Mentre le organizzazioni spendono milioni di dollari in tecnologie di sicurezza informatica, troppe aziende stanno ancora trascurando le basi. Secondo Verizon, oltre l’80% dei cyberattacchi riusciti sono riconducibili a password deboli o compromesse. Questo include il recente cyberattacco a Verkada, che ha compromesso circa 150.000 telecamere di videosorveglianza, compresi i feed situati negli impianti di produzione Tesla, la sede centrale di Cloudflare e gli uffici distaccati, e una serie di ospedali, prigioni e scuole, come riportato in ComputerWeekly.
Nel caso di Verkada, non è stata compromessa una password qualsiasi. Come riportato da Dark Reading, si trattava di una password “super admin” che garantiva un accesso quasi illimitato non solo a tutte le telecamere di sorveglianza di Verkada, ma anche ai suoi sistemi più sensibili. E c’è di peggio. Secondo Dark Reading, questa password è stata condivisa da oltre 100 utenti interni a Verkada.
Si tratta di tante persone a cui concedere l’accesso “super admin”, soprattutto perché la maggior parte delle organizzazioni stanno adottando ambienti di sicurezza zero-trust. Tra le altre salvaguardie, lo zero-trust impone che ai dipendenti sia dato l’accesso ai sistemi con il “minimo privilegio”; questo significa che ad ogni dipendente è concesso solo l’accesso ai sistemi sufficiente per eseguire il proprio lavoro, e non di più.
Mentre il mondo si digitalizza, i rischi informatici crescono
La pandemia COVID-19 ha accelerato di diversi anni gli sforzi di trasformazione digitale delle organizzazioni. Questo include la distribuzione di dispositivi Internet of Things (IoT) come le telecamere di sorveglianza. Ci sono già più dispositivi IoT che persone sulla Terra, e Cisco stima che entro il 2023, i dispositivi IoT supereranno gli esseri umani di tre volte.
Mentre le aziende di soluzioni di sicurezza lanciano nuove tecnologie nei prossimi anni, è fondamentale che i leader organizzativi non perdano di vista il passo più semplice ma più importante per proteggere i loro sistemi e dispositivi: proteggere le password dei loro dipendenti.
Ecco alcune lezioni sulla sicurezza delle password che abbiamo imparato dal Data Beach a Verkada
- Richiedere che tutti i dipendenti usino password forti e uniche per ogni account legato al lavoro e abilitare l’autenticazione a più fattori (2FA) su tutti gli account che la supportano.
- Implementare il controllo di accesso basato sui ruoli (RBAC) con accesso con il minor numero di privilegi. È difficile concepire uno scenario in cui 100 dipendenti abbiano bisogno di un accesso “super admin”.
- Distribuire un gestore di password in tutta l’azienda e richiedere ai dipendenti di usarlo.
La piattaforma di gestione e sicurezza delle password Zero Trust di Keeper offre agli amministratori IT una visibilità completa delle pratiche relative alle password dei dipendenti, consentendo loro di monitorare l’uso delle password e applicare le politiche di sicurezza delle password in tutta l’organizzazione. I controlli di accesso permettono agli amministratori di impostare le autorizzazioni dei dipendenti in base ai loro ruoli e responsabilità, nonché di impostare cartelle condivise per singoli reparti, team di progetto o qualsiasi altro gruppo.
Keeper richiede solo pochi minuti per l’implementazione, richiede una gestione minima e può essere scalato per soddisfare le esigenze di organizzazioni di qualsiasi dimensione.
Fonte: Keeper Security