0
0
A violação do LastPass será lembrada como paradigmática. O raio de explosão desta violação de agosto de 2022 cresceu de ruim a catastrófico durante um período de seis meses. Inicialmente, o CEO da LastPass declarou a violação contida. No entanto, em novembro de 2022, descobriu-se que um agente de ameaças desconhecido acessou o ambiente de armazenamento baseado em nuvem do LastPass e os cofres de senhas criptografados usando informações obtidas durante o incidente de agosto. No final do ano, a LastPass confirmou que os dados dos clientes, incluindo senhas criptografadas e nomes de usuário, haviam sido comprometidos.
Em 3 de março, foi revelado que a causa raiz da violação de dados do LastPass era surpreendentemente básica. O invasor comprometeu o computador pessoal de um engenheiro de DevOps do LastPass por meio de uma vulnerabilidade antiga em um pacote de software de mídia de terceiros chamado Plex, que aparentemente foi usado por um funcionário para fins pessoais. Consequentemente, o computador foi infectado com um keylogger, permitindo que os agentes de ameaças roubassem dados do cofre de senhas parcialmente criptografados e informações do cliente.
Os detalhes recentemente revelados da violação de dados do LastPass fornecem lições importantes para as organizações, particularmente as empresas de segurança.
Aderir à sua política de BYOD: uma obrigação para usuários privilegiados
É preocupante que quatro engenheiros do LastPass com acesso a ativos altamente confidenciais tenham sido capazes de usar seus dispositivos pessoais, incluindo aplicativos pessoais, para fins de trabalho. Os dispositivos pessoais geralmente não possuem os mesmos protocolos e patches de segurança que os dispositivos emitidos pela empresa, e podem ser usados por membros da família ou para atividades não relacionadas ao trabalho, o que pode aumentar significativamente o risco de comprometimento. De acordo com uma pesquisa da Action1, 43% dos profissionais de TI relataram que o principal comportamento de risco a que os trabalhadores remotos são suscetíveis é permitir que os membros da família usem dispositivos corporativos para atividades não relacionadas ao trabalho.
Para mitigar esses riscos, as organizações devem ter políticas de segurança rígidas que se apliquem a todos os usuários, particularmente aos privilegiados. A emissão de dispositivos de propriedade da empresa sujeitos a atualizações e protocolos de segurança regulares é a prática recomendada. No entanto, em situações em que os dispositivos pessoais são usados para o trabalho, é essencial estabelecer uma política robusta de BYOD (traga seu próprio dispositivo), garantindo que as máquinas pessoais sigam as mesmas medidas de segurança que os dispositivos emitidos pela empresa, incluindo atualizações regulares, software antimalware e autenticação multifator (MFA).
Não deixe que vulnerabilidades legadas coloquem seus endpoints em risco
Na violação do LastPass, o invasor explorou uma vulnerabilidade em um pacote de software de mídia de terceiros chamado Plex. Embora a Plex tenha emitido um patch para a vulnerabilidade há 75 versões, a máquina do funcionário no LastPass não havia sido atualizada. Isso ressalta a importância de as empresas permanecerem vigilantes em seu gerenciamento de patches, especialmente para software de terceiros. Também é essencial monitorar o software instalado nas máquinas dos funcionários e garantir que ele esteja em conformidade com as políticas de segurança corporativa. No entanto, não são apenas vulnerabilidades de segurança legadas que podem ser encontradas em softwares de terceiros não aprovados – elas também podem existir em aplicativos comumente usados, como navegadores. É difícil subestimar a importância do gerenciamento automatizado de patches para aplicativos de sistema operacional e de terceiros em segurança cibernética.
Evite MFA facilmente contornada
A violação do LastPass destaca as limitações do MFA. Nesse incidente, o malware de keylogging capturou o token MFA de um funcionário, permitindo que o invasor ignorasse essa medida de segurança. Isso mostra que nem todos os métodos de MFA são igualmente seguros.
A questão é que, apesar da popularidade do MFA, algumas organizações podem tê-lo adotado sem entender completamente as nuances dos diferentes métodos de MFA. Existem muitos serviços que fornecem autenticação via SMS, e-mail ou aplicativos de autenticação. No entanto, a realidade é que o MFA com tokens de hardware é o mais seguro. Os tokens de hardware geram senhas exclusivas que são difíceis de interceptar ou replicar, e não dependem de conexões de Internet ou celular e devem ser considerados para proteger o acesso a serviços com ativos altamente confidenciais.
Crie segurança em seus produtos e infraestrutura desde o início
Embora a LastPass tenha declarado medidas avançadas de segurança para seus produtos, a violação revelou lacunas em várias áreas. Por exemplo, o LastPass armazenou sementes de MFA e a chave K2 (componente de conhecimento dividido) juntas, o que permitiu que os agentes de ameaças as acessassem depois de obter chaves de descriptografia para backups criptografados do banco de dados de MFA/federação do LastPass. Teria sido mais prudente armazenar esses ativos altamente sensíveis separadamente. Além disso, embora o LastPass exija que os usuários implementem senhas mestras fortes, essas medidas nem sempre são aplicadas e as notificações podem não ser perceptíveis o suficiente, conforme indicado por alguns especialistas.
Isso sugere que ocorreu uma situação típica em que a arquitetura de TI se desenvolve em resposta à demanda de negócios para atender às necessidades e capturar o mercado, e a segurança de TI é incorporada à arquitetura somente mais tarde. Como resultado, torna-se difícil incorporar políticas de segurança e redesenhar a arquitetura de acordo. Portanto, é melhor considerar a segurança de TI desde o início do desenvolvimento de produtos.
Conclusão
Ataques cibernéticos devastadores geralmente podem ser evitados com medidas básicas de segurança cibernética, mas até mesmo as empresas de segurança podem cometer erros. Devemos aprender com esses erros para melhorar nossas próprias práticas de segurança.
FONTE: DARK READING