Le 15 mars 2022, l'agence américaine pour la cybersécurité et la sécurité des infrastructures (CISA) a publié un rapport sur la sécurité des infrastructures et la cybersécurité. alerte détaillant un Cyberattaque russe contre une organisation non gouvernementale (ONG). L'auteur de la menace a enchaîné des mots de passe faibles, un compte d'utilisateur inactif, des paramètres par défaut privilégiant la commodité à la sécurité et une vulnérabilité antérieure de Windows. Cela lui a permis d'accéder à des comptes de messagerie et de cloud computing pour exfiltrer des documents.ation".
En Première partie Dans la première partie de cette série, Ingo Schubert, RSA Global Cloud Identity Architect, a passé en revue certaines des meilleures pratiques que RSA avait partagées avec ses clients à la suite de cette attaque, en discutant de l'objectif de l'authentification multifactorielle (MFA), de l'enrôlement des utilisateurs dans le MFA et de la façon de minimiser l'utilisation des mots de passe. Dans cette deuxième partie de la série, Ingo examine les réinitialisations d'authentification, les sécurités contre les défaillances et d'autres scénarios qui pourraient conduire à des incidents de sécurité.
Supposons que vous ayez terminé l'inscription. De plus, vous avez suivi nos meilleures pratiques et créé des inscriptions qui aboutissent à un plafond de confiance élevé, permettant aux utilisateurs de s'authentifier avec un degré de confiance élevé tant qu'ils utilisent cette méthode d'authentification.
Notre travail est-il terminé ? Loin de là. Qu'en est-il de l'utilisateur qui perd ou égare son authentifiant ? Qu'en est-il de l'utilisateur qui reçoit un nouveau smartphone et doit réinstaller l'application ?
Ces scénarios se produiront et votre organisation doit être prête à les gérer de manière sûre et conviviale.
Cela vous semble-t-il familier ? C'est normal. Il est probable que votre organisation remplacer authentificateurs d'une manière qui ressemble à leur enrôlement initial. À chaque étape, les organisations doivent s'assurer qu'elles ne s'exposent pas à des attaques.
Ne rompez pas la confiance établie lors de l'inscription en remplaçant un authentificateur. Rappelez-vous : l'inscription de nouveaux dispositifs, le remplacement de dispositifs inscrits et la réinitialisation de l'authentification font partie des moments préférés des pirates dans le cycle de vie de l'identité. Ils entraînent un degré de changement plus élevé que d'habitude et, par conséquent, représentent l'un des cas les plus probables pour les attaquants d'obtenir un accès non autorisé.
Ne les laissez pas faire. Recherchez un l'authentification multifactorielle (MFA) qui peut sécuriser ces moments, offre des intégrations API dans votre gestion de l'identité et de l'accès (IAM) et intègre les opérations de votre service d'assistance, le tout en un seul endroit.
Même si vous avez fait tout ce qu'il fallait pendant la phase d'inscription et si vous avez sécurisé le remplacement de l'authentification et l'accès d'urgence, posez-vous la question suivante : à quoi tout cela sert-il si vous n'utilisez pas le MFA partout ou si un attaquant peut simplement le désactiver et le contourner ?
Il est facile de résoudre le premier scénario : utiliser l'AMF partout (au moins pour les bons utilisateurs).
Pour y parvenir, votre solution d'AMF doit fournir une variété de méthodes et d'interfaces permettant aux utilisateurs de s'authentifier en tout temps et en toute circonstance qu'ils préfèrent. Il se peut également que vous deviez vérifier certaines applications héritées et qu'elles puissent fournir les bonnes interfaces et s'assurer qu'elles peuvent utiliser les nouvelles méthodes d'authentification, telles que les méthodes sans mot de passe basées sur FIDO, ou si vous êtes coincé avec le bon vieux RADIUS.
Supposons que vous ayez sécurisé toutes vos applications avec MFA. Vous devez également vous assurer qu'un pirate ne peut pas désactiver le MFA. Dans le récent Alerte CISA, L'ONG utilisait une solution MFA qui permettait aux utilisateurs de se connecter sans MFA s'ils ne pouvaient pas se connecter à l'internet. L'acteur de la menace a exploité cette possibilité, ce qui lui a permis de désactiver efficacement le MFA en coupant simplement la connexion à Internet.
La solution MFA de votre organisation doit donc être à sécurité intégrée et/ou disposer d'un mode de basculement hors ligne qui garantit l'application de la MFA même si le backend MFA (dans le nuage ou sur site) ne peut pas être atteint.
Je comprends le raisonnement qui sous-tend l'ouverture en cas de défaillance : pour que l'entreprise continue à fonctionner, il est préférable d'autoriser les connexions avec un simple mot de passe plutôt que de bloquer l'accès à tout le monde.
Aussi compréhensible que soit ce choix, il crée des vulnérabilités importantes dans votre posture de sécurité. La meilleure approche - et la plus sûre - consiste à s'assurer que l'authentification forte fonctionne même si le backend MFA n'est pas disponible. Que votre backend MFA soit basé sur le cloud ou sur site ne devrait pas avoir d'importance : les fournisseurs d'authentification devraient fournir des solutions hors ligne qui fonctionnent pour les deux.
La sécurisation de l'authentification MFA hors ligne est un problème que nous rencontrons fréquemment. En général, nous conseillons aux entreprises de fournir différentes méthodes d'authentification selon que l'utilisateur est en ligne ou hors ligne. Par exemple, si un ordinateur portable est en ligne, la connexion à Microsoft Windows est sécurisée à l'aide de notifications push ou de données biométriques. Si l'ordinateur portable est hors ligne, Mot de passe unique (OTP) est appliqué.
L'OTP n'étant pas aussi facile à utiliser, dans ce scénario, nous avons sacrifié une partie de la commodité pour une plus grande sécurité. Ce faisant, nous nous assurons qu'il n'y a pas d'ouverture en cas d'échec et qu'un attaquant ne peut pas désactiver l'AMF.
Le comportement de sécurité n'est pas seulement important pour le PC Windows d'un utilisateur individuel : il doit également s'appliquer à toutes vos applications sur site.
Que se passe-t-il si le service d'AMF en nuage que vous utilisez est hors ligne ? Cela peut arriver et arrivera. Peut-être que le fournisseur du service d'AMF a une panne, peut-être que votre connexion internet est coupée. Peut-être qu'un pirate a manipulé votre service DNS de telle sorte que le service cloud MFA semble être hors ligne : quelle que soit la situation, la planification d'un comportement fail-safe/failover peut aider votre organisation à maintenir la continuité des activités et la sécurité même lorsque vos utilisateurs ne peuvent pas se connecter à l'internet.
A configuration hybride de l'AMF sur site/en nuage à haute disponibilité vous sauvera la mise. Normalement, vos applications communiquent avec le composant MFA sur site, qui transmet à son tour les demandes au service MFA en nuage. Si le service MFA en nuage devient indisponible, toutes les applications qui communiquent avec le composant de basculement du service MFA sur site seront toujours en mesure d'authentifier fortement les utilisateurs.
Comme pour le scénario du PC Windows, dans ce cas d'utilisation, l'authentification hors ligne sera effectuée par OTP uniquement parce que les notifications push sur les smartphones des utilisateurs ne seront pas disponibles en cas de panne d'Internet. Si l'on peut choisir d'appliquer les OTP en cas de panne du cloud MFA ou de passer par défaut à l'ouverture en cas de défaillance, je choisirais les OTP 10 fois sur 10.
Configurer correctement l'AMF dès le départ, penser à l'enrôlement et éliminer l'AMF en cas d'échec sont quelques-uns des meilleurs moyens de se préparer à tous ces scénarios.
Un autre élément essentiel est le développement d'une pratique de gouvernance qui aide votre équipe de sécurité à avoir une visibilité sur les identités tout au long de leur cycle de vie.
Gouvernance et cycle de vie de SecurID garantit que les comptes et les droits des utilisateurs sont à jour. Comme les décisions d'autorisation - y compris les inscriptions à l'AMF - seront basées sur les données d'identité, il est essentiel que ces données soient fiables.
Je n'ai pas encore abordé la question de l'évaluation de la confiance dans l'identité : SecurID peut évaluer la confiance dans la transaction d'AMF en cours d'un utilisateur en fonction de son contexte actuel et de son comportement passé. L'évaluation de la confiance dans l'identité est quelque chose que nous faisons maintenant depuis près de vingt ans. Elle fait partie du moteur de risque de SecurID et de l'évaluation de la confiance dans l'identité. l'analyse fondée sur le risque.
SecurID prend en charge toutes ces bonnes pratiques : de la sécurisation de l'inscription initiale à la réinitialisation des authentifications, en passant par le déploiement de l'authentification hybride et la gestion de la gouvernance des identités, nous nous appuyons sur nos décennies d'expérience dans la conception de solutions intelligentes, simples et sûres.
Que vous soyez en ligne ou hors ligne, que vous soyez sur site ou dans le nuage, il existe un moyen pour vous et votre équipe de rester en sécurité. Laissez-nous vous montrer comment.
