Algumas das maiores violações de dados da história recente evitaram a autenticação multifator (MFA). Seja atacando a configuração da MFA, bombardeando usuários ou atacando subcontratados, o LAPSUS$ e agentes patrocinados pelo Estado encontraram maneiras de atacar pontos fracos no ciclo de vida da identidade, exfiltrar dados e revelar por que a MFA deve ser sua primeira linha de defesa - mas não a última.
Falei sobre cada um desses ataques em um webinar recente que você pode assistir sob demanda. Ao detalhar a anatomia dos ataques, tentei explicar os métodos e as explorações que os agentes de ameaças usaram.
Essas explicações levantaram tantas perguntas quanto as respostas. Os participantes fizeram ótimas perguntas sobre os pontos fortes relativos de diferentes fatores de autenticação, confiança zero, sem senha e muito mais. Aqui estão algumas das perguntas que não pudemos responder durante a chamada e as respostas que eu teria compartilhado se não tivéssemos ficado sem tempo:
R: Essa é uma questão fascinante que será debatida por muitos anos. Tanto as senhas quanto os PINs se enquadram na categoria de autenticação "algo que você sabe" e, portanto, são suscetíveis a ataques de phishing. Em comparação com as senhas, os PINs geralmente são mais curtos e usam um conjunto restrito de caracteres. Portanto, de uma perspectiva entrópica, os PINs são mais fraco do que as senhas, ou seja, quanto maior o número de opções possíveis, mais difícil será a força bruta de uma senha ou PIN.
Mas isso é apenas uma parte da história. Ao contrário das senhas, os PINs (ou pelo menos os PINs definidos pelo NIST SP800-63) são validado localmente. Isso significa que eles nunca são transmitidos ou armazenados em um repositório centralizado. Isso torna muito menos provável que os PINs sejam interceptados ou roubados em um ataque de arrombamento.
Como costuma acontecer, o ambiente, a configuração e a educação do usuário tendem a ter um impacto maior sobre a postura geral de segurança cibernética do que os protocolos ou as tecnologias.
R: Um sistema de "abertura com falha" é aquele que abre por padrão quando os controles operacionais padrão não funcionam. Embora esse seja um princípio de segurança importante na segurança física (por exemplo, em caso de incêndio, todas as portas externas devem ser destrancadas imediatamente), ele não é tão bom quando se trata de proteger o acesso aos seus ativos essenciais.
No caso de uso da ONG, os invasores obtiveram acesso ao ativo impedindo que o sistema local se comunicasse com o provedor de MFA baseado em nuvem, contornando efetivamente o controle de MFA. Isso foi possível porque a solução de identidade em vigor tinha como padrão um "falha de abertura" postura de segurança).
Há algumas maneiras de evitar isso sem bloquear os usuários do sistema. A primeira é empregar um sistema de autenticação híbrido que possa recorrer a um nó local (no local) no caso de uma falha na Internet. A segunda é empregar um sistema de autenticação que possa ser validado off-line. O RSA ID Plus oferece suporte a ambas as opções.
R: Se eu responder algo diferente de 'RSA ID Plus', tenho quase certeza de que perderei meu emprego.
Mas, falando sério, há vários aspectos que eu procuraria. Primeiro, o fornecedor tem um histórico comprovado? Em segundo lugar, a identidade é o núcleo de seus negócios ou apenas uma das muitas coisas que eles fazem? Terceiro, o fornecedor prioriza a conveniência em relação à segurança ao tomar decisões de design? Em quarto lugar, a solução oferece a flexibilidade necessária para dar suporte a um amplo conjunto de usuários e casos de uso, incluindo aqueles aplicativos legados e peludos nas entranhas do seu data center? E, por fim, quando as coisas dão errado (e elas darão), o fornecedor assume com total transparência ou ofusca e transfere a culpa?
A segurança não é fácil e os agentes de ameaças identidade do alvo mais do que qualquer outra parte da superfície de ataque. As organizações precisam de IDPs que entendam isso.
R: O Zero Trust Network Access (ZTNA) é um conceito baseado no princípio de que a confiança nunca deve ser assumido com base apenas na conexão de um usuário com a intranet local - os usuários devem ser continuamente autenticados, devem ter permissão para acessar um recurso específico e também devem ter um motivo válido para fazê-lo.
Embora existam muitos produtos "Zero Trust" no mercado atualmente, é importante observar que a ZTNA é uma estrutura conceitual e um conjunto de práticas recomendadas. Como A maneira como você emprega a tecnologia, define suas políticas e gerencia seu ecossistema determinará sua postura em relação à ZTNA. A tecnologia certamente pode ajudar, mas se algum fornecedor lhe disser que o produto dele o deixará em conformidade com a ZTNA, procure outro.
Se você quiser saber mais sobre a Confiança Zero, recomendo começar com os sete princípios da Confiança Zero definidos no NIST SP800-207.
R: Com opções como o Face ID da Apple se tornando quase onipresentes para usuários móveis, a biometria é definitivamente uma forma popular de autenticação sem senha, mas certamente não é a única. O FIDO2 é uma opção cada vez mais comum para casos de uso de consumidores e empresas. Métodos sem contato, como código QR, BLE e NFC, também estão em uso, embora em menor escala. Cada vez mais, os princípios de IA, como regras inteligentes, aprendizado de máquina e análise comportamental, estão sendo usados para aumentar ainda mais a confiança na identidade como fatores invisíveis de autenticação que introduzem pouco ou nenhum atrito com o usuário final. O RSA ID Plus oferece suporte a todas essas opções atualmente.
R: Acho que todos esses três ataques demonstram que o "Gerenciamento de Identidade e Acesso" é, se não um termo ultrapassado, talvez um termo insuficiente.
Esses ataques ressaltam que precisamos proteger as identidades, não apenas gerenciá-las. Por exemplo, provisionar o acesso não é suficiente: devemos começar perguntando "o usuário precisa de acesso?". Em caso afirmativo, por quanto tempo? Fornecemos a ele acesso demais ou apenas o suficiente? Como podemos saber? Em muitos casos, acho que os administradores não saberiam de uma forma ou de outra, nem mesmo como descobrir.
Os agentes de ameaças sabem que a identidade é mais do que gerenciar a identidade. Os ataques que analisei demonstram como os criminosos cibernéticos atacam as lacunas que o IAM não considera. Acredito que o entendimento das organizações sobre a identidade precisa ser expandido para levar em conta e proteger todo o ciclo de vida da identidade.
Em um nível mais técnico, acho que a IA terá um grande papel a desempenhar no processamento das enormes quantidades de dados de autenticação, titularidade e uso. Ter uma plataforma inteligente que possa avaliar dados refinados rapidamente e em escala pode ser um recurso real para manter as organizações seguras.
R: O SecurID e o YubiKey são autenticadores líderes de classe em suas respectivas categorias. E a boa notícia é que o RSA ID Plus suporta ambos (entre muitas outras opções de autenticação).
Deixando de lado as especificidades do fornecedor, os autenticadores OTP e FIDO têm seus benefícios exclusivos. Embora a FIDO esteja crescendo em popularidade como uma opção segura e conveniente para logins baseados na Web, as opções de FIDO baseadas em software ainda têm versatilidade limitada, os dispositivos de hardware geralmente exigem uma conexão física e o suporte real para FIDO além do navegador da Web é quase inexistente. Enquanto isso, o OTP tem a vantagem de funcionar em praticamente qualquer lugar, seja no hardware ou no software, sem a necessidade de qualquer software cliente especializado ou conexão física.
Ao comparar OTP e FIDO, no entanto, a melhor resposta é geralmente um "E". Dispositivos híbridos como o autenticador RSA DS100 combinam o melhor dos dois mundos, oferecendo OTP e FIDO2 em um único fator de forma para proporcionar o máximo de flexibilidade e amplitude de suporte.
