Manter-se à frente das ameaças cibernéticas é um desafio constante para a maioria das organizações, e é por isso que os órgãos governamentais atualizam continuamente suas diretrizes e requisitos.
O Australian Signals Directorate (ASD) atualizou recentemente o Oito essenciais-que representam "as oito estratégias de atenuação mais eficazes" para as organizações se defenderem contra os ataques cibernéticos mais frequentes e de maior impacto, com novas e importantes diretrizes sobre MFA (multifator) para ajudar na batalha contínua contra os agentes de ameaças.
Embora muitas organizações governamentais sejam obrigadas a se alinhar aos Oito Essenciais, as atualizações não devem ser vistas como um exercício de conformidade apenas para o governo. Em vez disso, as atualizações representam uma oportunidade para todas as organizações para fortalecer sua estrutura de segurança cibernética por meio da adoção dessas diretrizes.
Uma das principais mudanças no Essential Eight é a nova exigência para que as organizações introduzam o uso de MFA resistente a phishing, como os dispositivos FIDO2. Essa é uma mudança fundamental e representa uma elevação significativa nos mecanismos de defesa das organizações contra a ameaça de segurança cibernética mais prevalente: ataques de phishing, que foram a causa mais frequente de uma violação e a segunda mais prejudicial aos resultados financeiros de uma organização: o Relatório de custo de segurança de uma violação de dados da IBM 2024 constatou que as violações resultantes de phishing custaram em média US$ 4,88 milhões.
Com a frequência e o impacto dos ataques de phishing, a RSA apóia fortemente o Centro Australiano de Segurança Cibernética (ACSC) e a ASD por tornarem isso um requisito para que qualquer implementação de MFA atinja uma postura de "Nível de Maturidade 2" e com o objetivo final de reduzir o risco para as organizações.
O FIDO2 é uma tecnologia projetada para revolucionar a autenticação on-line. É um sistema de duas partes que torna o login em sites mais seguro e mais conveniente. Com o FIDO2, você pode usar a biometria (como sua impressão digital), uma chave de segurança ou seu telefone para fazer login, em vez de depender de senhas tradicionais. Esse método é muito mais seguro, pois é muito mais difícil para os invasores invadirem ou phishingarem as credenciais dos usuários que utilizam o FIDO2.
O FIDO2 consiste em um protocolo especial que permite que dispositivos de hardware se comuniquem de forma segura com serviços on-line e uma API da Web que integra essa tecnologia diretamente em navegadores da Web, como o Chrome ou o Safari, tornando todo o processo fácil de usar. É uma maneira mais inteligente de proteger identidades e dados on-line.
O FIDO2 também permite que as organizações eliminem gradualmente as senhas em toda a sua infraestrutura. "Deixar de usar senhas" tem sido um grito de guerra para a maioria das organizações. No entanto, apesar dos óbvios benefícios de segurança e usabilidade da FIDO2, a adoção na Austrália tem sido, infelizmente, muito baixa. Isso se deve, em grande parte, ao fato de a infraestrutura e os sistemas legados não poderem aproveitar os protocolos FIDO2, criando uma barreira técnica e financeira significativa para uma adoção mais ampla. Esses sistemas mais antigos ainda dependem, em grande parte, de métodos MFA mais antigos, como a senha de uso único (OTP).
Para aproveitar ao máximo seus investimentos anteriores, atender às novas diretrizes do Essential Eight e aprimorar sua postura geral de segurança cibernética, as organizações devem examinar as tecnologias que podem fornecer simultaneamente FIDO2 e OTP na mesma solução, da maneira mais discreta possível.
A RSA oferece às organizações opções econômicas e altamente seguras que excedem esses requisitos. A RSA Authenticatou O próprio aplicativo é certificado pelo FIDO no Android e no iOS. Em segundo lugar, o Autenticador de hardware RSA DS100 é um dispositivo de hardware com certificação FIDO e fornece OTP em um painel de exibição. E, por fim, o Série RSA iShield Key 2, com tecnologia Swissbit, oferece um dispositivo certificado pela FIDO que suporta FIDO2 e TOTP e tem certificação FIPS 140-3.
As diretrizes do Essential Eight excluíram a biometria (por exemplo, uma impressão digital em seu telefone) como um método de autenticação válido em qualquer um dos níveis de maturidade. Deve-se revisar qualquer exigência de uso desse tipo de tecnologia para acesso privilegiado e nunca usar a biometria como único meio de concessão de acesso.
Além disso, o reconhecimento de voz é outra abordagem para conceder acesso em que o usuário é desafiado a usar sua própria voz para obter acesso a algo. As técnicas atuais de IA generativa permitem que os agentes de ameaças clonem qualquer voz com um pequeno conjunto de amostras, e os resultados são muito convincentes: o Índice de segurança móvel da Verizon 2023 O white paper informa que "sete palavras podem ser uma amostra suficiente para criar uma imitação crível da voz de uma pessoa".
À luz desse desenvolvimento, talvez seja justo dizer que o reconhecimento de voz é, de fato, uma tecnologia morta para autenticação. As atualizações biométricas do Essential Eight destacam por que as organizações devem ser cautelosas com os desenvolvimentos rápidos no mundo da tecnologia de IA generativa e sua relação com a identidade e a segurança. Permaneça vigilante!
A adoção dessas mudanças exige planejamento e execução estratégicos. A primeira etapa é garantir o alinhamento com as alocações orçamentárias e de recursos. A integração de uma MFA mais sofisticada pode exigir recursos iniciais significativos, mas representa um investimento de longo prazo na segurança digital geral da organização. Quando algo é gratuito, você sempre recebe o que pagou.
O envolvimento dos funcionários também é fundamental. A eficácia das novas medidas de segurança depende, em grande parte, da compreensão e da "adesão" do usuário. O fornecimento de treinamento e a promoção contínua de uma cultura de conscientização sobre segurança cibernética facilitarão uma transição tranquila para novos métodos de autenticação.
Temos visto organizações obterem uma aceitação mais rápida dos funcionários ao envolvê-los na transição e capacitá-los com novos recursos, em vez de impor a mudança a eles. Fornecer autoatendimento ao usuário, permitindo que ele escolha entre uma variedade de métodos MFA equivalentes, pode ajudar nesse sentido.
Além disso, e igualmente importante, é fundamental equilibrar a segurança cibernética com a eficiência operacional. A implementação de medidas de MFA não deve prejudicar a experiência do usuário ou as operações comerciais. Alcançar o equilíbrio certo entre protocolos de segurança rigorosos e a experiência do usuário pode ser complicado, mas é fundamental para uma adoção bem-sucedida. Além disso, tenha em mente os sistemas legados - selecione um provedor que possa proteger os recursos antigos e, ao mesmo tempo, proteger os mais avançados.
As diretrizes atualizadas do Essential Eight ressaltam a importância do gerenciamento de riscos. A implementação de uma solução robusta de MFA reduz a probabilidade de acesso não autorizado e, portanto, de possíveis violações de dados. Por extensão, essas medidas reduzem muito o risco geral para a infraestrutura digital.
É por isso que pedimos a todas as organizações que abordem as diretrizes revisadas do Essential Eight MFA como muito mais do que um requisito de conformidade apenas para organizações governamentais e afiliadas e que, em vez disso, as vejam pelo que são: um caminho estratégico para fortalecer qualquer organização contra ameaças cibernéticas.
