Wiele startupów na wczesnym etapie nie priorytetowo traktuje opracowanie planu cyberbezpieczeństwa, koncentrując się na budowie modelu biznesowego z powodu ograniczeń budżetowych i braku zasobów. Zaniedbanie kwestii bezpieczeństwa znacznie zwiększa ryzyko kompromitacji.

Zniszczona reputacja oraz poważne straty finansowe mogą zmusić startupy do zamknięcia działalności (np. startup myNurse w sektorze opieki zdrowotnej). Pominięcie znaczenia planu cyberbezpieczeństwa może okazać się kosztownym i poważnym błędem. Dlatego rozsądne jest, aby każdy startup lub firma wdrożyły odpowiednie środki bezpieczeństwa, przynajmniej na podstawowym poziomie.

Dwie z najczęstszych słabości w zakresie bezpieczeństwa to słabe polityki haseł oraz brak wdrożenia uwierzytelniania dwuetapowego.

Używanie słabych haseł i brak polityki uwierzytelniania sprawia, że cyberprzestępcy, którzy preferują ścieżkę najmniejszego oporu, mogą łatwo wykorzystać te powszechne luki w bezpieczeństwie. Mogą oni skutecznie przeprowadzać ataki typu brute-force i phishingowe, uzyskując początkowy dostęp do kont i usług, co naraża zasoby startupu na niebezpieczeństwo.

Co mogą zrobić startupy z ograniczonym budżetem, aby poprawić swoje bezpieczeństwo i odstraszyć cyberprzestępców przy minimalnych kosztach?

💡 Wskazówka: Używaj menedżera haseł i uwierzytelniania dwuetapowego (2FA).

Bezpieczny menedżer haseł i 2FA są zalecane przez Wytyczne NIST SP 800-63B dotyczące tożsamości cyfrowych i spełniają standardy NIST dla haseł oraz uwierzytelniania dwuetapowego. Korzystanie z menedżera haseł i 2FA zapobiega atakom na hasła oraz nieautoryzowanemu dostępowi do kont i usług.

Chociaż menedżer haseł i 2FA nie są rozwiązaniem na wszystkie istniejące zagrożenia w zakresie cyberbezpieczeństwa, z pewnością pomagają w redukcji ryzyka cyberzagrożeń i wzmacniają bezpieczeństwo firmy lub startupu.

Poznajmy korzyści płynące z każdego z tych narzędzi.

Czym jest menedżer haseł?

Menedżer haseł to program komputerowy lub aplikacja, która pozwala użytkownikom przechowywać, generować i zarządzać swoimi hasłami lub poświadczeniami do aplikacji lokalnych oraz usług internetowych. Jest bezpieczny, wygodny w użyciu i zapobiega ujawnianiu wrażliwych informacji. Zgodnie ze standardami NIST dla haseł spełnia ich wymagania.

Standardy NIST SP 800-63B dotyczące haseł:

• Hasło musi mieć co najmniej 8 znaków (maksymalnie 64 znaki).
• Unikaj używania popularnych haseł (np. 'password’, 'qwerty’, '1234567′), słów ze słownika oraz powtarzających się lub sekwencyjnych znaków (np. 'aaaaaa’, '1234abcd’).
• Dozwolone są znaki spacji, emoji, ASCII i Unicode w hasłach.
• Nie używaj ponownie haseł!
• Nie wymagaj, aby użytkownicy wybierali znaki specjalne w hasłach.
• Zezwól na funkcję kopiowania i wklejania w polach haseł, ponieważ skraca to czas wymagany do uwierzytelniania wieloetapowego i pozwala menedżerom haseł działać.
• Unikaj używania podpowiedzi! (Jeśli są wymagane, nie odpowiadaj na nie informacjami osobistymi. Jeśli nieautoryzowana osoba uzyska dostęp do tych danych, może je wykorzystać przeciwko Tobie).
• Unikaj używania słów kontekstowych, takich jak nazwa usługi, nazwa użytkownika i ich pochodne.
• Nie aktualizuj haseł! (Nie jest to już zalecane, ponieważ użytkownicy często wracają do starych haseł przy ich zmianie. Zmieniaj je tylko, gdy sprawdzisz listę skompromitowanych haseł i Twój nie znajduje się na niej).
• Korzystaj z bezpiecznego menedżera haseł.

To nie pełna lista, ale masz ogólne pojęcie o zasadach. Menedżer haseł to wygodny sposób na zwiększenie bezpieczeństwa haseł, spełniając standardy NIST.

Korzyści z używania menedżera haseł:

• Generates strong and unique passwords
• Memorizing dozens of passwords is not needed
• Allows copy-and-paste functions in your password fields
• Conveniently accessible on local machines or mobile phone
• Eliminates the recycling of passwords
• Encrypted storage
• Storing passwords in your browser is not very safe
• IT department can audit and manage passwords of users
• Easy to use
• Generuje silne i unikalne hasła
• Nie musisz zapamiętywać dziesiątek haseł
• Zezwala na funkcję kopiowania i wklejania w polach haseł
• Wygodnie dostępny na lokalnych urządzaniach lub telefonie
• Eliminuje powtarzanie haseł
• Szyfrowane przechowywanie
• Przechowywanie haseł w przeglądarkach nie jest zbyt bezpieczne
• Dział IT może audytować i zarządzać hasłami użytkowników
• Łatwy w użyciu

Naprawia słabości w zabezpieczeniach haseł, korzystając z bezpiecznego menedżera haseł i unikając ataków na hasła.

Najczęstsze udane ataki na hasła to:

• Credential stuffing
• Ataki typu brute force
• Ataki słownikowe
• Keyloggery
• Phishing
• Ataki man-in-the-middle (MitM)

Zarządzanie hasłami jest łatwo dostępne na Twojej lokalnej maszynie i telefonie, korzystając z menedżera haseł. Istnieje wiele opcji do wyboru, które zostały wymienione poniżej.

Top 10 polecanych menedżerów haseł

Zgodnie z opiniami ekspertów, zidentyfikowano dziesięć najlepszych rozwiązań do zarządzania hasłami, które są zalecane dla firm. Możesz odwiedzić ten link, aby określić najlepszy menedżer haseł dla swojej firmy, sprawdzić ceny i funkcjonalność, a także zapoznać się z opiniami użytkowników.

Top 10 menedżerów haseł polecanych dla firm

• Keeper  (link afiliacyjny)
• Dashlane
• 1Password 
• Hitachi ID
• LastPass (link afiliacyjny)
• ManageEngine (link afiliacyjny)
• NordPass (link afiliacyjny)
• Bitwarden
• N-able Passportal
• Delinea

Co to jest uwierzytelnianie dwuskładnikowe (2FA)?

Uwierzytelnianie dwuskładnikowe (2FA) jest podzbiorem uwierzytelniania wieloskładnikowego (MFA), które łączy dwa rodzaje czynników uwierzytelniających, aby zweryfikować tożsamość użytkownika przed przyznaniem dostępu do kont lub usług. Jest to bardziej bezpieczne niż uwierzytelnianie jednolitym czynnikiem, które jest bardzo podatne na ataki, takie jak zrzut poświadczeń, ataki brute force, phishing, inżynieria społeczna, man-in-the-middle oraz keylogging.

Agencja Cybersecurity and Infrastructure Security Agency (CISA) dodała uwierzytelnianie jednolitym czynnikiem do swojej listy Złych Praktyk w sierpniu 2021 roku, stwierdzając:

„Używanie uwierzytelniania jednolitym czynnikiem do zdalnego lub administracyjnego dostępu do systemów wspierających funkcjonowanie Infrastruktury Krytycznej oraz Krajowych Funkcji Krytycznych (NCF) jest niebezpieczne i znacznie zwiększa ryzyko dla bezpieczeństwa narodowego, bezpieczeństwa gospodarczego i bezpieczeństwa publicznego. Ta niebezpieczna praktyka jest szczególnie rażąca w technologiach dostępnych z Internetu.”

Pięć szerokich kategorii czynników uwierzytelniania to:

• Co jesteś (np. biometryka)
• Co masz (np. tokeny miękkie i twarde – np. OTP lub YubiKey)
• Co wiesz (np. hasła, PIN)
• Gdzie jesteś (np. geolokalizacja)
• Co robisz (np. zachowanie, takie jak rysowanie wzoru na siatce punktów)

Przykładem użycia 2FA byłaby aplikacja mobilna, która prosi użytkownika o podanie hasła oraz odcisku palca przed udzieleniem dostępu do swoich usług. Hasło i odcisk palca to dwa czynniki, stąd 2FA.

Dlaczego 2FA jest ważne?

2FA wspiera ochronę prywatności, zmniejszając ryzyko nieautoryzowanego dostępu do informacji użytkowników. Używanie tylko hasła do kont i usług jest niebezpieczne, ponieważ gdy nieautoryzowany użytkownik je ukradnie, nie ma drugiego czynnika uwierzytelniającego, który by go powstrzymał. Zamiast tego może uzyskać dostęp do Twoich kont i usług, skompromitować je i trwale zablokować Ci do nich dostęp. Cała Twoja prywatna data zostaje utracona.

Przykładem mogą być platformy mediów społecznościowych. Użytkownicy są na nich regularnie oszukiwani przez inżynierów społecznych, którzy mogą udawać jednego z ich przyjaciół i przekonać ich do kliknięcia linku phishingowego. Niespodziewana ofiara wierzy, że to jej przyjaciel, klika na link i zostaje przekierowana na stronę, na której wpisuje swoje hasło.

Następnego dnia, gdy się loguje, okazuje się, że została wylogowana i nie może już uzyskać dostępu do swojego konta. W międzyczasie inżynier społeczny już zmienił hasło i dane, kompromitując konto użytkownika. Taki scenariusz słyszał każdy przynajmniej raz.

Jeszcze gorzej, że ta nieszczęśliwa sytuacja mogła zostać zapobiegnięta, gdyby włączono uwierzytelnianie dwuskładnikowe. Gdyby 2FA było włączone, inżynier społeczny musiałby znać drugi czynnik uwierzytelniający, taki jak OTP z aplikacji uwierzytelniającej użytkownika lub być może odcisk palca, którego nie mógłby dopasować.

2FA utrudnia nieautoryzowanym użytkownikom dostęp do kont innych użytkowników za pomocą skradzionych poświadczeń, stanowiąc przeszkodę dla cyberprzestępców. Dodatkowo, zapobiega zarówno atakom na uwierzytelnianie, jak i atakom na hasła, które są praktycznie identyczne.

2FA pomaga powstrzymać najczęstsze i najskuteczniejsze ataki cybernetyczne:

• Phishing
• Spear phishing
• Wypełnianie poświadczeń (credential stuffing)
• Ataki brute force
• Ataki na hasła (password spraying)
• Ataki typu man-in-the-middle (MitM)

Top 4 sposoby implementacji uwierzytelniania dwuskładnikowego

Startupy mogą rozpocząć wdrażanie uwierzytelniania dwuskładnikowego (2FA) dla swoich kont i usług za pomocą jednego z czterech najlepszych sposobów wymienionych poniżej, zaczynając od najsilniejszego (numer 1) i kończąc na najsłabszym (numer 4). Od najsilniejszego do najsłabszego: fizyczny klucz bezpieczeństwa, biometryka, aplikacja uwierzytelniająca i kod SMS.

Top 4 metody uwierzytelniania dwuskładnikowego:

Fizyczny klucz bezpieczeństwa: Fizyczny klucz bezpieczeństwa (token sprzętowy) jest idealny do wysokiego poziomu zabezpieczeń, bezpieczniejszy od aplikacji uwierzytelniających i jest uznawany za najsilniejszą metodę uwierzytelniania dwuskładnikowego. Zawiera unikalny kod kryptograficzny, który informuje witrynę lub usługę o zalogowaniu się. Fizyczny klucz bezpieczeństwa przypomina pendrive’a, który można przypiąć do breloka. Przed zalogowaniem się na konta lub usługi na urządzeniu, wprowadzasz swoje hasło, a następnie podłączasz fizyczny klucz bezpieczeństwa do portu USB swojego urządzenia, aby się uwierzytelnić. W przypadku telefonów komórkowych można użyć NFC i dotknąć fizyczny klucz bezpieczeństwa w odpowiednim miejscu z tyłu telefonu w celu uwierzytelnienia.

Świetnym przykładem fizycznego klucza bezpieczeństwa jest YubiKey, który można kupić w cenie początkowej 55 dolarów. Zgodnie z informacjami na stronie producenta, wytyczne NIST stwierdzają, że oferuje on weryfikację odporną na podszywanie się. Zapewnia również, że uwierzytelniający jest oddzielony od urządzenia, co unika punktu awarii, jeśli twoje urządzenie zostanie skompromitowane. Ponieważ klucz bezpieczeństwa musi być fizycznie w twoich rękach, zapewnia wysoki poziom bezpieczeństwa i sprawia, że przejęcie konta jest niezwykle trudne, jeśli nie niemożliwe. Jedyną wadą jest to, że po zgubieniu fizycznego klucza bezpieczeństwa, nie będziesz mógł zalogować się na konta i usługi, gdzie włączyłeś 2FA z użyciem tego klucza – zostaniesz trwale zablokowany. Aby temu zapobiec, przechowuj dodatkową kopię zapasową (lub więcej, jeśli to konieczne) w bezpiecznym miejscu.

Biometria: Biometria wykorzystuje coś, czym jesteś, na przykład odciski palców, twarz lub oczy (np. skan siatkówki). Uznawana jest za jedną z najbezpieczniejszych metod uwierzytelniania tożsamości dzięki wysokiej dokładności. Biometria jest opcją często oferowaną w ramach 2FA na komputerach oraz urządzeniach mobilnych. Zwykle stosuje się ją również dla pracowników przed wejściem do zabezpieczonych budynków, które wymagają skanu siatkówki oka lub odcisków palców, połączonego z innymi czynnikami uwierzytelniającymi, takimi jak PIN czy identyfikator.

Aplikacja uwierzytelniająca: Aplikacja uwierzytelniająca (token programowy) to łatwa i bezpieczna metoda implementacji 2FA. Wymaga telefonu komórkowego do jej pobrania i używania. Działa poprzez generowanie jednorazowego hasła (OTP), które jest losowym, czasowo ograniczonym (zwykle 30 sekund) kodem składającym się z sześciu lub ośmiu cyfr, który staje się nieważny po upływie określonego czasu. Ta opcja może zapobiec atakom kradzieży tożsamości, uniemożliwiając użycie skradzionych par login/hasło po raz drugi. Stąd też OTP nazywa się hasłem jednorazowym! Istnieje wiele aplikacji uwierzytelniających, które można pobrać na telefon: Authy, Microsoft Authenticator, Google Authenticator oraz Duo. Najlepsze jest to, że są one DARMOWE! Ostatnio LastPass i 1Password dodały aplikację uwierzytelniającą do swoich menedżerów haseł, co czyni ich usługi wygodniejszymi.

Kod SMS: Kody wysyłane SMS-em to najpopularniejsza i najłatwiejsza w użyciu metoda 2FA. Jest to najszybsza metoda konfiguracji dwuskładnikowego uwierzytelniania. Jednakże, jest to najmniej bezpieczna metoda 2FA, ponieważ nie jest szyfrowana, co oznacza, że kody SMS mogą być widoczne, przechwycone i łatwo skradzione. Złośliwy aktor może przechwycić Twoje kody SMS, wykonać atak typu man-in-the-middle lub ukraść Twój telefon i zażądać kodu SMS podczas próby zalogowania się do Twoich kont. Jeśli zainstalowano na Twoich urządzeniach rejestrator naciśnięć klawiszy, mogą oni odczytać te kody w czasie rzeczywistym. Mimo że jest to najmniej rekomendowana metoda 2FA, i tak jest lepsza niż stosowanie jednorazowego uwierzytelniania. Lepsze trochę bezpieczeństwa niż brak jakiegokolwiek!

Podsumowanie

Używanie menedżera haseł i uwierzytelniania dwuskładnikowego (2FA) jest kluczowe dla poprawy postawy bezpieczeństwa startupu w celu minimalizacji powszechnych ryzyk związanych z cyberbezpieczeństwem. Wytyczne NIST dotyczące haseł i uwierzytelniania zalecają ich stosowanie w celu podniesienia poziomu bezpieczeństwa i zapobiegania różnym powszechnym atakom. Słabe, niebezpieczne hasła i stosowanie tylko jednego czynnika uwierzytelniającego narażają każdy startup lub organizację. Stosując się do zaleceń NIST, każdy startup może nieograniczenie podnieść swój poziom bezpieczeństwa.

Referencje:

1. https://pages.nist.gov/800-63-3/sp800-
2. 63b.htmlhttps://www.nationwide.com/business/solutions-center/cybersecurity/cybercriminals-target-small-business
3. https://www.hipaajournal.com/cybersecurity-agencies-share-most-common-attack-vectors-for-initial-access-and-recommended-mitigations/
4. https://upcity.com/experts/small-business-cybersecurity-survey/
5. https://techcrunch.com/2022/05/02/mynurse-data-breach-shut-down/
6. https://expertinsights.com/insights/the-top-password-managers-for-businesses/
7. https://www.cnbc.com/2022/02/27/most-common-passwords-hackers-leak-on-the-dark-web-lookout-report.html
8. https://techcrunch.com/2018/12/25/cybersecurity-101-guide-encrypted-messaging-apps/
9. https://www.cisa.gov/BadPractices