Mese della sensibilizzazione sulla sicurezza informatica: MFA è più importante che mai

Ottobre è il Mese della Sensibilizzazione sulla Sicurezza Informatica (CAM), un'iniziativa globale dedicata a sensibilizzare sulla sicurezza online. CAM è un promemoria annuale che la sicurezza informatica si basa su quattro pratiche fondamentali che ogni organizzazione deve seguire per rimanere protetta.

Di queste pratiche fondamentali, l'abilitazione dell'autenticazione multifattoriale (MFA) è uno dei modi più efficaci per proteggere i tuoi account e i tuoi dati. La National Cybersecurity Alliance riporta che l'abilitazione della MFA può prevenire il 99% degli attacchi di hacking automatizzati. Tuttavia, la MFA non è infallibile, quindi diamo un'occhiata più da vicino a cos'è, come funziona e come possiamo sfruttare al meglio questa pratica.

Che cos'è MFA e come è nato?

MFA è un processo di sicurezza che richiede agli utenti di verificare la propria identità utilizzando due o più fattori indipendenti. Questi fattori rientrano in diverse categorie:

• Conoscenza: Qualcosa che sai (password, PIN, domanda di sicurezza)
• Possesso: Qualcosa che possiedi (smartphone, token hardware, smart card, password monouso)
• Inherence: Qualcosa che sei (impronta digitale, riconoscimento facciale, riconoscimento vocale)
• Posizione e comportamento: Da qualche parte sei (posizione, indirizzo IP, geofencing; utilizzato nell'MFA adattivo)

Non abbiamo un'origine precisa per MFA, ma l'idea esiste da decenni. I Bancomat (ATM) sono comunemente citati come il primo utilizzo mainstream di MFA perché richiedevano il possesso di un assegno o una carta fisica e la conoscenza del PIN. Dovevi avere entrambi per accedere al conto associato.

Questa pratica di sicurezza non è diventata conosciuta come MFA fino a molto tempo dopo, quando gli organismi di regolamentazione e normativi hanno iniziato a includerla come controllo. Con l'aumento dei servizi online e delle minacce informatiche, MFA è cresciuta come strumento di sicurezza informatica ed è stata ampliata per includere app mobili, biometria e controlli adattivi basati sul rischio (contestuali) utilizzati in ambienti zero trust.

MFA e l'autenticazione a due fattori (2FA) sono talvolta utilizzati in modo intercambiabile, ma sono due pratiche diverse. 2FA richiede esattamente due fattori da categorie separate, ed è ciò che molte applicazioni consumer utilizzano per proteggere gli accessi dei clienti. MFA può combinare due o più tipi di credenziali, come una password, un dispositivo mobile o un controllo biometrico. L'implementazione di più di due fattori o controlli contestuali è molto più sicura di 2FA.

Come gli attaccanti bypassano 2FA / MFA

Gli attaccanti stanno migliorando nel bypassare la sicurezza MFA. Ecco alcuni dei modi in cui hanno aggirato la seconda autenticazione:  

• Kit di phishing come Whisper 2FA che possono intercettare codici monouso.
• Attacchi Adversary-in-the-middle (AiTM) o proxy che possono trasmettere credenziali e codici MFA agli attaccanti in tempo reale. Questi attacchi intercettano il traffico e manipolano l'autenticazione.
• La stanchezza da MFA/push bombing è un attacco che inonda gli utenti con richieste di accesso/MFA ripetute. Questa tattica funziona quando le persone approvano l'accesso solo per far cessare gli avvisi.
• Gli attacchi SIM swap comportano attaccanti che dirottano numeri di telefono per intercettare codici di autorizzazione. Ecco un esempio di attacco SIM swap contro la US Security and Exchange Commission.
• Truffe del supporto tecnico/di ingegneria sociale, in cui attori delle minacce impersonano utenti per ingannare il personale IT e ottenere l'accesso a un account.

Puoi difenderti da questi attacchi MFA resistente al phishing (chiavi hardware, autenticatori basati su app), educare gli utenti sulla fatica da push e sul phishing, e rafforzare le procedure di supporto tecnico e di recupero degli account.

Distribuzione e gestione dell'MFA

Un'implementazione MFA di successo inizia con la strategia e il training per l'utente. Educare gli utenti sugli attacchi alle credenziali e sul motivo per cui MFA è una difesa così importante. Come qualsiasi progetto IT, il supporto degli stakeholder renderà l'implementazione molto più fluida. Lavorare con gli stakeholder aiuterà anche a determinare i livelli di rischio e i requisiti MFA per utenti e gruppi.

Quando sei pronto per il deployment, inizia con gli account privilegiati. Proteggi gli account amministrativi ed esecutivi prima di estendere la protezione al resto degli utenti. Assicurati di coprire tutto: VPN, e-mail, accesso remoto, applicazioni SaaS e cloud, ecc. Se appropriato, utilizza un'autenticazione più forte per gli account a rischio più elevato.

Se possibile, implementa single sign-on (SSO), MFA adattiva e autenticazione basata su push per rendere l'autenticazione sicura facile per gli utenti. E non dimenticare di stabilire una politica di recupero sicura e opzioni di backup, formazione continua degli utenti e offboarding per i dipendenti in partenza.

Oltre MFA: Accesso Zero Trust

Sebbene MFA sia un livello di difesa critico, l'accesso zero trust va oltre. Zero trust presume che nessun utente o dispositivo sia intrinsecamente attendibile, anche all'interno della rete. Le moderne piattaforme zero-trust, come Barracuda SecureEdge Zero Trust Access, combinano MFA con controlli di accesso avanzati per bloccare l'accesso non autorizzato, anche se gli attaccanti dispongono di credenziali valide o token di sessione.

La sicurezza informatica è una responsabilità condivisa. Abilitare l'MFA è uno dei passi più semplici ed efficaci che puoi intraprendere per proteggere te stesso e la tua organizzazione. Man mano che i kit di phishing e gli attacchi adversary-in-the-middle diventano più sofisticati, è essenziale utilizzare un MFA forte e resistente al phishing e considerare di passare a un accesso zero trust per una protezione ancora maggiore.