Die jüngste Sicherheitsverletzung, die LastPass bekannt gegeben hat, ist ein großer Grund zur Sorge für Sicherheitsverantwortliche. Wie so oft befinden wir uns in einer Sicherheitslücke – einerseits hat LastPass festgestellt, dass Nutzer, die sich an die bewährten Praktiken von LastPass halten, praktisch keinem oder nur einem sehr geringen Risiko ausgesetzt sind. Die Behauptung, dass die Best Practices für Passwörter nicht befolgt werden, ist jedoch eine starke Untertreibung. Die Realität ist, dass es nur sehr wenige Organisationen gibt, in denen diese Praktiken wirklich durchgesetzt werden. Das bringt die Sicherheitsteams in die missliche Lage, dass eine Gefährdung fast sicher ist, es aber fast unmöglich ist, die Benutzer/innen ausfindig zu machen, die diese Gefährdung verursacht haben.
Um sie in dieser schwierigen Zeit zu unterstützen, hat die Browser-Sicherheitslösung LayerX ein kostenloses Angebot für ihre Plattform veröffentlicht, das es Sicherheitsteams ermöglicht, Einblick in alle Browser zu erhalten, auf denen die LastPass-Erweiterung installiert ist, und die potenziellen Auswirkungen des LastPass-Verstoßes auf ihre Umgebungen abzumildern, indem sie gefährdete Nutzer informieren und sie auffordern, MFA in ihren Konten zu implementieren und, falls erforderlich, ein spezielles Verfahren zum Zurücksetzen des Master-Passworts einzuführen, um zu verhindern, dass Angreifer ein kompromittiertes Master-Passwort für einen böswilligen Zugriff ausnutzen können(um Zugang zu dem kostenlosen Tool anzufordern, fülle dieses Formular aus)
Zusammenfassung der Ankündigung von LastPass: Welche Daten haben die Angreifer und wie hoch ist das Risiko?
Auf der Website von LastPass heißt es: „Der Angreifer war auch in der Lage, eine Sicherungskopie der Kundentresordaten aus dem verschlüsselten Speichercontainer zu kopieren, der in einem proprietären Binärformat gespeichert ist, das sowohl unverschlüsselte Daten wie Website-URLs als auch vollständig verschlüsselte sensible Felder wie Website-Benutzernamen und -Passwörter, sichere Notizen und Formulardaten enthält“.
Das daraus abgeleitete Risiko besteht darin, dass „der Bedrohungsakteur versuchen könnte, dein Master-Passwort mit roher Gewalt zu erraten und die Kopien der erbeuteten Tresordaten zu entschlüsseln. Aufgrund der Hashing- und Verschlüsselungsmethoden, die wir zum Schutz unserer Kunden einsetzen, wäre es äußerst schwierig, die Master-Passwörter der Kunden, die unsere Best Practices für Passwörter befolgen, mit roher Gewalt zu erraten.
Wenn du die Best Practices für Passwörter von LastPass nicht befolgst, ist das Master-Passwort für den Tresor zugänglich
Der letzte Abschnitt über „bewährte Praktiken“ ist der alarmierendste. Best Practices für Passwörter? Wie viele Leute halten sich an die bewährten Praktiken für Passwörter? Die realistische – aber bedauerliche – Antwort lautet: nicht viele. Das gilt sogar für Anwendungen, die von Unternehmen verwaltet werden. Bei privaten Anwendungen ist es keine Übertreibung anzunehmen, dass die Wiederverwendung von Passwörtern eher die Regel als der Ausnahmefall ist. Das Risiko, das die Sicherheitsverletzung bei LastPass mit sich bringt, gilt für beide Anwendungsfälle. Lasst uns verstehen, warum.
Das eigentliche Risiko: Böswilliger Zugriff auf Unternehmensressourcen
Unterteilen wir die Unternehmen in zwei Typen:
Typ A: Organisationen, in denen LastPass als Teil der Unternehmensrichtlinien für die Speicherung von Passwörtern für den Zugriff auf unternehmensverwaltete Anwendungen verwendet wird, entweder für alle Nutzer/innen oder in bestimmten Abteilungen. In diesem Fall ist das Problem ganz einfach: Ein Angreifer, der das LastPass Master-Passwort eines Mitarbeiters knackt oder sich verschafft, kann leicht auf die sensiblen Ressourcen des Unternehmens zugreifen.
Typ B: Unternehmen, in denen LastPass unabhängig von den Beschäftigten (ob für private oder berufliche Zwecke) oder von bestimmten Gruppen im Unternehmen ohne Wissen der IT-Abteilung für beliebige Apps verwendet wird. In diesem Fall besteht die Sorge, dass ein Angreifer, dem es gelingt, das LastPass Master-Passwort eines Mitarbeiters zu knacken oder in seinen Besitz zu bringen, die Neigung der Benutzer zur Wiederverwendung von Passwörtern ausnutzt und nach der Kompromittierung der Passwörter im Tresor eines findet, das auch für den Zugriff auf Unternehmensanwendungen verwendet wird.
Die Sackgasse des CISO: Gewisse Bedrohung, aber extrem geringe Möglichkeiten zur Eindämmung
Unabhängig davon, ob ein Unternehmen zu Typ A oder B gehört, ist das Risiko eindeutig. Was die Herausforderung für den CISO in dieser Situation noch verschärft, ist die Tatsache, dass es zwar eine hohe Wahrscheinlichkeit – um nicht zu sagen Gewissheit – gibt, dass es in ihrer oder seiner Umgebung Mitarbeiter gibt, deren Benutzerkonten kompromittiert werden könnten, der CISO aber nur sehr begrenzte Möglichkeiten hat, zu wissen, wer diese Mitarbeiter sind, geschweige denn, die erforderlichen Schritte zu unternehmen, um das von ihnen ausgehende Risiko zu mindern.
LayerX Gratis-Angebot: 100%ige Sichtbarkeit der LastPass-Angriffsfläche sowie proaktive Schutzmaßnahmen
LayerX hat ein kostenloses Tool veröffentlicht, das Sicherheitsteams dabei unterstützt, die Gefährdung ihrer Organisation durch den LastPass-Angriff zu verstehen, alle gefährdeten Nutzer und Anwendungen zu kartieren und Sicherheitsmaßnahmen zu ergreifen.
Das Tool von LayerX wird als Unternehmenserweiterung für den von den Mitarbeitern verwendeten Browser bereitgestellt und bietet somit sofortigen Einblick in alle Browsererweiterungen und Surfaktivitäten jedes Nutzers. Damit können CISOs Folgendes erreichen:
- LastPass Usage Mapping: End-to-End-Transparenz in allen Browsern, auf denen die LastPass-Erweiterung installiert ist, unabhängig davon, ob sie Teil der Unternehmensrichtlinie (Typ A) ist oder persönlich genutzt wird (Typ B). Das Tool zeigt alle Anwendungen und Web-Ziele an, deren Anmeldeinformationen in LastPass gespeichert sind. Es ist anzumerken, dass die Herausforderungen in Bezug auf die Sichtbarkeit für Typ-B-Organisationen viel größer sind als für Typ-A-Organisationen und von keiner anderen Lösung als dem Tool von LayerX bewältigt werden können.
| Der LastPass-Bericht von LayerX |
| Die Benachrichtigung von LayerX an gefährdete Nutzer |
- GefährdeteNutzer identifizieren: Mit diesem Wissen können Sicherheitsteams gefährdete Nutzer informieren und sie auffordern, MFA für ihre Konten zu implementieren. Außerdem können sie ein spezielles Verfahren zum Zurücksetzen des Master-Passworts einführen, um zu verhindern, dass Angreifer ein kompromittiertes Master-Passwort für einen böswilligen Zugriff nutzen können.
Um Zugang zu dem kostenlosen Tool zu erhalten, fülle dieses Formular aus.