Se 2022 ensinou algo à segurança cibernética, é que a autenticação multifatorial (MFA) deve ser a primeira linha de defesa na proteção de uma organização - não pode ser a única. último linha de defesa.
No ano passado, vimos ataques importantes, que foram manchetes e conseguiram burlar a MFA. Um grupo patrocinado pelo Estado violou uma ONG em março de 2022. Em seguida, o LAPSUS$ violou um fornecedor de tecnologia antes de passar para Uber, entre vários outros ataques de alto perfil no ano passado.
Alguns desses ataques foram sofisticados. Outros não. Mas todos eles oferecem lições importantes sobre como e por que a segurança cibernética deve proteger todo o ciclo de vida da identidade.
Detalharei as etapas desses ataques de MFA e as principais lições que as organizações devem aprender com eles em Conferência RSA amanhã, 25 de abril, às 9h40 (horário de Brasília).
Um hack que não discutirei é o SolarWinds violação. E, embora não esteja em minha apresentação, o ataque à SolarWinds demonstra a mesma necessidade de defender todo o ciclo de vida da identidade. Nesse caso, os agentes de ameaças usaram a SolarWinds para lançar um ataque à cadeia de suprimentos e obter acesso a órgãos federais, empresas de segurança cibernética e até mesmo à Microsoft durante meses.
A violação da SolarWinds demonstrou que, se uma organização não priorizar sua segurança de identidade, os agentes de ameaças o farão. No post-mortem do ataque, os pesquisadores descobriram que os invasores contornaram a MFA usando uma tecnologia de cookies da Web desatualizada que havia sido classificada incorretamente como MFA.
Mas essa não foi a única vulnerabilidade explorada pelos invasores: eles também roubaram senhas, usaram certificados SAML para "habilitar a autenticação de identidade por serviços em nuvem" e criaram "novas contas no servidor Active Directory". Cada etapa deu aos invasores mais controle e métodos para se moverem lateralmente por toda a rede SolarWinds Orion - e depois para seus clientes.
Não havia um único calcanhar de Aquiles de identidade que os hackers priorizassem. Em vez disso, eles "se concentraram principalmente em atacar o infraestrutura de identidade [ênfase adicionada]", porque "as dentições são o tecido conjuntivo que os atacantes estão usando para se mover lateralmente".
A SolarWinds - e os bem-sucedidos ataques de MFA de 2022 - demonstraram por que as organizações precisam entender que a "infraestrutura de identidade é um alvo".
Não me entenda mal: A MFA ainda é a melhor primeira linha de defesa. Ela protege contra os ataques de senha mais frequentes, inclusive táticas de engenharia social, como phishing e preenchimento de credenciais, ataques de espionagem, ataques de força bruta e muito mais.
Mas a MFA sozinha não é suficiente para evitar riscos ou responder a ameaças. A MFA deve trabalhar em coordenação com recursos adicionais em todo o ciclo de vida da identidade para manter as organizações seguras.
O Colonial Pipeline O ataque de ransomware demonstra como os agentes de ameaças atacam as brechas na infraestrutura de identidade de uma organização e o papel vital que a MFA ainda desempenha: A DarkSide violou os sistemas da Colonial Pipeline usando uma conta VPN órfã que não estava mais em uso.
Essa conta órfã não servia a nenhum propósito para a Colonial Pipeline - era um passivo de segurança somente. Um bom programa de governança e administração de identidade (IGA) teria removido totalmente essa conta do diretório da empresa.
Mas o componente de governança foi apenas uma das falhas: A conta VPN órfã da Colonial Pipeline também não estava protegida por MFA. Provavelmente, um recurso IGA ou A MFA teria impedido a ocorrência da violação. Ambos juntos teria contribuído para uma arquitetura de segurança cibernética muito mais forte e inteligente.
A MFA ainda é uma das partes mais importantes da arquitetura de segurança de todas as organizações. Mas ela agrega mais valor - e cria uma segurança cibernética mais forte - quando funciona em coordenação com outros componentes de segurança em todo o ciclo de vida da identidade.
Há muitas vulnerabilidades em todo o ciclo de vida da identidade. E, infelizmente, os agentes de ameaças são hábeis em explorar todas elas.
Embora a Colonial Pipeline e a SolarWinds tenham demonstrado algumas dessas vulnerabilidades, o LAPSUS$ e um hacker patrocinado pelo Estado encontraram outras maneiras de explorar os pontos fracos da identidade para violar organizações em 2022.
Podemos aprender muito com cada ataque de identidade e encontrar maneiras de evitar o próximo. Se você puder, participe do meu Sessão do RSAC amanhã para saber mais sobre essas vulnerabilidades e o que a segurança cibernética pode fazer para resolvê-las.
###
Participe da sessão da RSA Conference de Dave Taku, "Anatomia do ataque: A ascensão e queda da MFA" amanhã, 25 de abril, às 9h40 (horário de Brasília).
