищений від хакерів, але він ускладнить життя зловмисникам. Організації, які не модернізують свою тактику безпеки, особливо щодо ідентифікації та паролів, будуть більшою та легшою мішенню, ніж організації, які інвестують у безпеку з кількома рівнями. Керівники служб безпеки повинні бути гнучкими, швидшими та більш підготовленими, щоб ускладнити доступ хакерів. Така технологія, як безпарольна, значно спрощує гнучкість, швидкість і готовність.
- Навчання і виховання
Однак сильна стратегія безпеки – це більше, ніж просто впровадження технологій. Це також щоденна взаємодія з людьми, які перебувають на передовій: співробітниками та членами команди. Саме ці кінцеві користувачі стають жертвами атак MFA та фішингових електронних листів і щодня намагаються запам’ятати складні паролі для входу. Elazari закликає керівників служб безпеки розглядати кінцевих користувачів як частину вашої команди безпеки, а не просто ризик, яким потрібно керувати. «Занадто часто про кінцевих користувачів говорять як про нашу найслабшу ланку в ланцюжку безпеки. Я дуже сподіваюся, що ми зможемо змінити ці відносини. Я вважаю, що кінцеві користувачі мають велику владу в своїх руках, і ми повинні надати їм технології та навчання, щоб приймати кращі рішення щодо безпеки».
Про програмне рішення LastPass
LastPass – це менеджер паролів, який використовується для зберігання та керування паролями та іншою конфіденційною інформацією. Він допомагає користувачам створювати та використовувати надійні паролі для різних веб-сайтів і програм, не запам’ятовуючи їх усі. LastPass доступний у вигляді розширень для браузерів, мобільних додатків і веб-інтерфейсу.
Основні можливості LastPass:
- Зберігання паролів: LastPass надійно зберігає всі ваші паролі в зашифрованому сховищі. Доступ до сховища можна отримати лише за допомогою вашого головного пароля.
- Автозаповнення паролів: LastPass автоматично заповнює ваші імена користувачів і паролі на веб-сайтах і в програмах, що економить ваш час і запобігає помилкам при введенні.
- Генерація паролів: LastPass може генерувати для вас надійні та унікальні паролі, які важко вгадати.
- Синхронізація: LastPass синхронізує ваші паролі на всіх ваших пристроях, щоб ви могли отримати доступ до них де завгодно.
- Багатофакторна автентифікація: LastPass підтримує багатофакторну автентифікацію, що додає додатковий рівень безпеки до вашого облікового запису.
- Захист конфіденційної інформації: LastPass може зберігати не лише паролі, але й інші конфіденційні дані, такі як номери кредитних карток, адреси та банківські реквізити.
- Спільний доступ: LastPass дозволяє безпечно ділитися паролями з іншими людьми.
- Моніторинг темної мережі: LastPass може відстежувати ваші паролі в темній мережі та повідомляти вас, якщо вони були скомпрометовані.
Переваги LastPass:
- Покращена безпека: LastPass допомагає вам створювати та використовувати надійні паролі, що ускладнює зломалення ваших облікових записів.
- Зручність: LastPass автоматично заповнює ваші паролі, що економить ваш час і запобігає помилкам при введенні.
- Зручність використання: LastPass простий у використанні та доступний на різних платформах.
- Додаткові функції: LastPass пропонує безліч додаткових функцій, таких як спільний доступ до паролів, моніторинг темної мережі та багатофакторна автентифікація.
Недоліки LastPass:
- Вартість: LastPass пропонує безкоштовний план з обмеженими можливостями. Платні плани пропонують більше функцій, але вони можуть бути дорогими для деяких користувачів.
- Збереження даних: LastPass зберігає всі ваші паролі в зашифрованому сховищі на своїх серверах. Деяким користувачам може не подобатися ідея зберігати свої дані в хмарі.
Висновок:
LastPass – це потужний і зручний менеджер паролів, який може допомогти вам покращити безпеку ваших онлайн-облікових записів. Він пропонує безліч функцій, які роблять його цінним інструментом для будь-кого, хто хоче захистити свої дані.
Докладніше узнати про LastPass та купити підписку можна у офіційного постачальника – компанії Ідеалсофт.