Se il 2022 ha insegnato qualcosa alla cybersecurity, è che l'autenticazione a più fattori (MFA) deve essere la prima linea di difesa nella sicurezza di un'organizzazione, ma non può essere la prima linea di difesa. ultimo linea di difesa.
L'anno scorso abbiamo assistito ad attacchi importanti, che hanno fatto notizia e che sono riusciti a eludere l'MFA. Un gruppo sponsorizzato dallo Stato ha violato un ONG nel marzo 2022. In seguito LAPSUS$ ha violato un fornitore di tecnologia prima di passare a Uber, tra le altre attacchi di alto profilo l'anno scorso.
Alcuni di questi attacchi erano sofisticati. Altri no. Ma tutti offrono lezioni importanti su come e perché la sicurezza informatica deve proteggere l'intero ciclo di vita dell'identità.
Descriverò nel dettaglio le fasi di questi attacchi MFA e i principali insegnamenti che le organizzazioni dovrebbero trarre da questi attacchi in occasione di Conferenza RSA domani, 25 aprile, alle 9:40 PT.
Un hack di cui non parlerò è il SolarWinds violazione. Anche se non sarà presente nella mia presentazione, l'attacco a SolarWinds dimostra la stessa necessità di difendere l'intero ciclo di vita dell'identità. In quel caso, gli attori delle minacce hanno usato SolarWinds per lanciare un attacco alla catena di approvvigionamento e ottenere l'accesso alle agenzie federali, alle società di cybersicurezza e persino a Microsoft per mesi.
La violazione di SolarWinds ha dimostrato che se un'organizzazione non dà priorità alla sicurezza delle identità, lo faranno gli attori delle minacce. Nell'autopsia dell'attacco, i ricercatori hanno scoperto che gli aggressori hanno aggirato l'MFA utilizzando una tecnologia web-cookie non aggiornata che era stata erroneamente classificata come MFA.
Ma questa non è stata l'unica vulnerabilità sfruttata dagli aggressori: hanno anche rubato le password, usato i certificati SAML per "abilitare l'autenticazione dell'identità da parte dei servizi cloud" e creato "nuovi account sul server Active Directory". Ogni passo ha dato agli aggressori più controllo e metodi per muoversi lateralmente nella rete SolarWinds Orion e poi ai suoi clienti.
Gli hacker non hanno dato priorità a un singolo tallone d'Achille dell'identità. Al contrario, "si sono concentrati principalmente sull'attacco alla infrastruttura di identità [perché "le dentità sono il tessuto connettivo che gli aggressori usano per muoversi lateralmente".
SolarWinds e gli attacchi MFA del 2022 hanno dimostrato perché le organizzazioni devono capire che "l'infrastruttura di identità è un obiettivo".
Non fraintendetemi: L'MFA è ancora la migliore prima linea di difesa. Protegge dagli attacchi più frequenti alle password, comprese le tattiche di ingegneria sociale come il phishing e il riempimento di credenziali, gli attacchi di intercettazione, gli attacchi di forza bruta e altro ancora.
Ma l'MFA da sola non è sufficiente per prevenire i rischi o rispondere alle minacce. L'MFA deve lavorare in coordinamento con altre funzionalità lungo tutto il ciclo di vita dell'identità per mantenere le organizzazioni al sicuro.
Il Gasdotto Coloniale L'attacco ransomware dimostra come gli attori delle minacce attacchino le lacune dell'infrastruttura di identità di un'organizzazione. e il ruolo vitale che l'MFA svolge ancora: DarkSide ha violato i sistemi di Colonial Pipeline utilizzando un account VPN orfano che non era più in uso.
Quel conto orfano non serviva a nulla per Colonial Pipeline: era una passività per la sicurezza. solo. Un buon programma di governance e amministrazione dell'identità (IGA) avrebbe rimosso completamente l'account dalla directory dell'azienda.
Ma la componente di governance era solo una delle lacune: Anche l'account VPN orfano di Colonial Pipeline non era protetto da MFA. Probabilmente si trattava di una funzionalità IGA o L'MFA avrebbe impedito la violazione. Entrambi insieme avrebbe creato un'architettura di cybersecurity molto più forte e intelligente.
L'MFA è ancora una delle parti più importanti dell'architettura di sicurezza di ogni organizzazione. Ma fornisce più valore - e crea una cybersecurity più forte - quando lavora in coordinamento con altri componenti di sicurezza lungo il ciclo di vita dell'identità.
Le vulnerabilità del ciclo di vita dell'identità sono tantissime. E, purtroppo, gli attori delle minacce sono abili nello sfruttarle tutte.
Mentre Colonial Pipeline e SolarWinds hanno dimostrato alcune di queste vulnerabilità, LAPSUS$ e un hacker sponsorizzato dallo Stato hanno trovato altri modi per sfruttare le debolezze dell'identità per violare le organizzazioni nel 2022.
Possiamo imparare molto da ogni attacco di identità e trovare il modo di prevenire il prossimo. Se potete, unitevi al mio Sessione RSAC domani per saperne di più su queste vulnerabilità e su ciò che la cybersecurity può fare per affrontarle.
###
Partecipate alla sessione di Dave Taku alla Conferenza RSA, "Anatomia dell'attacco: L'ascesa e la caduta di MFA" domani, 25 aprile, alle 9:40 PT.
