Warum eine bessere Passworthygiene Teil Ihrer Neujahrsvorsätze sein sollte

Unternehmen müssen davon ausgehen, dass sich bereits schlechte Akteure in ihren Netzwerken befinden

Die Welt wurde im Jahr 2020 mit zahlreichen Lektionen aus dem Leben konfrontiert, aber es ist klar, dass Millionen von Menschen immer noch keine der grundlegendsten Lektionen in Bezug auf Sicherheit gelernt haben. Ein neuer Bericht von NordPass hat ergeben, dass Millionen von Menschen die Gewohnheit, leicht zu merkende, aber leicht zu hackende Passwörter zu verwenden, immer noch nicht gebrochen haben.

Von den 200 am häufigsten verwendeten Passwörtern nahm „123456“ erneut den ersten Platz ein, aber leider kann es für die mehr als zwei Millionen Benutzer, die es verwenden, in weniger als einer Sekunde gebrochen werden. Andere beliebte Passwörter waren „iloveyou“ und das noch so kreative „Passwort“. Wenn es um Verstöße geht, führen alle Wege immer noch zur Identität.

Hacker hacken nicht mehr ein. Sie melden sich mit gestohlenen, schwachen, standardmäßigen oder anderweitig gefährdeten Anmeldeinformationen an. Aus diesem Grund ist es wichtig, dass jeder die Passworthygiene ganz oben auf die Liste der Neujahrsvorsätze setzt.

Trotz aller neuen Technologien, Strategien und künstlichen Intelligenz, die von Sicherheitsexperten und Bedrohungsakteuren gleichermaßen eingesetzt werden, bleibt eines konstant: das menschliche Element. Als Menschen sind wir fehlbar – eine Tatsache, die Bedrohungsakteure häufig ausnutzen, wenn sie Phishing- und Social-Engineering-Kampagnen starten, um in der IT-Umgebung ihres Opfers Fuß zu fassen.

Die Realität ist, dass viele Verstöße durch einige der grundlegendsten Cyber-Hygienepraktiken verhindert werden können. Die meisten Unternehmen investieren jedoch weiterhin den größten Teil ihres Sicherheitsbudgets in den Schutz des Netzwerkumfangs, anstatt sich auf die Einrichtung wichtiger identitätsbezogener Sicherheitskontrollen zu konzentrieren.

Eine kürzlich von der Identity Defined Security Alliance (IDSA) durchgeführte Studie zeigt, dass Datenverletzungen aufgrund von Anmeldeinformationen sowohl allgegenwärtig (94% der Befragten hatten einen identitätsbezogenen Angriff) als auch in hohem Maße vermeidbar (99%) sind.

Das heutige Wirtschaftsklima verschärft diese Cyberrisiken und die Auswirkungen der COVID-19-Epidemie haben zu einer Beschleunigung der digitalen Transformation und des technischen Wandels geführt, die die Identitäts- und Zugangsmanagementpraktiken von Stresstest-Organisationen weiter vorantreiben werden.

Dies schafft neue Herausforderungen bei der Minimierung von Zugriffsrisiken in herkömmlichen Rechenzentren, Cloud- und DevOps-Umgebungen. Was kann also getan werden, um Datenverletzungen aufgrund von Anmeldeinformationen zu minimieren?

Verbraucher und Unternehmen müssen statische Passwörter aufgeben und erkennen, dass die Multi-Faktor-Authentifizierung (MFA) die niedrigste hängende Frucht zum Schutz vor gefährdeten Anmeldeinformationen ist. Dieser Ansatz erfordert einen zusätzlichen Schritt, um eine Identität über einen Benutzernamen und ein Kennwort hinaus mit etwas zu überprüfen, das der Benutzer kennt (z. B. einen Textcode), das er hat (z. B. ein Smartphone) oder das er ist (z. B. einen Gesichts- oder Fingerabdruckscan) ).

Einzelpersonen sollten Passwort-Manager verwenden. Ein Passwort-Manager ist eine einfache Möglichkeit, um sicherzustellen, dass Mitarbeiter komplexe Passwörter verwenden. Einige Lösungen weisen den Benutzer auch darauf hin, ob eines der Kennwörter bei einem Datenverstoß möglicherweise kompromittiert wurde, und fordern ihn auf, es sofort zu ändern.

Für Unternehmen ist weniger mehr. Anstatt mehr Geld in einen Sicherheitsansatz für Schrotflinten zu stecken, sollten Unternehmen eine Strategie verfolgen, die auf den Kauf der Tools mit der höchsten Belohnung ausgerichtet ist. Da privilegierter Zugriff heute ein führender Angriffsvektor ist, sollte das intelligente Geld genau dort eingesetzt werden. Wenn wir davon ausgehen, dass sich Hacker bereits im Netzwerk befinden, ist es sinnvoll, mehr Geld für die Verhärtung des Perimeters auszugeben oder die Bewegung innerhalb des Netzwerks einzuschränken?

Das Vorhandensein eines privilegierten Zugriffs birgt ein erhebliches Risiko, und selbst wenn PAM-Tools (Privileged Access Management) vorhanden sind, bleibt das Restrisiko von Benutzern mit ständigen Berechtigungen hoch. Unternehmen müssen wiederum einen „Zero Trust“ -Ansatz verfolgen. Zero Trust bedeutet, niemandem zu vertrauen – nicht einmal bekannten Benutzern oder Geräten -, bis diese verifiziert und validiert wurden.

Ein identitätsorientierter Sicherheitsansatz, der auf den Zero Trust-Prinzipien basiert, stellt das Vertrauen wieder her und gewährt dann Just-in-Time-Zugriff mit den geringsten Berechtigungen, basierend auf der Überprüfung, wer Zugriff anfordert, dem Kontext der Anforderung und dem Risiko der Zugriffsumgebung.

Letztendlich müssen Organisationen davon ausgehen, dass sich schlechte Akteure bereits in ihren Netzwerken befinden. Und die Verbraucher müssen erkennen, dass sie ständige Ziele sind. Im Jahr 2021 sollten Unternehmen aller Branchen in Betracht ziehen, auf einen Zero Trust-Ansatz umzusteigen, der auf zusätzlichen Sicherheitsmaßnahmen wie MFA und Zero Standing Privilegs basiert, um der Sicherheitskurve immer einen Schritt voraus zu sein und Passwörter endgültig zurückzulassen.