AFI Distribution

💻 Приглашаем на вебинар «Scirge и теневое ИТ: неуправляемые учетные записи» 17.02 в 13:00 по мск

Теневое ИТ уже проникло в вашу компанию: учетные записи в облачных сервисах, социальных сетях, рекламной аналитике, тендерных площадках и прочих чужих системах создаются без контроля и уже представляют собой реальную угрозу для вашего бизнеса.

Отсутствие контроля теневого ИТ приводит к успешным фишинговым атакам, захвату учетных записей и проникновению в сеть — нешуточный риск для вашей компании вплоть до остановки бизнеса.

Приглашаем на вебинар про Scirge — качественно новое решение для контроля теневого ИТ:
▪️покажем на примерах, что такое теневое ИТ;
▪️обозначим сложности управления учетками в облачных сервисах;
▪️объясним, почему CASB и прочие классические средства ИБ не подходят для этой задачи;
▪️продемонстрируем Scirge живьем, объясним принципы работы.

Продукт подходит для компаний любых масштабов и рекомендуется к использованию в любой сети, так как вопрос учетных записей на внешних ресурсах не решен практически ни в одной компании.

Мероприятие будет полезно руководителям ИТ и ИБ, ИТ-администраторам, ИТ-интеграторам и поставщикам ПО.

✔️ Регистрируйтесь по ссылке: https://afi-distribution.ru/webinars/170220221300



#теневоеИТ
#вебинар

🔹 К чему приводит отсутствие единых нормативных требований к безопасности корпоративных паролей

Требования к надежности пароля существуют с начала 2000-х годов, однако современные требования до сих пор не согласованы с нормативными документами, которые часто содержат противоречащие рекомендации.

Стандарт безопасности данных индустрии платежных карт (PCI DSS) версии 3.2.1 по-прежнему требует регулярной смены пароля: «Для выборки компонентов системы проверьте параметры конфигурации системы, чтобы убедиться, что параметры пароля пользователя /парольной фразы установлены так, чтобы пользователи меняли пароли не реже одного раза в 90 дней».

Национальный институт по стандартизации и технологии США (NIST) отмечает, что следует применять правила в отношении сложности паролей и контекстные фильтры, рекомендуя организациям проверять списки скомпрометированных паролей:
• Пароли, полученные в ходе предыдущих взломов.
• Слова из словарей.
• Повторяющиеся или последовательные символы.
• Слова, характерные для определенного контекста, такие как название сервиса, имя пользователя и производные на их основе.

NIST также запрещает другие правила в отношении сложности паролей и периодическую смену пароля, если отсутствуют явные признаки взлома: «Проверяющим НЕ СЛЕДУЕТ вводить другие правила составления паролей (например, требовать совместного использования разных типов символов или запрещать последовательно повторяющиеся символы) для запомненных паролей. Проверяющим НЕ СЛЕДУЕТ требовать изменения запомненных паролей (например, периодически). Однако проверяющие ДОЛЖНЫ принудительно внести изменения, если есть доказательства компрометации аутентификатора».

ISO 27001 также требует использовать «качественные пароли» и считает их регулярную смену (без указания точных временных интервалов) «необходимой». Такое разногласие в требованиях может сбивать с толку и пользователей, и администраторов по безопасности.

Более свежим руководством BSI, Федерального ведомства по информационной безопасности Германии, является документ «Краткое руководство по обеспечению ИТ-безопасности». В нем содержится четкий запрет на политику смены паролей, основанную исключительно на времени: «ИТ-системы или приложения ДОЛЖНЫ ТОЛЬКО предлагать вам изменить пароль при наличии веской причины. СЛЕДУЕТ избегать изменений паролей, основанных только на времени».

Таким образом предлагается, возможно, более современный подход: пользователей не заставляют регулярно менять пароли, так как это в конечном итоге приведет к перекрестному использованию учетных данных в разных системах. Частые изменения паролей побуждают пользователей повторно использовать очень похожие фразы или простые вариации этих фраз, такие как изменение нескольких символов или цифр в пароле.

BSI также добавляет несколько очень важных требований, которые, как считается, соответствуют учетным записям AD, сторонним сервисам и SaaS: «Пароли НЕ ДОЛЖНЫ использоваться более одного раза. Для каждой ИТ-системы или каждого приложения можно использовать один подходящий пароль. ЗАПРЕЩАЕТСЯ использовать легко угадываемые пароли или пароли из популярных списков паролей».

Британский Национальный центр кибербезопасности (National Cyber Security Center, NCSC) также использует современный подход, аналогичный BSI: «Пароли должны быть защищены внутри вашей системы, даже если информация в защищенной системе является относительно неважной. Повторное использование паролей означает, что злоумышленник может использовать эту информацию при попытке получить доступ к более важным учетным записям, что может нанести дополнительный ущерб».

BSI продолжает: «Если альтернативные варианты отсутствуют и компаниям нужен совместный доступ к учетной записи или устройству, то доступ к паролю должен контролироваться и постоянно пересматриваться для управления рисками:
• Пароль должен передаваться только в рамках минимально возможной группы известных и доверенных пользователей.
• Пароль не должен быть доступен пользователям, у которых нет разрешения на доступ к нему.
• Если кому-то больше не разрешен доступ, следует изменить пароль».



#кибербезопасность
#пароли