Amazon Web Services (AWS) заявила, что начиная с середины 2024 года потребует многофакторную аутентификацию (MFA) для всех привилегированных учетных записей, чтобы улучшить безопасность по умолчанию и снизить риск взлома учетной записи.
С этого момента все клиенты, входящие в Консоль управления AWS с использованием root-пользователя учетной записи управления AWS Organizations, должны будут использовать MFA для продолжения работы, сообщил в своем блоге директор по безопасности Стив Шмидт.
«В течение 2024 года мы расширим эту программу, включив в нее дополнительные сценарии, такие как отдельные учетные записи (за пределами организации в AWS Organizations), поскольку мы выпускаем функции, которые еще больше упрощают внедрение и управление MFA в масштабе».
Этот шаг последовал за предыдущими усилиями AWS по улучшению использования MFA. Фирма начала предлагать бесплатный ключ безопасности владельцам учетных записей в США с осени 2021 года, а год спустя позволила организациям зарегистрировать до восьми устройств MFA на каждого пользователя root учетной записи или пользователя IAM в AWS.
«Мы рекомендуем всем использовать ту или иную форму MFA и дополнительно рекомендуем клиентам рассмотреть возможность выбора форм MFA, устойчивых к фишингу, таких как ключи безопасности», — заключил Шмидт.
«Хотя требование включить MFA для корневых пользователей учетных записей управления AWS Organizations появится в 2024 году, мы настоятельно рекомендуем нашим клиентам начать работу уже сегодня, включив MFA не только для своих корневых пользователей, но и для всех типов пользователей в их средах».
MFA — это важный шаг для снижения рисков, связанных с фишинговыми атаками на сотрудников. Исследование IBM X-Force, проведенное в прошлом месяце, показало, что основным вектором первоначального доступа к облакам в период с июня 2022 по июнь 2023 года было использование действительных учетных данных злоумышленниками.
Это произошло почти в двух пятых (36%) реальных облачных инцидентов, расследованных поставщиком средств безопасности, при этом учетные данные либо были обнаружены во время атаки, либо украдены до того, как была атакована учетная запись.
С этого момента все клиенты, входящие в Консоль управления AWS с использованием root-пользователя учетной записи управления AWS Organizations, должны будут использовать MFA для продолжения работы, сообщил в своем блоге директор по безопасности Стив Шмидт.
«В течение 2024 года мы расширим эту программу, включив в нее дополнительные сценарии, такие как отдельные учетные записи (за пределами организации в AWS Organizations), поскольку мы выпускаем функции, которые еще больше упрощают внедрение и управление MFA в масштабе».
Этот шаг последовал за предыдущими усилиями AWS по улучшению использования MFA. Фирма начала предлагать бесплатный ключ безопасности владельцам учетных записей в США с осени 2021 года, а год спустя позволила организациям зарегистрировать до восьми устройств MFA на каждого пользователя root учетной записи или пользователя IAM в AWS.
«Мы рекомендуем всем использовать ту или иную форму MFA и дополнительно рекомендуем клиентам рассмотреть возможность выбора форм MFA, устойчивых к фишингу, таких как ключи безопасности», — заключил Шмидт.
«Хотя требование включить MFA для корневых пользователей учетных записей управления AWS Organizations появится в 2024 году, мы настоятельно рекомендуем нашим клиентам начать работу уже сегодня, включив MFA не только для своих корневых пользователей, но и для всех типов пользователей в их средах».
MFA — это важный шаг для снижения рисков, связанных с фишинговыми атаками на сотрудников. Исследование IBM X-Force, проведенное в прошлом месяце, показало, что основным вектором первоначального доступа к облакам в период с июня 2022 по июнь 2023 года было использование действительных учетных данных злоумышленниками.
Это произошло почти в двух пятых (36%) реальных облачных инцидентов, расследованных поставщиком средств безопасности, при этом учетные данные либо были обнаружены во время атаки, либо украдены до того, как была атакована учетная запись.
