АйТи Бастион
@itbastion
Пришла беда — отворяй... парольное хранилище...
На этой неделе подписчики написали нам несколько вопросов об уязвимостях в некогда популярном сервисе Passwordstate. В ответ у нас есть #аргументы_по_фактам
Если вкратце, то злоумышленникам удалось обойти процесс аутентификации и получить доступ к странице администрирования продукта. Это была страница экстренного восстановления работы Passwordstate, поэтому предполагаем, что данные для расшифровки хранились на сервере разработчика — вот и дополнительный фактор риска не для одной компании, а для всех пользователей продукта.
Да, вендор предложил срочное обновление (не тяните, если пользуетесь), но позже также признался, что часть данных могла утечь.
Все мы понимаем, что получение такого доступа грозит компрометацией чувствительных пользовательских данных. В разрезе корпоративного сегмента — это получение доступа к критическим системам, а соответственно, последующие финансовые и репутационные потери.
В «АйТи Бастион» при разработке собственного менеджера секретов «Персональные сейфы» была принята парадигма полного исключения доступа администратора к пользовательским хранилищам. Это обеспечивает защиту в концепции «нулевого разглашения»:
Защита от реализации внутренней угрозы со стороны администратора.
Защита от внешнего воздействия — такого, как в примере с австралийским разработчиком выше. Хранение зашифрованных паролей внутри контура компании без возможности их дешифровки со стороны администратора системы обеспечивает дополнительную безопасность.
Минимизация доступа к чувствительным данным. Пользовательские секреты доступны только владельцу сейфа. Передача этих секретов инициируется только им самим.
Передача сейфа — в случае необходимости группового использования или делегирования управления системами на некоторое время — тоже обеспечивается дополнительной защитой
Может возникнуть закономерный вопрос: а как восстановить доступ к сейфу, если он был утерян? Никак. Это осознанный компромисс между безопасностью и удобством.
Поэтому, если вы настроены на максимальную защиту критически важных данных при обращении с корпоративными секретами, то обратите внимание на «Персональные сейфы». Продукт полностью исключает саму возможность компрометации как извне, так и изнутри.
На этой неделе подписчики написали нам несколько вопросов об уязвимостях в некогда популярном сервисе Passwordstate. В ответ у нас есть #аргументы_по_фактам
Если вкратце, то злоумышленникам удалось обойти процесс аутентификации и получить доступ к странице администрирования продукта. Это была страница экстренного восстановления работы Passwordstate, поэтому предполагаем, что данные для расшифровки хранились на сервере разработчика — вот и дополнительный фактор риска не для одной компании, а для всех пользователей продукта.
Да, вендор предложил срочное обновление (не тяните, если пользуетесь), но позже также признался, что часть данных могла утечь.
Все мы понимаем, что получение такого доступа грозит компрометацией чувствительных пользовательских данных. В разрезе корпоративного сегмента — это получение доступа к критическим системам, а соответственно, последующие финансовые и репутационные потери.
В «АйТи Бастион» при разработке собственного менеджера секретов «Персональные сейфы» была принята парадигма полного исключения доступа администратора к пользовательским хранилищам. Это обеспечивает защиту в концепции «нулевого разглашения»:
Защита от реализации внутренней угрозы со стороны администратора.
Защита от внешнего воздействия — такого, как в примере с австралийским разработчиком выше. Хранение зашифрованных паролей внутри контура компании без возможности их дешифровки со стороны администратора системы обеспечивает дополнительную безопасность.
Минимизация доступа к чувствительным данным. Пользовательские секреты доступны только владельцу сейфа. Передача этих секретов инициируется только им самим.
Передача сейфа — в случае необходимости группового использования или делегирования управления системами на некоторое время — тоже обеспечивается дополнительной защитой
Безопасный способ передачи: уникальная ссылка с ограниченным сроком действия.
Ограничения в правах на управление сейфом (чтение, использование, изменение).
Явно обозначенный срок права на использование сейфа.
Дополнительная защита сейфа пломбой (отдельным мастер-ключом), которая не хранится в системе и передаётся по альтернативным каналам связи. В связке «уникальная ссылка + пломба» доступ к сейфу имеют только те, кому пользователь это разрешил в явном виде.
Может возникнуть закономерный вопрос: а как восстановить доступ к сейфу, если он был утерян? Никак. Это осознанный компромисс между безопасностью и удобством.
Поэтому, если вы настроены на максимальную защиту критически важных данных при обращении с корпоративными секретами, то обратите внимание на «Персональные сейфы». Продукт полностью исключает саму возможность компрометации как извне, так и изнутри.
🔥 6
4
👍 3
2 733
Обсуждение 0
Обсуждение не доступно в веб-версии. Чтобы написать комментарий, перейдите в приложение Telegram.
Обсудить в Telegram