Esta postagem foi publicada pela primeira vez em 2023 e foi atualizada.
Algumas das maiores violações de dados da história recente evitaram a autenticação multifator (MFA). Isso não significa que a MFA seja ineficaz. Significa que os invasores geralmente contornam a MFA visando as lacunas em torno da autenticação, e não o fator em si.
Seja atacando a configuração da MFA, bombardeando usuários ou atacando subcontratados, os agentes de ameaças encontraram maneiras de atacar pontos fracos no ciclo de vida da identidade, exfiltrar dados e revelar por que a MFA deve ser sua primeira linha de defesa, mas não a última.
Essa é a principal lição para as equipes de segurança. A MFA ainda é importante, mas funciona melhor como parte de uma estratégia mais ampla de segurança de identidade.
Os atacantes usam métodos diferentes dependendo do ambiente, mas vários padrões aparecem repetidamente.
Fadiga do MFA e bombardeio imediato
Uma tática comum é Fadiga do MFA, também chamado de prompt bombing. Os atacantes enviam repetidamente solicitações de aprovação até que um usuário aceite uma por engano ou por frustração. Essa abordagem funciona melhor quando os usuários estão distraídos, apressados ou não sabem se a solicitação é legítima.
Esse é um dos motivos pelos quais a educação do usuário ainda é importante. As pessoas precisam saber que um prompt inesperado deve ser tratado como um sinal de alerta, não como uma etapa rotineira de login.
Configuração fraca de MFA
A MFA é tão forte quanto a sua implementação. Se os administradores deixarem lacunas na política, no registro, nos métodos de fallback, no tratamento de exceções ou nos requisitos de step-up, os invasores as procurarão. Em muitos casos, o ponto fraco não é o fator em si. É a maneira como o fator foi implantado.
Exposição de terceiros e de contratados
Os invasores também têm como alvo fornecedores, contratados e parceiros com acesso a sistemas internos. Um controle forte ainda pode falhar se uma identidade de terceiros tiver privilégios excessivos, for mal monitorada ou não for governada de forma adequada. O risco de identidade não se limita aos funcionários.
Arquitetura aberta para falhas
Um sistema de “abertura com falha” é aquele que se torna aberto por padrão quando os controles operacionais padrão não funcionam. Esse princípio pode fazer sentido na segurança física, mas ele apresenta sérios riscos quando se trata de proteger o acesso digital.
Se um sistema perder o contato com um serviço de MFA baseado em nuvem e deixar de conceder acesso por padrão, os invasores poderão explorar essa condição para ignorar totalmente a MFA.
Lacunas no ciclo de vida da identidade
A autenticação é apenas uma parte da segurança da identidade. Os agentes de ameaças sabem que a identidade é mais do que o gerenciamento da identidade. Eles procuram pontos fracos no provisionamento, na recuperação, na administração delegada, no acesso de terceiros e na governança de direitos.
A maior lição desses ataques não é o fato de a MFA ter falhado. A lição é que as defesas de identidade precisam ir além da tela de login.
Quando as organizações se concentram apenas no evento de autenticação, elas deixam outras áreas de alto valor expostas. Fluxos de trabalho de recuperação, exceções de políticas, acesso off-line, funções privilegiadas e direitos excessivos podem se tornar caminhos de ataque.
Por exemplo, provisionar o acesso não é suficiente: as organizações devem começar perguntando: o usuário precisa de acesso? Em caso afirmativo, por quanto tempo? Fornecemos a ele acesso em excesso ou apenas o suficiente? Como podemos saber? Essas são questões práticas de segurança que afetam diretamente o risco de violação.
As organizações que desejam reduzir o risco de desvio de MFA precisam de maior visibilidade em todo o ciclo de vida da identidade. Isso significa entender não apenas quem pode fazer login, mas também por que eles têm acesso, o que podem acessar e como essas permissões mudam ao longo do tempo.
A melhor defesa não é um único fator ou um único produto. É uma abordagem em camadas que fecha as brechas nas quais os atacantes confiam.
Fortalecer as opções de autenticação
Nem todos os métodos de autenticação oferecem o mesmo nível de proteção. Com opções como o Face ID da Apple se tornando quase onipresentes para usuários móveis, a biometria é uma forma popular de autenticação sem senha, mas certamente não é a única. As organizações devem avaliar opções mais robustas que possam reduzir a exposição a ataques de phishing e ataques baseados em repetição. Priorize uma variedade de soluções sem senha que possam suportar todos os usuários, em todos os ambientes, sempre.
Reduzir a dependência de suposições do usuário
A MFA baseada em push é conveniente, mas a conveniência pode criar riscos quando se espera que os usuários interpretem solicitações inesperadas no momento. Quanto mais um fluxo de autenticação depende do julgamento do usuário sob pressão, mais vulnerável ele pode se tornar.
É por isso que as organizações devem combinar autenticação mais forte com conscientização de segurança, controles de políticas adaptáveis e monitoramento de padrões de aprovação suspeitos.
Planeje cenários de falha
Essa é uma das conclusões mais claras dessas violações. Há algumas maneiras pelas quais esses ataques poderiam ter sido evitados sem bloquear o acesso dos usuários ao sistema. A primeira é empregar um sistema de autenticação híbrido que pode recorrer a um nó local no local no caso de uma falha na Internet. A segunda é empregar um sistema de autenticação que possa ser validado off-line.
Em ambientes de alta segurança, a resiliência é importante, mas o comportamento de falha também. As equipes de segurança devem saber exatamente o que acontece quando os serviços upstream não estão disponíveis.
Melhorar a visibilidade da identidade
A segurança da identidade exige mais do que a verificação de um fator. Ela também exige uma visão do acesso, dos direitos, das alterações no ciclo de vida e dos sinais de risco entre usuários e sistemas. Sem essa visibilidade, as organizações podem proteger a autenticação e, ao mesmo tempo, deixar os ativos essenciais expostos.
Autenticação sem senha pode ajudar a reduzir o risco de desvio da MFA, afastando as organizações de credenciais passíveis de phishing e fluxos de login frágeis.
Seja por meio de biometria, FIDO2, Com o uso de códigos QR, BLE, NFC ou outros fatores de forma sem senha, as organizações devem usar soluções que possam suportar uma variedade de ambientes, aplicativos e grupos de usuários mistos.
A ausência de senha não é apenas uma questão de conveniência. Ela também pode reduzir a dependência de senhas, que continuam sendo um dos pontos de entrada mais comumente explorados em ataques à identidade.
Os autenticadores OTP e FIDO têm suas vantagens exclusivas. Alguns são mais adequados à autenticação moderna baseada em navegador, enquanto outros oferecem uma cobertura mais ampla em ambientes legados e híbridos. No entanto, ao comparar OTP e FIDO, a melhor resposta geralmente é “E”. Muitas organizações precisam tanto de flexibilidade quanto de uma garantia mais forte.
O MFA deve ser sua primeira linha de defesa, mas não a última. Para reduzir o risco de desvio da MFA, as organizações precisam de opções de autenticação mais fortes, arquitetura resiliente e melhor visibilidade em todo o ciclo de vida da identidade.
Com o RSA ID Plus, as organizações podem oferecer suporte à autenticação híbrida e sem senha, fortalecer a proteção de ambientes modernos e legados e criar uma estratégia de segurança de identidade mais resiliente. Saiba como o RSA ID Plus pode ajudar na defesa contra as brechas que os atacantes visam quando a MFA é isolada.
A MFA é um controle de segurança essencial que funciona melhor quando é implantada como parte de uma estratégia mais ampla de segurança de identidade. Em nosso webinar, exploramos várias das maneiras comuns pelas quais os invasores contornam a MFA, incluindo bombardeio imediato, configuração fraca, exposição de terceiros e lacunas em todo o ciclo de vida da identidade, Anatomia do ataque: A ascensão e queda da MFA, que gerou perguntas de acompanhamento bem pensadas dos participantes. As perguntas frequentes abaixo abordam algumas das questões mais importantes que surgiram dessa conversa.
P: Você concorda com a Microsoft que o PIN do Windows Hello é mais seguro do que uma senha para obter acesso à sua estação de trabalho?
R: Essa é uma questão fascinante que será debatida por muitos anos. Tanto as senhas quanto os PINs se enquadram na categoria de autenticação "algo que você sabe" e, portanto, são suscetíveis a ataques de phishing. Em comparação com as senhas, os PINs geralmente são mais curtos e usam um conjunto restrito de caracteres. Portanto, de uma perspectiva entrópica, os PINs são mais fraco do que as senhas, ou seja, quanto maior o número de opções possíveis, mais difícil será a força bruta de uma senha ou PIN.
Mas isso é apenas uma parte da história. Ao contrário das senhas, os PINs (ou pelo menos os PINs definidos pelo NIST SP800-63) são validado localmente. Isso significa que eles nunca são transmitidos ou armazenados em um repositório centralizado. Isso torna muito menos provável que os PINs sejam interceptados ou roubados em um ataque de arrombamento.
Como costuma acontecer, o ambiente, a configuração e a educação do usuário tendem a ter um impacto maior sobre a postura geral de segurança cibernética do que os protocolos ou as tecnologias.
P: Você pode fornecer um pouco mais de detalhes sobre as opções de autenticação off-line para evitar o problema de falha de abertura. Exemplos de arquitetura ou ofertas de produtos?
R: Um sistema de "abertura com falha" é aquele que abre por padrão quando os controles operacionais padrão não funcionam. Embora esse seja um princípio de segurança importante na segurança física (por exemplo, em caso de incêndio, todas as portas externas devem ser destrancadas imediatamente), ele não é tão bom quando se trata de proteger o acesso aos seus ativos essenciais.
No caso de uso da ONG, os invasores obtiveram acesso ao ativo impedindo que o sistema local se comunicasse com o provedor de MFA baseado em nuvem, contornando efetivamente o controle de MFA. Isso foi possível porque a solução de identidade em vigor tinha como padrão um "falha de abertura" postura de segurança).
Há algumas maneiras de evitar isso sem bloquear os usuários do sistema. A primeira é empregar um sistema de autenticação híbrido que possa recorrer a um nó local (no local) no caso de uma falha na Internet. A segunda é empregar um sistema de autenticação que possa ser validado off-line. O RSA ID Plus oferece suporte a ambas as opções.
P: Qual é o melhor IDP (provedor de identidade) em seu ponto de vista?
R: Se eu responder algo diferente de 'RSA ID Plus', tenho quase certeza de que perderei meu emprego.
Mas, falando sério, há vários aspectos que eu procuraria. Primeiro, o fornecedor tem um histórico comprovado? Em segundo lugar, a identidade é o núcleo de seus negócios ou apenas uma das muitas coisas que eles fazem? Terceiro, o fornecedor prioriza a conveniência em relação à segurança ao tomar decisões de design? Em quarto lugar, a solução oferece a flexibilidade necessária para dar suporte a um amplo conjunto de usuários e casos de uso, incluindo aqueles aplicativos legados e peludos nas entranhas do seu data center? E, por fim, quando as coisas dão errado (e elas darão), o fornecedor assume com total transparência ou ofusca e transfere a culpa?
A segurança não é fácil e os agentes de ameaças identidade do alvo mais do que qualquer outra parte da superfície de ataque. As organizações precisam de IDPs que entendam isso.
P: Qual é o nível de confiabilidade das soluções atuais de ZTNA oferecidas pelos fornecedores de segurança?
R: O Zero Trust Network Access (ZTNA) é um conceito baseado no princípio de que a confiança nunca deve ser assumido com base apenas na conexão de um usuário com a intranet local - os usuários devem ser continuamente autenticados, devem ter permissão para acessar um recurso específico e também devem ter um motivo válido para fazê-lo.
Embora existam muitos produtos "Zero Trust" no mercado atualmente, é importante observar que a ZTNA é uma estrutura conceitual e um conjunto de práticas recomendadas. Como A maneira como você emprega a tecnologia, define suas políticas e gerencia seu ecossistema determinará sua postura em relação à ZTNA. A tecnologia certamente pode ajudar, mas se algum fornecedor lhe disser que o produto dele o deixará em conformidade com a ZTNA, procure outro.
Se você quiser saber mais sobre a Confiança Zero, recomendo começar com os sete princípios da Confiança Zero definidos no NIST SP800-207.
P: O sistema sem senha se baseia inteiramente em biometria? Que outros métodos podem ser usados, como a IA está sendo usada na autenticação?
R: Com opções como o Face ID da Apple se tornando quase onipresentes para usuários móveis, a biometria é definitivamente uma forma popular de autenticação sem senha, mas certamente não é a única. O FIDO2 é uma opção cada vez mais comum para casos de uso de consumidores e empresas. Métodos sem contato, como código QR, BLE e NFC, também estão em uso, embora em menor escala. Cada vez mais, os princípios de IA, como regras inteligentes, aprendizado de máquina e análise comportamental, estão sendo usados para aumentar ainda mais a confiança na identidade como fatores invisíveis de autenticação que introduzem pouco ou nenhum atrito com o usuário final. O RSA ID Plus oferece suporte a todas essas opções atualmente.
P: Qual é o futuro do Gerenciamento de Identidade e Acesso?
R: Acho que todos esses três ataques demonstram que o “Gerenciamento de Identidade e Acesso” é, se não um termo ultrapassado, talvez um termo insuficiente.
Esses ataques ressaltam que precisamos proteger as identidades, não apenas gerenciá-las. Por exemplo, provisionar o acesso não é suficiente: devemos começar perguntando "o usuário precisa de acesso?". Em caso afirmativo, por quanto tempo? Fornecemos a ele acesso demais ou apenas o suficiente? Como podemos saber? Em muitos casos, acho que os administradores não saberiam de uma forma ou de outra, nem mesmo como descobrir.
Os agentes de ameaças sabem que a identidade é mais do que gerenciar a identidade. Os ataques que analisei demonstram como os criminosos cibernéticos atacam as lacunas que o IAM não considera. Acredito que o entendimento das organizações sobre a identidade precisa ser expandido para levar em conta e proteger todo o ciclo de vida da identidade.
Em um nível mais técnico, acho que a IA terá um grande papel a desempenhar no processamento das enormes quantidades de dados de autenticação, titularidade e uso. Ter uma plataforma inteligente que possa avaliar dados refinados rapidamente e em escala pode ser um recurso real para manter as organizações seguras.
P: Como você compara o SecurID com o YubiKey?
R: O SecurID e o YubiKey são autenticadores líderes de classe em suas respectivas categorias. E a boa notícia é que o RSA ID Plus suporta ambos (entre muitas outras opções de autenticação).
Deixando de lado as especificidades do fornecedor, os autenticadores OTP e FIDO têm seus benefícios exclusivos. Embora a FIDO esteja crescendo em popularidade como uma opção segura e conveniente para logins baseados na Web, as opções de FIDO baseadas em software ainda têm versatilidade limitada, os dispositivos de hardware geralmente exigem uma conexão física e o suporte real para FIDO além do navegador da Web é quase inexistente. Enquanto isso, o OTP tem a vantagem de funcionar em praticamente qualquer lugar, seja no hardware ou no software, sem a necessidade de qualquer software cliente especializado ou conexão física.
No entanto, ao comparar o OTP e o FIDO, a melhor resposta geralmente é um ‘E’. Dispositivos híbridos como o RSA DS100 combinam o melhor dos dois mundos, oferecendo OTP e FIDO2 em um único fator de forma para proporcionar o máximo de flexibilidade e amplitude de suporte. A RSA também oferece suporte ao iShield Key 2 séries, que oferece autenticação com base em hardware validada de acordo com os mais altos padrões de segurança. Com a certificação FIPS 140-3 e FIDO2, ele se alinha a estruturas como FedRAMP, NIST, DORA, NIS2, HIPAA e PCI DSS.
