Am 15. März 2022 veröffentlichte die U.S. Cybersecurity & Infrastructure Security Agency (CISA) eine Alarm Detaillierte Beschreibung eines Russischer Cyberangriff auf eine Nichtregierungsorganisation (NGO). Der Bedrohungsakteur kombinierte schwache Passwörter, ein inaktives Benutzerkonto, Standardeinstellungen, die den Komfort über die Sicherheit stellen, und eine frühere Sicherheitslücke in Windows. Dies ermöglichte ihnen den "Zugang zu Cloud- und E-Mail-Konten für die Exfiltration von Dokumenten".ation".
Unter Teil 1 dieser Serie hat Ingo Schubert, RSA Global Cloud Identity Architect, einige der Best Practices besprochen, die RSA nach diesem Angriff mit seinen Kunden geteilt hat. Dabei ging es um den Zweck der Multi-Faktor-Authentifizierung (MFA), die Registrierung von Benutzern für MFA und die Minimierung der Verwendung von Passwörtern. In diesem zweiten Teil der Serie geht Ingo auf das Zurücksetzen von Authentifizierungen, Fail-Safes und andere Szenarien ein, die zu Sicherheitsvorfällen führen können.
Angenommen, Sie haben die Registrierung abgeschlossen. Außerdem haben Sie unsere bewährten Verfahren befolgt und Registrierungen erstellt, die zu einer hohen Vertrauensgrenze führen, sodass sich die Benutzer mit einem hohen Maß an Vertrauen authentifizieren können, solange sie diese Authentifizierungsmethode verwenden.
Ist unsere Arbeit getan? Weit gefehlt. Was ist mit einem Nutzer, der seinen Authentifikator verliert oder verlegt? Was ist mit einem Nutzer, der ein neues Smartphone bekommt und die App neu installieren muss?
Diese Szenarien werden eintreten, und Ihr Unternehmen muss darauf vorbereitet sein, sie auf sichere und benutzerfreundliche Weise zu bewältigen.
Kommt Ihnen das bekannt vor? Das sollte es auch. Ihr Unternehmen wird wahrscheinlich ersetzen. Authentifikatoren auf eine Art und Weise, die ihrer ursprünglichen Anmeldung ähnelt. In jeder Phase müssen Unternehmen sicherstellen, dass sie sich nicht für Angriffe öffnen.
Brechen Sie nicht das Vertrauen, das Sie während der Registrierung aufgebaut haben, wenn Sie einen Authentifikator austauschen. Denken Sie daran: Das Registrieren neuer Geräte, das Ersetzen registrierter Geräte und das Zurücksetzen der Authentifizierung gehören zu den Lieblingsmomenten von Hackern im Identitätslebenszyklus. Sie sind mit einem überdurchschnittlich hohen Maß an Veränderungen verbunden und stellen daher für Angreifer eine der wahrscheinlichsten Gelegenheiten dar, sich unbefugten Zugang zu verschaffen.
Lassen Sie das nicht zu. Suchen Sie nach einem modernen Multi-Faktor-Authentifizierung (MFA)-Lösung, die diese Momente sichern kann, API-Integrationen in Ihr Identitäts- und Zugriffsmanagement (IAM) bietet und Ihre Helpdesk-Abläufe an einem Ort integriert.
Selbst wenn Sie in der Anmeldephase alles richtig gemacht haben und Authentifizierungsersatz und Notfallzugang sichergestellt haben, fragen Sie sich: Was nützt das alles, wenn Sie MFA entweder nicht überall einsetzen oder wenn ein Angreifer sie einfach ausschalten und umgehen kann?
Die Lösung für das erste Szenario ist einfach: Verwenden Sie MFA überall (zumindest für die richtigen Benutzer).
Um dies erfolgreich zu tun, sollte Ihre MFA-Lösung eine Vielzahl von Methoden und Schnittstellen bereitstellen, damit sich Benutzer authentifizieren können wann und wie auch immer die sie bevorzugen. Möglicherweise müssen Sie auch einige Legacy-Anwendungen überprüfen und die richtigen Schnittstellen bereitstellen und sicherstellen, dass sie neue Authentifizierungsmethoden nutzen können, z. B. FIDO-basierte passwortlose Authentifizierung oder wenn Sie auf das gute alte RADIUS angewiesen sind.
Nehmen wir an, Sie haben alle Ihre Anwendungen mit MFA gesichert. Sie müssen auch sicherstellen, dass ein Angreifer die MFA nicht ausschalten kann. In der jüngsten CISA-Warnung, Die Nichtregierungsorganisation verwendete eine MFA-Lösung, die es den Benutzern ermöglichte, sich ohne MFA anzumelden, wenn sie keine Internetverbindung herstellen konnten. Der Bedrohungsakteur nutzte dies aus - er konnte die MFA effektiv deaktivieren, indem er einfach die Verbindung zum Internet abschaltete.
Die MFA-Lösung Ihres Unternehmens muss daher ausfallsicher sein und/oder über einen Offline-Failover-Modus verfügen, der gewährleistet, dass MFA auch dann durchgesetzt wird, wenn das MFA-Backend (in der Cloud oder vor Ort) nicht erreicht werden kann.
Ich verstehe den Gedanken, wenn es um Fail-Open geht: Um das Geschäft am Laufen zu halten, ist es besser, Anmeldungen nur mit einem Passwort zuzulassen, als alle auszusperren.
So verständlich diese Entscheidung auch sein mag, sie birgt erhebliche Schwachstellen in Ihrer Sicherheitslage. Der bessere - und sicherere - Ansatz besteht darin, sicherzustellen, dass die starke Authentifizierung auch dann funktioniert, wenn das MFA-Backend nicht verfügbar ist. Es sollte keine Rolle spielen, ob Ihr MFA-Backend Cloud-basiert oder vor Ort ist: Authentifizierungsanbieter sollten Offline-Lösungen anbieten, die für beide funktionieren.
Die Sicherung der Offline-MFA-Authentifizierung ist etwas, das uns häufig begegnet. In der Regel raten wir Unternehmen, verschiedene Methoden für die Authentifizierung bereitzustellen, je nachdem, ob ein Benutzer online oder offline ist. Wenn ein Notebook beispielsweise online ist, wird die Anmeldung bei Microsoft Windows durch Push-Benachrichtigungen oder biometrische Daten gesichert. Wenn das Notebook offline ist, Einmaliges Passwort (OTP) durchgesetzt wird.
Da OTP nicht so benutzerfreundlich ist, haben wir in diesem Szenario etwas Komfort für mehr Sicherheit geopfert. Auf diese Weise wird sichergestellt, dass es kein Fail-Open gibt und dass ein Angreifer die MFA nicht ausschalten kann.
Ein ausfallsicheres Verhalten ist nicht nur für den Windows-PC eines einzelnen Benutzers wichtig: Es muss auch für alle Ihre lokalen Anwendungen gelten.
Was ist, wenn der von Ihnen verwendete MFA-Cloud-Dienst offline ist? Das kann und wird passieren. Vielleicht hat der MFA-Anbieter einen Ausfall, vielleicht ist Ihre Internetverbindung gestört. Vielleicht hat ein Angreifer Ihren DNS-Dienst so manipuliert, dass der MFA-Cloud-Dienst offline zu sein scheint: Unabhängig von der Situation kann die Planung eines ausfallsicheren/Failover-Verhaltens Ihrem Unternehmen helfen, die Geschäftskontinuität und Sicherheit aufrechtzuerhalten, selbst wenn Ihre Benutzer keine Verbindung zum Internet herstellen können.
A hybride, hochverfügbare MFA-Einrichtung vor Ort und in der Cloud wird den Tag retten. Normalerweise sprechen Ihre Anwendungen mit der lokalen MFA-Komponente, die wiederum Anfragen an den MFA-Cloud-Dienst weiterleitet. Wenn die MFA-Cloud nicht mehr verfügbar ist, können alle Anwendungen, die mit der Failover-Komponente des lokalen MFA-Dienstes kommunizieren, die Benutzer weiterhin streng authentifizieren.
Wie beim Windows-PC-Szenario wird auch in diesem Anwendungsfall die Offline-Authentifizierung nur über OTP durchgeführt, da Push-Benachrichtigungen an die Smartphones der Benutzer bei einem Internetausfall nicht verfügbar sind. Wenn man die Wahl hat, OTPs bei MFA-Cloud-Ausfällen zu erzwingen oder auf Fail-Open zu setzen, dann würde ich mich in 10 von 10 Fällen für OTPs entscheiden.
Eine ordnungsgemäße Konfiguration von MFA von Anfang an, eine durchdachte Registrierung und die Eliminierung von MFA mit offenem Ausgang sind einige der besten Möglichkeiten, sich auf all diese Szenarien vorzubereiten.
Eine weitere wichtige Komponente ist die Entwicklung einer Governance-Praxis, die Ihrem Sicherheitsteam hilft, Einblick in die Identitäten während ihres gesamten Lebenszyklus zu erhalten.
SecurID Governance & Lebenszyklus stellt sicher, dass die Benutzerkonten und Berechtigungen auf dem neuesten Stand sind. Da Genehmigungsentscheidungen - einschließlich MFA-Anmeldungen - auf Identitätsdaten beruhen, ist es wichtig, dass diese Daten zuverlässig sind.
Was ich noch nicht erwähnt habe, ist das Identity Confidence Scoring: SecurID kann das Vertrauen in die aktuelle MFA-Transaktion eines Benutzers auf der Grundlage seines aktuellen Kontexts und seines bisherigen Verhaltens bewerten. Identity Confidence Scoring ist etwas, das wir nun schon seit fast zwei Jahrzehnten machen. Es fließt in die SecurID-Risikomaschine ein und risikobasierte Analyse.
SecurID unterstützt all diese Best Practices: Von der Sicherung der Erstregistrierung über die Rücksetzung von Authentifizierungen bis hin zum Einsatz hybrider Authentifizierungen und der Verwaltung von Identitätsmanagement haben wir auf unserer jahrzehntelangen Erfahrung in der Entwicklung intelligenter, einfacher und sicherer Lösungen aufgebaut.
Egal, ob Sie online oder offline sind, ob Sie vor Ort oder in der Cloud arbeiten, es gibt eine Möglichkeit, wie Sie und Ihr Team sicher bleiben. Wir zeigen Ihnen wie.
