Pular para o conteúdo
Experimente a Segurança na Nuvem da RSA Gratuitamente

Comece agora o seu período de teste do ID Plus.

Começar

A autenticação multifatorial (MFA) não é mais opcional; é um requisito essencial para garantir o acesso a sistemas e dados confidenciais. À medida que as ameaças cibernéticas se tornam mais sofisticadas, os líderes de segurança e gerenciamento de identidade e acesso (IAM) em serviços financeiros, órgãos governamentais, saúde, energia e outros ambientes que priorizam a segurança precisam navegar pelos requisitos de MFA em evolução para garantir a conformidade, reduzir os riscos à segurança e proteger os ativos essenciais.

Veja a seguir informações adicionais sobre requisitos de MFA, padrões de conformidade, vulnerabilidades de segurança e práticas recomendadas para reforçar a segurança da autenticação, incluindo como os Métodos de Autenticação Externa (EAM) da RSA com a Microsoft ajudam as organizações a atender às rigorosas exigências regulatórias.

Requisitos e conformidade da MFA

Os requisitos de MFA definem as políticas de autenticação que as organizações devem implementar para aumentar a segurança e reduzir o risco de ataques baseados em credenciais. Esses requisitos variam de acordo com o setor e a estrutura normativa, mas normalmente exigem o uso de dois ou mais fatores de autenticação:

  • Algo que você sabe: senhas, PINs
  • Algo que você tem: tokens de hardware, autenticadores móveis
  • Algo que você éBiometria (impressão digital, reconhecimento facial)

A MFA é obrigatória em vários setores para impedir o acesso não autorizado, reduzir fraudes e melhorar a resiliência geral da segurança cibernética. Algumas estruturas de conformidade e requisitos técnicos que aplicam a MFA para garantir que as organizações reduzam as ameaças relacionadas à identidade incluem:

  • O DORA (Digital Operational Resilience Act) impõe requisitos rigorosos de MFA para instituições financeiras na UE, aprimorando a segurança cibernética e a resiliência operacional.
  • A NIS2 (Network and Information Security Directive 2) reforça os requisitos de autenticação para setores essenciais em toda a UE.
  • O PCI DSS (Payment Card Industry Data Security Standard) exige MFA para acesso administrativo não console e acesso remoto aos dados do titular do cartão.
  • O CMMC 2.0 (Cybersecurity Maturity Model Certification) exige MFA resistente a phishing para contratados federais que lidam com dados governamentais confidenciais.
  • O GDPR (Regulamento Geral de Proteção de Dados) impõe controles de autenticação seguros para proteger os dados pessoais.
  • O requisito de MFA da Microsoft para aplicativos em nuvem, como o Azure AD, exige autenticação forte para contas de usuário e administrador.

RSA® ID Plus fornece AMF que atende a cada um desses regulamentos e requisitos. Por exemplo, o Integração do RSA EAM com a Microsoft permite que as organizações implementem MFA resistente a phishing, políticas adaptáveis baseadas em risco e monitoramento contínuo de autenticação, estendendo a segurança além do ecossistema da Microsoft para proteger ambientes híbridos e multinuvem.
A não conformidade com esses requisitos pode resultar em multas e apólices de seguro cibernético mais caras. Além disso, se as organizações não implementarem a autenticação moderna, elas correm o risco de aumentar drasticamente sua exposição. A grande maioria dos ataques cibernéticos tem como alvo credenciais fracas, como senhas roubadas. A MFA é essencial para reduzir o risco que qualquer credencial comprometida representa.

Práticas recomendadas para implementar a MFA

Para implementar a MFA de forma eficaz, as organizações devem observar as práticas recomendadas a seguir:

  • Obtenha os protocolos certos para os usuários certos: A MFA não deve ser única para todos. Diferentes populações de usuários podem ter requisitos diferentes. Por exemplo, os usuários que trabalham em salas limpas ou em outras instalações altamente seguras talvez não possam usar dispositivos conectados à Internet ou telefones celulares para se autenticar. Certifique-se de saber o que os usuários podem usar, o que não podem usar e com o que estão familiarizados.
  • Não crie experiências de autenticação em silos: Embora as organizações precisem acomodar as necessidades de diferentes grupos de usuários, elas não devem usar soluções pontuais para implementar a MFA grupo por grupo. Isso complica as operações e gera custos mais altos de aquisição e gerenciamento. Em vez disso, as organizações devem priorizar fornecedores que possam oferecer suporte a uma variedade de métodos de MFA a partir de uma plataforma de identidade central.
  • Se não estiver planejando as interrupções, estará planejando o fracasso: Se você estiver usando um provedor de nuvem para MFA, precisará se perguntar o que acontecerá quando a nuvem ficar inoperante. Na melhor das hipóteses, isso pode significar que os usuários não podem acessar seus aplicativos; na pior, pode ser uma maneira de os agentes de ameaças lançar um ataque. As organizações precisam desenvolver a resiliência em toda a sua infraestrutura crítica, especialmente a MFA
  • Mantenha o BYOD seguro: Com telefones celulares, trabalho em casa e políticas de traga seu próprio dispositivo (BYOD) predominantes em todos os setores, mais usuários estão concluindo a MFA usando dispositivos pessoais. Embora isso aumente a conveniência, também pode introduzir riscos no processo de autenticação: malware, ataques man-in-the-middle, engenharia social e outros podem comprometer o processo de autenticação e, por sua vez, colocar em risco os dados da empresa, os ativos corporativos ou os registros dos clientes.
  • Certifique-se de que está usando a autenticação sem senha correta: Se você está planejando usar a MFA sem senha, essa é uma ótima maneira de reduzir o risco da sua organização e aumentar a maturidade da Zero Trust. Mas nem toda autenticação sem senha é igual: as organizações precisam saber a diferença entre as chaves de acesso sincronizadas, que não oferecem segurança empresarial suficiente, e as chaves de acesso vinculadas a dispositivos, que podem manter as organizações seguras.
Compreensão dos riscos de segurança da MFA

Embora a MFA aumente significativamente a segurança, ela não é infalível. Os invasores desenvolvem continuamente suas táticas para contornar os controles de autenticação, o que torna fundamental que as organizações reconheçam e atenuem as possíveis vulnerabilidades.

Como a MFA pode ser comprometida
  • Ataques de engenharia social: Os ataques de phishing, spear-phishing e fadiga de MFA induzem os usuários a aprovar solicitações de autenticação fraudulentas.
  • Exploração do help desk: Os invasores usam engenharia social para manipular a equipe de suporte de TI para redefinir as credenciais de MFA ou aprovar solicitações de acesso fraudulentas.
  • Ataques baseados em malware: Keyloggers e trojans de acesso remoto (RATs) podem capturar credenciais de MFA e contornar os controles de autenticação.
  • Troca de SIM: Os invasores sequestram o número de telefone da vítima para interceptar códigos MFA baseados em SMS.
  • Ataques Man-in-the-Middle (MitM): Os adversários interceptam solicitações de autenticação e roubam tokens de sessão.
  • Bombardeio MFA ou bombardeio imediato: Os invasores sobrecarregam os usuários com solicitações de aprovação de MFA até que eles aprovem o acesso sem querer.

Exemplos de vulnerabilidades de segurança de MFA incluem 2022 Uber provoca ataque a bomba e os ataques de engenharia social de 2023 que tiveram como alvo Resorts em Las Vegas. Isso destaca como os agentes de ameaças podem explorar implementações fracas de MFA e outras vulnerabilidades de segurança de MFA. As organizações devem adotar métodos de autenticação resistentes a phishing, como as chaves de acesso baseadas em RSA FIDO2 e a autenticação adaptativa baseada em risco, para combater essas ameaças.

Fortalecimento da AMF com os princípios do Zero Trust

A MFA por si só não é suficiente; as organizações devem integrá-la a uma arquitetura de confiança zero (ZTA) para garantir a verificação contínua da identidade do usuário e da segurança do dispositivo.

O Zero Trust pressupõe que nenhum usuário ou dispositivo é inerentemente confiável, exigindo autenticação contínua e controles de acesso baseados em políticas. A integração da RSA com a estrutura Zero Trust da Microsoft permite que as empresas:

  • Imponha o acesso com o mínimo de privilégio com políticas de MFA adaptáveis baseadas em risco.
  • Aproveite a autenticação resistente a phishing, como as chaves de segurança FIDO2 e as senhas vinculadas a dispositivos.
  • Monitore as solicitações de autenticação em tempo real para detectar anomalias e evitar o comprometimento de credenciais.
Práticas recomendadas para implementar a MFA segura

Para maximizar a segurança e a conformidade, as organizações devem considerar as seguintes práticas recomendadas:
Escolhendo a solução MFA correta

  • Use MFA resistente a phishing, como autenticação baseada em RSA FIDO2 ou senhas vinculadas a dispositivos.
  • Evite a MFA baseada em SMS devido a vulnerabilidades como a troca de SIM.
  • Implementar chaves de segurança de hardware para autenticação de alta garantia.
  • Utilize a autenticação moderna, que foi projetada para ser sem senha, adaptável e sensível a riscos. A autenticação moderna vai além da MFA tradicional, verificando continuamente os usuários durante toda a sessão, não apenas no login. A autenticação moderna elimina as senhas, usa sinais de contexto e risco para fortalecer a segurança e funciona perfeitamente em ambientes de nuvem, híbridos e locais.

Educar os usuários sobre a segurança da MFA

  • Treine os funcionários para reconhecer ataques de engenharia social e phishing direcionados à MFA.
  • Habilite a recuperação de autenticação por autoatendimento para reduzir a carga de suporte de TI.
  • Incentive os usuários a informar solicitações suspeitas de MFA.

Monitoramento e auditoria contínuos

  • Implemente a detecção de ameaças à identidade em tempo real para sinalizar comportamentos incomuns de autenticação.
  • Atualize regularmente as políticas de MFA para lidar com a evolução das ameaças à segurança cibernética.
  • Realizar testes de penetração para avaliar a resistência da MFA contra métodos de ataque.

Ao aproveitar o RSA EAM com a Microsoft, as organizações podem obter implementações de MFA perfeitas, compatíveis e altamente seguras, alinhando-se aos princípios de Zero Trust.

A MFA é um pilar fundamental da segurança de identidade moderna, mas deve ser implantada estrategicamente para maximizar a proteção contra ameaças em evolução. Ao compreender os requisitos da MFA, alinhar-se com as estruturas de conformidade, como DORA e NIS2, e integrar a MFA em uma estrutura mais ampla de Zero Trust, as organizações podem aumentar a segurança e reduzir os riscos de autenticação.

Entre em contato com a RSA para saber mais sobre como a RSA fornece uma variedade de soluções de MFA que atendem às regulamentações globais e se integram a uma estratégia mais ampla de segurança de identidade.

Talvez você também se interesse por...

Solicite uma Demonstração

Solicite uma Demonstração