Questo post è stato pubblicato per la prima volta nel 2023 ed è stato aggiornato.
Alcune delle più grandi violazioni di dati nella memoria recente hanno eluso l'autenticazione a più fattori (MFA). Questo non significa che l'MFA sia inefficace. Significa che gli aggressori spesso aggirano l'MFA prendendo di mira le lacune dell'autenticazione piuttosto che il fattore stesso.
Che si tratti di attaccare le modalità di configurazione dell'MFA, di bombardare gli utenti o di attaccare i subappaltatori, gli attori delle minacce hanno trovato il modo di attaccare i punti deboli del ciclo di vita dell'identità, di esfiltrare i dati e di rivelare perché l'MFA deve essere la prima linea di difesa, ma non l'ultima.
Questa è la lezione principale per i team di sicurezza. L'MFA è ancora importante, ma funziona meglio come parte di una più ampia strategia di sicurezza delle identità.
Gli aggressori utilizzano metodi diversi a seconda dell'ambiente, ma diversi schemi si ripetono.
Stanchezza da AMF e bombardamento immediato
Una tattica comune è Stanchezza da AMF, chiamato anche "prompt bombing". Gli aggressori inviano ripetutamente richieste di approvazione finché un utente non ne accetta una per errore o per frustrazione. Questo approccio funziona meglio quando gli utenti sono distratti, frettolosi o non sanno se la richiesta è legittima.
Questo è uno dei motivi per cui la formazione degli utenti è ancora importante. Le persone devono sapere che una richiesta inaspettata deve essere considerata un segnale di avvertimento, non una fase di login di routine.
Configurazione MFA debole
L'MFA è forte solo quanto la sua implementazione. Se gli amministratori lasciano delle lacune nei criteri, nell'iscrizione, nei metodi di fallback, nella gestione delle eccezioni o nei requisiti di step-up, gli aggressori le cercheranno. In molti casi, il punto debole non è il fattore in sé. È il modo in cui il fattore è stato implementato.
Esposizione di terzi e appaltatori
Gli aggressori prendono di mira anche fornitori, appaltatori e partner con accesso ai sistemi interni. Un controllo forte può comunque fallire se l'identità di una terza parte è eccessivamente privilegiata, poco monitorata o poco governata. Il rischio di identità non si ferma ai dipendenti.
Architettura fail-open
Un sistema “fail open” è un sistema che si apre di default quando i controlli operativi standard non funzionano. Questo principio può avere un senso nella sicurezza fisica, ma introduce seri rischi per quanto riguarda la sicurezza dell'accesso digitale.
Se un sistema perde il contatto con un servizio MFA basato sul cloud e si imposta di concedere l'accesso, gli aggressori possono sfruttare questa condizione per aggirare completamente l'MFA.
Lacune nel ciclo di vita dell'identità
L'autenticazione è solo una parte della sicurezza dell'identità. Gli attori delle minacce sanno che l'identità non si limita a gestirla. Vengono ricercati i punti deboli nel provisioning, nel ripristino, nell'amministrazione delegata, nell'accesso di terzi e nella governance dei diritti.
La lezione più importante di questi attacchi non è che l'MFA sia fallito. La lezione è che le difese dell'identità devono andare oltre la schermata di login.
Quando le organizzazioni si concentrano solo sull'evento di autenticazione, lasciano esposte altre aree ad alto valore. I flussi di lavoro di recupero, le eccezioni ai criteri, l'accesso offline, i ruoli privilegiati e i diritti eccessivi possono diventare percorsi di attacco.
Ad esempio, il provisioning dell'accesso non è sufficiente: le organizzazioni dovrebbero iniziare a chiedersi: l'utente ha bisogno di accedere? Se sì, per quanto tempo? Abbiamo fornito loro un accesso eccessivo o appena sufficiente? Come facciamo a saperlo? Queste sono domande pratiche sulla sicurezza che influenzano direttamente il rischio di violazione.
Le organizzazioni che vogliono ridurre il rischio di bypass dell'MFA devono avere una maggiore visibilità sull'intero ciclo di vita dell'identità. Ciò significa capire non solo chi può accedere, ma anche perché ha accesso, a cosa può accedere e come queste autorizzazioni cambiano nel tempo.
La migliore difesa non è costituita da un singolo fattore o da un singolo prodotto. È un approccio stratificato che colma le lacune su cui gli aggressori fanno affidamento.
Rafforzare le opzioni di autenticazione
Non tutti i metodi di autenticazione offrono lo stesso livello di protezione. Con opzioni come Face ID di Apple che stanno diventando quasi onnipresenti per gli utenti di telefonia mobile, la biometria è una forma popolare di autenticazione senza password, ma certamente non l'unica. Le organizzazioni dovrebbero valutare opzioni più forti in grado di ridurre l'esposizione al phishing e agli attacchi basati sul replay. Privilegiare una gamma di soluzioni senza password in grado di supportare ogni utente, in ogni ambiente, in ogni momento.
Ridurre la dipendenza dalle congetture degli utenti
L'MFA basata su push è comoda, ma la comodità può creare rischi quando gli utenti devono interpretare richieste inaspettate sul momento. Quanto più un flusso di autenticazione dipende dal giudizio dell'utente sotto pressione, tanto più può diventare vulnerabile.
Per questo motivo le organizzazioni dovrebbero abbinare un'autenticazione più forte alla consapevolezza della sicurezza, ai controlli adattivi dei criteri e al monitoraggio dei modelli di approvazione sospetti.
Pianificare gli scenari di fallimento
Questo è uno dei risultati più evidenti di queste violazioni. Ci sono alcuni modi in cui questi attacchi avrebbero potuto essere evitati senza bloccare gli utenti dal sistema. Il primo è l'impiego di un sistema di autenticazione ibrido che può ripiegare su un nodo locale on-premise in caso di guasto di Internet. Il secondo è utilizzare un sistema di autenticazione che possa essere convalidato offline.
Negli ambienti ad alta sicurezza, la resilienza è importante, ma lo è anche il comportamento in caso di guasto. I team di sicurezza devono sapere esattamente cosa succede quando i servizi a monte non sono disponibili.
Migliorare la visibilità dell'identità
La sicurezza dell'identità richiede più della verifica di un fattore. Richiede anche una visione dell'accesso, dei diritti, delle modifiche al ciclo di vita e dei segnali di rischio tra gli utenti e i sistemi. Senza questa visibilità, le organizzazioni possono proteggere l'autenticazione lasciando comunque esposte le risorse critiche.
Autenticazione senza password può contribuire a ridurre il rischio di bypass dell'MFA, allontanando le organizzazioni dalle credenziali phishable e dai flussi di login fragili.
Che si tratti di biometria, FIDO2, Le organizzazioni dovrebbero utilizzare soluzioni in grado di supportare una serie di ambienti, applicazioni e gruppi di utenti misti, come codici QR, BLE, NFC o altri fattori di forma senza password.
L'assenza di password non è solo una questione di comodità. Può anche ridurre la dipendenza dalle password, che rimangono uno dei punti di ingresso più comunemente sfruttati negli attacchi all'identità.
Gli autenticatori OTP e FIDO presentano ciascuno vantaggi specifici. Alcuni sono più adatti alla moderna autenticazione basata su browser, mentre altri offrono una copertura più ampia per gli ambienti legacy e ibridi. Quando si confrontano OTP e FIDO, tuttavia, la risposta migliore è di solito un “AND”. Molte organizzazioni hanno bisogno sia di flessibilità che di una maggiore sicurezza.
L'AMF deve essere la prima linea di difesa, ma non l'ultima. Per ridurre il rischio di bypass dell'MFA, le organizzazioni hanno bisogno di opzioni di autenticazione più forti, di un'architettura resiliente e di una migliore visibilità sull'intero ciclo di vita dell'identità.
Con RSA ID Plus, le organizzazioni possono supportare l'autenticazione ibrida e senza password, rafforzare la protezione degli ambienti moderni e legacy e costruire una strategia di sicurezza delle identità più resiliente. Scopri come RSA ID Plus può aiutare a difendersi dalle lacune che gli aggressori colgono quando l'MFA è solo.
L'MFA è un controllo di sicurezza critico che funziona al meglio quando viene implementato come parte di una più ampia strategia di sicurezza dell'identità. Nel nostro webinar abbiamo analizzato alcuni dei modi più comuni in cui gli aggressori aggirano l'MFA, tra cui il bombardamento immediato, la configurazione debole, l'esposizione a terzi e le lacune nel ciclo di vita dell'identità, Anatomia dell'attacco: L'ascesa e la caduta di MFA, che ha suscitato domande di approfondimento da parte dei partecipanti. Le FAQ che seguono rispondono ad alcune delle domande più importanti emerse dalla conversazione.
D: Siete d'accordo con Microsoft che il PIN di Windows Hello è più sicuro di una password per accedere alla vostra postazione di lavoro?
R: Si tratta di una questione affascinante che sarà dibattuta per molti anni a venire. Le password e i PIN rientrano entrambi nella categoria di autenticazione "qualcosa che si conosce" e sono quindi suscettibili di attacchi di phishing. Rispetto alle password, i PIN sono generalmente di lunghezza inferiore e utilizzano un set di caratteri limitato. Quindi, da un punto di vista entropico, i PIN sono più debole rispetto alle password, vale a dire che maggiore è il numero di scelte potenziali, più difficile sarà forzare una password o un PIN.
Ma questa è solo una parte della storia. A differenza delle password, i PIN (o almeno i PIN come definiti dal NIST SP800-63) sono convalidato localmente. Ciò significa che non vengono mai trasmessi o memorizzati in un archivio centralizzato. In questo modo i PIN hanno molte meno probabilità di essere intercettati o rubati in un attacco di tipo "smash-and-grab".
Come spesso accade, l'ambiente, la configurazione e la formazione degli utenti tendono ad avere un impatto maggiore sulla postura complessiva della cybersecurity rispetto ai protocolli o alle tecnologie.
D: Potete fornire qualche dettaglio in più sulle opzioni di autenticazione offline per evitare il problema del fail open. Esempi di architettura o offerte di prodotti?
R: Un sistema "fail open" è un sistema che si apre per default quando i controlli operativi standard non funzionano. Se questo è un principio di sicurezza importante per la sicurezza fisica (ad esempio, in caso di incendio, tutte le porte esterne dovrebbero sbloccarsi immediatamente), non è altrettanto importante per proteggere l'accesso alle risorse critiche.
Nel caso d'uso della ONG, gli aggressori hanno ottenuto l'accesso alla risorsa impedendo al sistema locale di comunicare con il provider MFA basato sul cloud, aggirando di fatto il controllo MFA. Ciò è stato possibile perché la soluzione per l'identità in uso prevedeva un "accesso predefinito".non aprire").
Ci sono alcuni modi in cui si sarebbe potuto evitare questo problema senza bloccare gli utenti dal sistema. Il primo è l'impiego di un sistema di autenticazione ibrido che può ripiegare su un nodo locale (on-prem) in caso di guasto di Internet. La seconda è utilizzare un sistema di autenticazione che possa essere convalidato offline. RSA ID Plus supporta entrambe le opzioni.
D: Qual è il miglior IDP (Identity Provider) dal vostro punto di vista?
R: Se rispondo in modo diverso da "RSA ID Plus", sono abbastanza sicuro che perderò il mio lavoro.
Ma in tutta serietà, ci sono diverse cose che cercherei. Primo: il fornitore ha un'esperienza comprovata? In secondo luogo, l'Identità è il fulcro della loro attività o è solo una delle tante cose che fanno? Terzo, il fornitore privilegia la convenienza rispetto alla sicurezza nelle decisioni di progettazione? Quarto: la soluzione offre la flessibilità necessaria per supportare un'ampia gamma di utenti e casi d'uso, comprese le applicazioni legacy nelle viscere del datacenter? E infine, quando le cose vanno male (e lo faranno), il fornitore si assume la responsabilità con piena trasparenza o offusca e scarica le colpe?
La sicurezza non è facile e gli attori delle minacce identità del target più di qualsiasi altra parte della superficie di attacco. Le organizzazioni hanno bisogno di IDP che lo capiscano.
D: Quanto sono affidabili le attuali soluzioni ZTNA offerte dai fornitori di sicurezza?
R: L'accesso alla rete a fiducia zero (ZTNA) è un concetto basato sul principio che la fiducia non deve essere mai assunto Gli utenti devono essere continuamente autenticati, devono avere il permesso di accedere a una risorsa specifica e devono avere un motivo valido per farlo.
Sebbene oggi esistano molti prodotti "Zero Trust" sul mercato, è importante notare che lo ZTNA è un quadro concettuale e un insieme di best practice. Come L'impiego della tecnologia, la definizione delle politiche e la gestione dell'ecosistema determineranno la vostra posizione ZTNA. La tecnologia può certamente aiutare, ma se un fornitore vi dice che il suo prodotto vi renderà conformi allo ZTNA, cercate qualcun altro.
Se volete saperne di più sulla fiducia zero, vi consiglio di iniziare con i sette principi della fiducia zero definiti in NIST SP800-207.
D: L'assenza di password si basa esclusivamente sulla biometria? Quali altri metodi possono essere utilizzati, come viene utilizzata l'intelligenza artificiale nell'autenticazione?
R: Con opzioni come Face ID di Apple che stanno diventando quasi onnipresenti per gli utenti di telefonia mobile, la biometria è sicuramente una forma popolare di autenticazione senza password, ma certamente non l'unica. FIDO2 è una scelta sempre più comune sia per i consumatori che per le aziende. Anche i metodi senza contatto come il codice QR, BLE e NFC sono utilizzati, anche se in misura minore. Sempre più spesso i principi dell'intelligenza artificiale, come le regole intelligenti, l'apprendimento automatico e l'analisi comportamentale, vengono utilizzati per aumentare ulteriormente la sicurezza dell'identità come fattori di autenticazione invisibili che introducono un attrito minimo o nullo per l'utente finale. RSA ID Plus supporta oggi tutte queste opzioni.
D: Qual è il futuro dell'Identity & Access Management?
R: Credo che questi tre attacchi dimostrino che “Identity & Access Management” è, se non un termine obsoleto, forse insufficiente.
Questi attacchi sottolineano che dobbiamo proteggere le identità, non solo gestirle. Ad esempio, il provisioning dell'accesso non è sufficiente: dovremmo iniziare a chiederci "l'utente ha bisogno di accedere?". Se sì, per quanto tempo? Abbiamo fornito loro un accesso eccessivo o sufficiente? Come facciamo a saperlo? In troppi casi, non credo che gli amministratori sappiano in che modo e nemmeno come scoprirlo.
Gli attori delle minacce sanno che l'identità va oltre la gestione dell'identità. Gli attacchi che ho esaminato dimostrano come i criminali informatici attacchino le lacune di cui l'IAM non tiene conto. Credo che la comprensione dell'identità da parte delle organizzazioni debba espandersi per tenere conto e proteggere l'intero ciclo di vita dell'identità.
A livello tecnico, ritengo che l'intelligenza artificiale avrà un ruolo importante nell'elaborazione delle enormi quantità di dati autenticazione, diritti e utilizzo. Disporre di una piattaforma intelligente in grado di valutare i dati a grana fine in modo rapido e su scala può essere una vera risorsa per mantenere la sicurezza delle organizzazioni.
D: Come confronta SecurID con YubiKey?
R: SecurID e YubiKey sono autenticatori leader nelle rispettive categorie. E la buona notizia è che RSA ID Plus supporta entrambi (oltre a molte altre opzioni di autenticazione).
Se si prescinde dalle specifiche dei fornitori, gli autenticatori OTP e FIDO hanno ciascuno i propri vantaggi. Mentre FIDO sta crescendo in popolarità come opzione sicura e conveniente per i login basati sul web, le opzioni FIDO basate su software hanno ancora una versatilità limitata, i dispositivi hardware spesso richiedono una connessione fisica e il vero supporto per FIDO al di là del browser web è quasi inesistente. Nel frattempo, l'OTP ha il vantaggio di funzionare praticamente ovunque, sia su hardware che su software, senza bisogno di un software client specializzato o di una connessione fisica.
Quando si confrontano OTP e FIDO, tuttavia, la risposta migliore è di solito un ‘AND’. Dispositivi ibridi come il RSA DS100 combinano il meglio dei due mondi, offrendo OTP e FIDO2 in un unico fattore di forma per garantire la massima flessibilità e ampiezza di supporto. RSA supporta anche il iShield Key Serie 2, che offre un'autenticazione supportata da hardware e convalidata rispetto ai più elevati parametri di sicurezza. Certificato FIPS 140-3 e FIDO2, è conforme ai framework FedRAMP, NIST, DORA, NIS2, HIPAA e PCI DSS.
