AFI Distribution

🔷Как защитить корпоративные пароли

Scirge позволяет обнаруживать повторное использование корпоративных паролей для личных нужд без сбора каких-либо персональных данных сотрудников.

Повторное использование корпоративного пароля (даже пароля Active Directory) в личной учетной записи – будь то для развлечения, защиты личных финансов или любых других целей – серьезная угроза безопасности. В сети находятся миллиарды скомпрометированных учетных записей. Возможность установить принадлежность разных адресов электронной почты одному и тому же лицу становится потенциальной угрозой для сотрудников высокого ранга и руководителей.

Это один из самых темных уголков теневых ИТ, поскольку личные учетные записи не имеют к организации никакого отношения. Однако используемые в них пароли могут создать невидимые лазейки в вашу корпоративную инфраструктуру.

Версия Scirge 3.1 позволяет собирать хэши паролей без сбора информации об учетной записи, т.е. без сбора адресов электронной почты или URL-адресов, по которым они использовались. Это означает, что алгоритмы можно настроить на мониторинг личной активности с единственной целью точно определить, использует ли кто-либо корпоративный пароль в личном приложении. Кстати, мы также никогда не храним корпоративные пароли в открытом виде, чтобы не создавать лишних угроз безопасности компании.

Хэши паролей могут храниться в нашей локальной среде, никогда не выходя за ее пределы, чтобы мы в любой момент могли выявить случаи повторного и совместного использования паролей. Новая версия позволяет нам пролить свет даже на самые темные уголки теневых ИТ, проявляя уважение к нашим сотрудникам и их личной тайне.



#кибербезопасность

🔹Как обезопасить себя от теневых ИТ

➡️ Возможность регистрировать каждый вход в веб-приложение.

Сайты, на которых используются технология единого входа и поставщики удостоверений, не создают новых паролей, поэтому украденные учетные данные должны быть получены откуда-то еще.

➡️ Проверяйте каждый пароль, который используют ваши сотрудники, на предмет надежности, повторного использования, нарушений и других признаков цифровой гигиены.

Повторное использование паролей (особенно в учетных записях Active Directory) представляет собой угрозу безопасности. Слабые пароли легче атаковать, а взломанные пароли необходимо заменять, даже если раньше они были надежными и достаточно сложными.

➡️ Проводите инвентаризацию для каждого сотрудника и каждого приложения.

В случае увольнения сотрудников вы будете знать, о каких учетных записях нужно позаботиться.

➡️ Непрерывно напоминайте сотрудникам о возможных последствиях их действий.

Вы не можете винить сотрудников за несоблюдение нормативных требований, если они при этом надлежащим образом пользуются учетной записью, – у них другие задачи. Но вы можете их постоянно обучать и предупреждать, именно в тот момент, когда они подвергаются риску.



#теневыеит

☁️Тренды и реальность облачной безопасности

Пограничные сервисы безопасного доступа (SASE), нулевое доверие и решения для управления данными с защитой конфиденциальности – основные тренды информационной безопасности. Но в реальности существует несоответствие между тем, как на самом деле происходят атаки и утечка данных, и сценариями использования, которые предлагают эти подходы.

Учетные данные остаются основной целью хакеров, а фишинг — их излюбленным методом атаки. Что такое фишинг на самом деле? Его цель — завладеть учетными данными.

Ограниченность функций мониторинга в облачных решениях по безопасности – будь то CASB, Proxy, NGFW или любой аналогичный инструмент – связана с отсутствием четкого определения SaaS-сервисов.

Microsoft CASB поддерживает около 17 500 приложений, другие ведущие поставщики могут поддерживать вдвое больше, и все они заявляют о возможности обнаружения теневых ИТ.

Честно говоря, эти базы данных, скорее всего, выполняют свое обещание охватить большинство крупных приложений, таких как Office 365, box.com, Salesforce и тысячи других сайтов для повышения производительности. Они достигают этой цели с помощью ряда средств: обнаружения сетевого трафика или адресов, сбора журналов оконечных устройств, а в случае действительно важных сервисов, подключаясь к ним напрямую через API. Однако для большинства организаций мониторинг посредством API доступен только для нескольких крупных корпоративных сервисов, поскольку иногда он предоставляется на платной основе индивидуально для каждого приложения.

Эти сервисы обеспечивают прозрачность определенных аспектов приложений. Они могут включать службы единого входа (SSO), защиту от утечки данных (DLP) или многофакторную аутентификацию. Кроме того, приложения могут быть помечены как санкционированные, что позволяет обнаруживать несанкционированные теневые сервисы.

Как же это работает с точки зрения защиты бесценных учетных записей и обнаружения созданных сотрудниками паролей и процессов?

Это дорогостоящие сервисы, требующие серьезного технического обслуживания. По этой причине они не столь распространены в бизнес-среде, как межсетевые экраны или защита оконечных устройств. А многие миллионы сайтов, предоставляющих ценные услуги, просто не считаются достаточно важными для внедрения брокеров безопасного доступа в облако (CASB).

И здесь поразительный факт: поставщики брокеров CASB (и прочих менее специализированных решений) практически не представлены в Интернете, но заявляют, что имеют полное представление о теневых ИТ.

И это еще не всё. Ни один поставщик решений CASB, оконечное устройство, сеть или сервис на базе API не способны обнаружить, какие учетные записи или пароли создаются или используются, даже на сайтах, которые в остальных аспектах видны, как на ладони.

☁️ Три основные проблемы облачных SaaS-решений

В последние годы стремительно растет популярность облачных ИТ-технологий. Существует огромное количество облачных сервисов. Наиболее известные категории облачных услуг — это SaaS (программное обеспечение как услуга), IaaS (инфраструктура как услуга), PaaS (платформа как услуга), FaaS (функции как услуга) и DaaS (данные как услуга). SaaS-приложения и облачные технологии имеют множество преимуществ по сравнению с традиционным локальным развертыванием. Однако существует также множество трудностей, которые могут возникнуть у организаций при использовании SaaS-приложений.

1️⃣ Вы не знаете, чего вы не знаете
Любой сотрудник с корпоративным адресом электронной почты может зарегистрироваться и начать знакомство с возможностями сервиса. Он может «заняться самоуправством» и подписаться на услугу без ведома или согласия организации.
▪ Что происходит, если сотрудник увольняется из компании? Он может по-прежнему иметь доступ к ПО и сервисам, в которых может храниться или обрабатываться конфиденциальная информация.
▪ Какие данные хранятся на платформе, как они обрабатываются или передаются? Если факт использования ПО организации неизвестен, то у нее практически нет шансов обеспечить надлежащее соблюдение политик использования данных.
▪ Какие политики и соглашения предоставляет поставщик SaaS-решений? Политики конфиденциальности и обработки данных, политики регулирования, обмена данными с третьими лицами и SLA.

2️⃣ Кошмар ИТ-отдела
Пользователи то и дело задают вопросы по тому или иному сервису. Обрабатывать их может быть проблематично, если служба или ПО, о которых идет речь, практически не известны ИТ-отделу.

3️⃣ Пароли и еще раз пароли
Пользователям не нравятся пароли, особенно сложные. В результате при создании или обновлении собственных учетных записей они часто используют ненадежные пароли или корпоративные учетные данные. В процессе разработки большинство поставщиков SaaS-решений уделают основное внимание функционалу, в то время как безопасность отходит, в лучшем случае, на второй план. Утечка данных и повторное использование паролей — основные виновники захвата учетных записей, поскольку украденные учетные данные могут использоваться для получения несанкционированного доступа к корпоративным ресурсам.

💻 Приглашаем на вебинар «Scirge и теневое ИТ: неуправляемые учетные записи» 17.02 в 13:00 по мск

Теневое ИТ уже проникло в вашу компанию: учетные записи в облачных сервисах, социальных сетях, рекламной аналитике, тендерных площадках и прочих чужих системах создаются без контроля и уже представляют собой реальную угрозу для вашего бизнеса.

Отсутствие контроля теневого ИТ приводит к успешным фишинговым атакам, захвату учетных записей и проникновению в сеть — нешуточный риск для вашей компании вплоть до остановки бизнеса.

Приглашаем на вебинар про Scirge — качественно новое решение для контроля теневого ИТ:
▪️покажем на примерах, что такое теневое ИТ;
▪️обозначим сложности управления учетками в облачных сервисах;
▪️объясним, почему CASB и прочие классические средства ИБ не подходят для этой задачи;
▪️продемонстрируем Scirge живьем, объясним принципы работы.

Продукт подходит для компаний любых масштабов и рекомендуется к использованию в любой сети, так как вопрос учетных записей на внешних ресурсах не решен практически ни в одной компании.

Мероприятие будет полезно руководителям ИТ и ИБ, ИТ-администраторам, ИТ-интеграторам и поставщикам ПО.

✔️ Регистрируйтесь по ссылке: https://afi-distribution.ru/webinars/170220221300



#теневоеИТ
#вебинар

❓Как перейти на новый уровень информационной безопасности?

🔹 Отслеживание взломанных паролей

Автоматическая проверка по общедоступным спискам взломанных паролей должна быть одним из приоритетов. Это просто, и, хотя это и не защищает от недавно взломанных паролей, может оказаться полезным использовать список, содержащий миллиарды известных взломанных паролей, которые любая организация может занести в свой черный список. Потому что если этого не сделаете вы, это сделают злоумышленники. Scirge предлагает пользователям функциональность такого рода, но существуют и другие решения, которые помогут защитить пароли AD.

🔹 Обнаружение повторного использования паролей AD

Это сложная задача. Чтобы полностью исключить повторное использование паролей, необходимо иметь масштабную программу информирования/обучения сотрудников. Использование менеджеров паролей также может помочь, если они поддерживают функцию обнаружения повторного использования паролей и генерируют надежные и уникальные пароли. Однако для их внедрения требуется определенное время, и они также имеют свои недостатки: менеджеры паролей способствуют совместному использованию паролей и потенциально могут позволить сотрудникам синхронизировать свои корпоративные учетные записи с личными конечными устройствами. Таким образом, они смогут получить доступ к корпоративным сервисам даже после того, как покинули организацию, в которой работали. В конечном счете, мониторинг каждой отдельной учетной записи в Интернете — единственное решение для полного обнаружения повторного использования паролей.

🔹 Проверка сложности паролей

Хотя Azure AD обеспечивает повышенную сложность паролей и мы не всегда согласны с требованиями в отношении высокой сложности для запоминаемых пользователем паролей, есть несколько моментов, которые следует учитывать:

Майкрософт не обеспечивает обнаружение повторяющихся или последовательных знаков.
Некоторые отраслевые стандарты, такие как PCI, требуют наличия очень строгих правил в отношении сложности паролей.

Является ли это проблемой? Спрашиваете. Конечно же, это проблема, в случае если ваши сотрудники пытаются придумать самые простые пароли, которые пройдут проверку сложности (asdf123! возможно?), или если вы вынуждены соблюдать определенные строгие нормативные требования. Есть только два способа справиться с этой проблемой, поскольку Майкрософт не предоставляет готовых решений.

Первый заключается в интеграции стороннего уровня паролей для локальных логинов AD, отказе от слабых паролей и применении более надежных. Это отличное решение, но за него придется заплатить очень высокую цену: если внедрить слой стороннего ПО в самые важные процессы входа в систему, то это создаст огромный риск нарушения непрерывности ведения бизнеса и потенциальную проблему для сотрудников.

Другой вариант — просто выполнять пассивный мониторинг паролей AD. Scirge реализует эту функциональность через браузеры и опционально предупреждает сотрудников о слабых или простых паролях. В чем преимущества такого подхода? Отсутствует риск нарушения непрерывности ведения бизнеса, и сотрудники могут вносить изменения в пароли в свободное время или на основе централизованной политики. Еще преимущества? Мы можем сделать то же самое для всех остальных учетных записей в сети Интернет. Поскольку большое значение имеют не только пароли AD.

🔹 Осведомленность сотрудников

Независимо от того, какой подход мы используем, вопрос всегда заключается в том, достаточно ли осведомлены и ответственны наши сотрудники в этом вопросе. Поэтому не забывайте проводить достаточное обучение и своевременно уведомлять сотрудников о рисках и необходимом поведении, поскольку большинство из них не чувствуют себя ответственными за безопасность организации.



#кибербезопасность

❓Как обеспечить надежную защиту паролей службы каталогов Microsoft Active Directory?

Несмотря на то что корпорация Майкрософт заявляет о том, что пароли не имеют особого значения для обеспечения информационной безопасности, она предлагает различные уровни защиты паролей, поскольку, вероятно, сама не очень верит в то, о чем говорит. Хотя мы всячески поддерживаем переход на технологии многофакторной аутентификации (MFA) и беспарольные методы аутентификации, для большинства организаций повсеместный отказ от паролей является довольно сложной задачей.

Майкрософт сообщает: всего 11% среди всех корпоративных пользователей перешли на технологии MFA и это в то время, когда каждый месяц взламываются 1,2 млн учетных записей.

Поскольку периодичность возникновения и ущерб от атак программ-вымогателей каждый год только увеличиваются, имеет смысл сосредоточиться на том, как мы можем уже сегодня противостоять основному вектору атаки.

Как и в случае с многими службами, Майкрософт побуждает своих клиентов к переходу на облачные технологии, поэтому неудивительно, что Azure AD обеспечивает высочайший уровень гибкости в плане защиты паролей, использования функций облачного анализа и, конечно же, реализации технологии MFA и функции единого входа (SSO) на основе Azure AD для поддерживаемых приложений. Если посмотреть на конкретные существующие требования в отношении характеристик паролей, то можно увидеть, что доступны следующие опции:
☑ Разрешенный набор знаков
☑ Длина пароля (8–256 знаков)
☑ Сочетание нескольких типов знаков (не более трех следующих типов знаков: цифр, прописных букв, строчных букв, символов)
☑ Последние использованные пароли (включая небольшие изменения, такие как abcdefg -> abcdefh)
☑ Пользовательский список запрещенных паролей (нечеткое соответствие для вариантов паролей)
☑ Глобальный список запрещенных паролей (принудительно)

Это вполне обычные требования, за исключением того, что в них отсутствуют запреты на использование повторяющихся и последовательных знаков, а также требования в отношении взломанных паролей, хотя они ссылаются на руководство по идентификационным данным NIST, в котором прямо рекомендуется использовать такие средства управления паролями. Майкрософт не использует общедоступные списки взломанных паролей, поскольку ее «глобальный список запрещенных паролей гораздо меньше по сравнению с подробными списками других компаний, он составлен на основе реальной телеметрии о фактических атаках с использованием паролей». Это, конечно, хорошая попытка избежать случаев массового взлома, но, когда злоумышленники нападают на компанию с использованием недавно взломанной учетной записи, для успешной атаки им требуется всего одна попытка. Остается загадкой, почему корпорация не использует эти списки, включающие упомянутые выше 1,2 млн случаев нарушений информационной безопасности.




#кибербезопасность
#пароли

🔹 Советы о правильном отношении и поведении, чтобы защититься от киберпреступников

Отчет National Cybersecurity Alliance, посвященный вопросам восприятия и действия людей в отношении кибербезопасности, содержит много полезных выводов. Основной заключается в том, что в отдельных случаях отношение и поведение пользователей никак не связаны и что ключ к исправлению данной ситуации лежит совершенно не там, где мы думали.

🔹 Кто несет ответственность?
Неудивительно, что сотрудники ориентированы исключительно на выполнение своих обязанностей и «просто не считают себя ответственными за сохранение конфиденциальной информации на своем рабочем месте». Однако удивительно то, что порядка 51% сотрудников имеют такое же отношение и к обеспечению защиты своих личных конфиденциальных данных. Это говорит об общем отсутствии внимания к безопасности частных или корпоративных данных.

🔹 Сообщение о преступлениях
Молодые сотрудники поколения Зет в два раза реже сообщают о происшествиях, чем сотрудники поколения Икс. Это говорит о том, что профессиональное обучение должно учитывать не рабочие обязанности или должности сотрудников, а их возраст и, возможно, другие факторы. Обратите внимание на то, что «61% жертв киберпреступлений предпочли вообще не сообщать об инциденте».

🔹 Теневые информационные технологии
На вопрос о том, полагаются ли они на других при осуществлении мер по обеспечению безопасности, все ответили, что не зависят от других и уверены в своих силах. При этом самую большую уверенность респонденты проявляют в отношении создания учетных записей в Интернете. Ввести свой адрес электронной почты, выбрать пароль — разве это не просто?

🔹 Управление паролями
Только 12% опрошенных используют специальные менеджеры паролей. Почти столько же респондентов ответили, что используют браузеры, которые, как известно, чрезвычайно уязвимы для хранения учетных записей. Записная книжка, в которой хранятся пароли, — самый распространенный способ хранения паролей, который может быть довольно безопасным для личного использования, но не подходит для корпоративных учетных записей. Кто может определить, к каким корпоративным сервисам получают доступ сотрудники после того, как они покинули компанию, в которой работали? Как сотрудник вспомнит данные своей учетной записи, если он потерял записную книжку? И как часто используется один и тот же пароль? Как выяснилось, более 50% опрошенных признались, что редко создают надежные пароли и используют одни и те же пароли снова и снова.

🔹 Технология многофакторной аутентификации (MFA) не решит все проблемы, если ее не использовать
Технология MFA, безусловно, является ключевой концепцией защиты учетных записей и поддержания безопасности в целом. Однако 48% опрошенных никогда не слышали о ней. Это может быть связано с недостаточной представленностью в опросе корпоративных пользователей, так как люди, которые знакомы с ней, используют ее очень активно. Это наглядный пример того, что обучение тому, как и зачем использовать технологию MFA, должно сопровождаться ее активным развертыванием. Это особенно актуально для сторонних или теневых ИТ-приложений, где нет возможности принудительного применения или контроля, а технология MFA является опциональным решением, как и менеджеры паролей.

🔹 Эффективность обучения
Тот факт, что большинство людей не проходили никакого обучения, в целом не может удивить. Примечательно, что 73% тех, кто прошел обучение, используют полученную информацию. Но что еще более интересно, люди, которые используют технологии обеспечения информационной безопасности, такие как менеджеры паролей, в основном узнали о них непосредственно на веб-сайтах, из приложений или в ходе своих собственных поисков информации в Интернете, а также от членов своей семьи. В связи с этим возникает вопрос, через какие каналы продвижения информации и с помощью каких инструментов мы должны проводить обучение, поскольку обучение в рамках специальных курсов или на рабочих местах даже близко не стоит по своей общей эффективности.



#кибербезопасность

❓Как обезопасить себя от вирусов-вымогателей

Многие люди и компании не соблюдают необходимых мер предосторожности против подобного рода атак, потому что им лень устанавливать ПО, обновлять ОС или исправлять известные уязвимости. Вот несколько советов, как защитить себя от вирусов-вымогателей.

☑ Обновите ваши устройства. Никогда не откладывайте обновления, поскольку в них могут содержаться важные исправления против вредоносных программ и уязвимостей.
☑ Остерегайтесь фишинговых писем. Злоумышленники активно рассылают электронные письма со ссылками, чтобы получатели неосознанно открыли их и скомпрометировали свои данные. Если письмо похоже на спам или пришло от незнакомого человека, соблюдайте осторожность.
☑ Загружайте данные только из проверенных источников. Один из простых способов избежать заражения вредоносным ПО — загружать все программы из официального источника.
☑ Используйте межсетевой экран. Он может обеспечить безопасность и конфиденциальность ваших данных, не позволяя никому получить доступ к вашему устройству без разрешения. Кроме того, межсетевой экран блокирует входящий и исходящий трафик. Злоумышленникам будет отказано в доступе, если они попытаются проникнуть в ваше устройство.
☑ Используйте VPN. Хотя виртуальная частная сеть — это инструмент обеспечения безопасности и конфиденциальности, она также может выполнять функции межсетевого экрана. При подключении к VPN вы подключаетесь к внешней сети через VPN-сервер, расположенный далеко от вашего фактического местонахождения. Таким образом, она действует как «безопасный шлюз» между Интернетом и вашим устройством, обеспечивая безопасность вам и вашему бизнесу в Интернете.


#кибербезопасность

🎉 ПО Senhasegura теперь представлено в России и странах СНГ

Компания AFI Distribution заключила эксклюзивное дистрибьютерское соглашение с бразильской компанией Senhasegura — разработчиком комплексных решений по управлению привилегированным доступом (PAM).

Компания Senhasegura существует на рынке уже 20 лет, ее решения успешно продаются более чем в 60-ти странах мира, а теперь доступны в России и странах СНГ. В этом году компания была отмечена как PAM Challenger в отчете Gartner по PAM-решениям, а также как PAM Leader в отчете KuppingerCole.

Поскольку Бразилия не поддерживает санкционную политику США и Евросоюза в отношении России, сотрудничество с Senhasegura не будет иметь критических последствий для российских клиентов компании.

PAM-решения Senhasegura отличаются от уже существующих на российском рынке аналогов более широким набором функций, лучшим соотношением цены и продукта по сравнению с конкурентами (по данным Gartner), наличием бессрочных лицензий и значительной экономией на стоимости обслуживания и владения в целом: система со всеми доступными модулями может быть установлена всего на одну виртуальную машину. Также решения Senhasegura могут устанавливаться в изолированную среду для соответствия политикам информационной безопасности. Для клиентов доступна техподдержка на русском языке.

Платформа Senhasegura обеспечивает:

— Хранение и управление паролями, обнаружение учетных записей.
— Контроль и запись сессий администраторов и подрядчиков к целевым системам по RDP\SSH\HTTP(s)\X11\VNC и другим протоколам.
— Поведенческий анализ действий пользователей на целевых системах.
— Контроль привилегий запускаемых приложений и ограничение команд CMD и PowerShell.
— Управление жизненным циклом SSL сертификатов (Microsoft CA, Let’s Encrypt, GlobalSign и др.).

Подробнее о решении: https://senhasegura.com/

О компании ООО «АФИ Дистрибьюшн»: компания является дистрибьютером программного обеспечения производителей Архива, Altaro, Aventri, GFI, Invicti, Scirge, Senhasegura и Thycotic в России и СНГ. По вопросам демонстрации решений, приобретения и партнерства обращайтесь на адрес: [email protected]

AFI Distribution ООО "АФИ Дистрибьюшн" - дистрибьютор ПО Altaro, Aventri, GFI и Thycotic в России и СНГ

🔹 К чему приводит отсутствие единых нормативных требований к безопасности корпоративных паролей

Требования к надежности пароля существуют с начала 2000-х годов, однако современные требования до сих пор не согласованы с нормативными документами, которые часто содержат противоречащие рекомендации.

Стандарт безопасности данных индустрии платежных карт (PCI DSS) версии 3.2.1 по-прежнему требует регулярной смены пароля: «Для выборки компонентов системы проверьте параметры конфигурации системы, чтобы убедиться, что параметры пароля пользователя /парольной фразы установлены так, чтобы пользователи меняли пароли не реже одного раза в 90 дней».

Национальный институт по стандартизации и технологии США (NIST) отмечает, что следует применять правила в отношении сложности паролей и контекстные фильтры, рекомендуя организациям проверять списки скомпрометированных паролей:
• Пароли, полученные в ходе предыдущих взломов.
• Слова из словарей.
• Повторяющиеся или последовательные символы.
• Слова, характерные для определенного контекста, такие как название сервиса, имя пользователя и производные на их основе.

NIST также запрещает другие правила в отношении сложности паролей и периодическую смену пароля, если отсутствуют явные признаки взлома: «Проверяющим НЕ СЛЕДУЕТ вводить другие правила составления паролей (например, требовать совместного использования разных типов символов или запрещать последовательно повторяющиеся символы) для запомненных паролей. Проверяющим НЕ СЛЕДУЕТ требовать изменения запомненных паролей (например, периодически). Однако проверяющие ДОЛЖНЫ принудительно внести изменения, если есть доказательства компрометации аутентификатора».

ISO 27001 также требует использовать «качественные пароли» и считает их регулярную смену (без указания точных временных интервалов) «необходимой». Такое разногласие в требованиях может сбивать с толку и пользователей, и администраторов по безопасности.

Более свежим руководством BSI, Федерального ведомства по информационной безопасности Германии, является документ «Краткое руководство по обеспечению ИТ-безопасности». В нем содержится четкий запрет на политику смены паролей, основанную исключительно на времени: «ИТ-системы или приложения ДОЛЖНЫ ТОЛЬКО предлагать вам изменить пароль при наличии веской причины. СЛЕДУЕТ избегать изменений паролей, основанных только на времени».

Таким образом предлагается, возможно, более современный подход: пользователей не заставляют регулярно менять пароли, так как это в конечном итоге приведет к перекрестному использованию учетных данных в разных системах. Частые изменения паролей побуждают пользователей повторно использовать очень похожие фразы или простые вариации этих фраз, такие как изменение нескольких символов или цифр в пароле.

BSI также добавляет несколько очень важных требований, которые, как считается, соответствуют учетным записям AD, сторонним сервисам и SaaS: «Пароли НЕ ДОЛЖНЫ использоваться более одного раза. Для каждой ИТ-системы или каждого приложения можно использовать один подходящий пароль. ЗАПРЕЩАЕТСЯ использовать легко угадываемые пароли или пароли из популярных списков паролей».

Британский Национальный центр кибербезопасности (National Cyber Security Center, NCSC) также использует современный подход, аналогичный BSI: «Пароли должны быть защищены внутри вашей системы, даже если информация в защищенной системе является относительно неважной. Повторное использование паролей означает, что злоумышленник может использовать эту информацию при попытке получить доступ к более важным учетным записям, что может нанести дополнительный ущерб».

BSI продолжает: «Если альтернативные варианты отсутствуют и компаниям нужен совместный доступ к учетной записи или устройству, то доступ к паролю должен контролироваться и постоянно пересматриваться для управления рисками:
• Пароль должен передаваться только в рамках минимально возможной группы известных и доверенных пользователей.
• Пароль не должен быть доступен пользователям, у которых нет разрешения на доступ к нему.
• Если кому-то больше не разрешен доступ, следует изменить пароль».



#кибербезопасность
#пароли