Dags att tänka om kring säkerheten – lösenord viktigt men långt ifrån tillräckligt

[KRÖNIKÖR] Säkerhetsincidenterna duggar tätt, även hos stora företag med en hel del resurser på sina säkerhetsavdelningar. Trafikverket, Facebook och banker har alla skapat rubriker på grund av bristande säkerhet.

Oavsett om det handlar om dataintrång, identitetsstölder eller andra incidenter, fortsätter de skador som uppstår att göra rubriker världen över. Detta i kombination med införandet av GDPR, har bidragit till att skyddet av anställdas identiteter och att ha kontroll på företagets data har blivit en topprioritet.

Just säkerheten hamnade återigen i fokus när vi på Okta analyserade resultaten av vår globala undersökning, Businesses@Work. I undersökningen använder vi anonymiserad data från företag och organisationer från vårt kundnätverk för att påvisa vilka trender som påverkar införandet av molnbaserade applikationer. Resultatet visar tydligt att företag och organisationer inte bara väljer att införa de lösningar som passar dem bäst, de ser även till att säkra användningen av dem.

Samtidigt finns det fortfarande gott om utrymme att förbättra flera områden i sitt säkerhetsarbete. Att införa de senaste teknologierna, att etablera en relevant lösenordspolicy och att införa multifaktorautentisering (MFA) är några av de åtgärder som organisationer borde arbeta med för att öka sina chanser till ett effektivt skydd. Här är några viktiga exempel:

Ta tillvara möjligheterna som ny teknologi medför

Organisationer investerar stort i företag som erbjuder säkerhetsverktyg och kan påvisa hur de möter hoten, till exempel Jamf, KnowBe4, DigiCert, Cisco Umbrella, Mimecast, Sophos, och CloudFlare, vilka alla rankas bland de topp 15 snabbast växande applikationerna. Jamf, vilka erbjuder mjukvara för att hantera och säkra Apple-enheter, var den app som växte snabbast bland våra kunder med en tillväxt på 389 procent under det senaste året. Den tillväxten visar att IT-avdelningen arbetar med att hitta lösningar som ger anställda möjlighet att välja de enheter de vill ha samtidigt som företaget bibehåller den kontroll som säkerhetsteamen behöver.

Sätt er in i hotbilden – på djupet

Verizons 2017 Data Breach Investigations Report visar att 81 procent av intrången sker på grund av att inloggningsprocessen inte fungerat tillräckligt bra – men vad mer vet vi om attacker som riktas mot användares identiteter? Kina och Ryssland dominerar när det gäller de intrång som media rapporterar om, men vi kan inte ignorera hot från andra delar av världen, inte minst då hackare kan få det att se ut som att attacker kommer från andra källor än de i själva verket gör.

Incidentanalyser visar att både molntjänster och tjänster som hanteras on-premise är föremål för attacker, och att personliga data och inloggningsuppgifter är hårdvaluta för angripare. Attackerna ser olika ut och det är därför viktigt att organisationer ser till att de själva har tillgång till verktyg som kan upptäcka och övervaka läget, samt att informationen kring hotbilden kommer från många olika källor. Det är till exempel bra att känna till att 23 procent av attackerna kommer från så kallade Tor exit nodes – med andra ord från the dark web. Tor hjälper angripare att dölja sina spår så organisationer bör blockera dessa internetprotokoll i möjligaste mån.

Effektivisera lösenordspolicyn

För att kunna skydda sig är det viktigt att förstå vilka tekniker som hackare använder sig av. Tre vanliga tekniker är credential phishing, password spraying och brute force attacks. För att credential phishing-attacker ska göra skada krävs bara att en enda användare klickar på en länk och anger sina personliga uppgifter, exempelvis lösenord och användarnamn. Phishing-attacker går ut på att användare luras att lämna ut sina uppgifter till en webbsida som ser ut att vara legitim när den i själva verket inte är det. Password spray-tekniken går ut på att angriparen använder vanliga lösenord (så som lösenord123) och sprider dem över olika domäner med hopp om att de ska fungera på något eller några ställen. Brute force-attacker fungerar på ett liknande sätt som password spraying, men använder särskilda datorgenererade algoritmer med syfte att gissa sig till lösenord av en mindre mängd användare.

Angreppen kan vara mer eller mindre avancerade och verksamheter behöver hantera dem på ett holistiskt sätt. Mer effektiva lösenord är ett: en enkel jämförande analys där man jämförde företags lösenordspolicys och ett representativt urval av lösenord som blivit hackade visade att många användare väljer allt för ineffektiva lösenord. För att öka säkerheten behöver företag följa de standarder som finns – exempelvis via amerikanska National Institute of Standards and Technology (NIST), vilka förespråkar en ökad komplexitet genom lösenordets längd (minst åtta tecken). Enligt vår analys var mindre än hälften av de hackade lösenorden minst åtta tecken långa. Enligt beräkningar skulle det ta en hackare 7000 år att lista ut ett åtta tecken långt lösenord – men de nya taktikerna och verktygen gör att det ofta bara tar några sekunder.

Eftersom de hundratals miljoner lösenord som har exponerats av hackare finns tillgängliga online, kan angripare försöka att logga in med dessa på flera olika ställen. Angripare kan dessutom försöka kapitalisera på svaga lösenord, exempelvis genom att lägga till specialtecken I slutet, använda användarnamn som lösenord eller genom att lägga till en stor bokstav som första tecken och samtidigt se till att de håller sig inom ramarna för tillåtet antal inloggningsförsök utan att bli blockerade. Trots att lösenordsalgoritmer blir allt mer avancerade kan verksamheter minska riskerna genom att se till att verksamhetens policy omfattar förbud mot att använda lösenord som blivit hackade – och därmed finns tillgängliga publikt. När det kommer till kritan finns inget facit på hur man löser lösenordsproblematiken en gång för alla. När det gäller phishing-attacker spelar dessutom lösenordets utformning ingen som helst roll. Så vad kan man då göra?

Implementera multifaktor-autentisering

Trots att utformningen av lösenord är en viktig del av säkerhetshanteringen, är det inte tillräckligt i sig självt. Det krävs att verksamheter inför en andra autentiseringsfaktor för att öka säkerheten ordentligt. Tillväxten av multifaktor-autentiseringslösningar (MFA) visar att många verksamheter har insett detta. Nära 70 procent av Oktas kunder ger sina anställda möjligheter att använda tre eller fler faktorer, en ökning från 62 procent på ett år.

Men att bara införa en andra autentiseringsfaktor räcker inte. Säkerhetsfrågor och SMS-baserade inloggningar är bättre än en enda faktor, men de är inte exempel på vad som är mest effektivt. Istället bör verksamheter införa säkrare MFA-faktorer, så som Yubikey eller Okta Verify- och företag måste ta till sig den information kring hotbilden som finns via interna och externa källor för att uppdatera autentiseringspolicys i linje med hotbilden.

Säkerhet kommer, med rätta, att fortsätta att vara ett av de mest prioriterade områdena under det kommande året. Genom att använda sig av de grundläggande råden kring autentiseringsprocesser I kombination med den säkerhetsteknologi som finns, kommer verksamheter att vara i ett betydligt bättre läge i sin strävan att skydda sina data och se till att de själva undviker att bli nästa företag som skapar rubriker på grund av att hackare lyckats komma åt och sprida känslig data om dem eller deras kunder.

Av: Jesper Frederiksen, Okta