Os benefícios de segurança da autenticação multifator (MFA) são bem conhecidos, mas a MFA continua a ser ineficaz, esporádica e implementada de forma inconsistente, preocupando os gestores de segurança empresarial e os seus utilizadores. Em geral, os utilizadores de MFA estão sobrecarregados com fluxos de trabalho com funcionalidades adicionais, o que é um dos muitos obstáculos ao seu sucesso contínuo.
E notícias regulares detalhando novas maneiras de contornar a MFA não ajudam, como as notícias recentes de um ataque de phishing por um grupo patrocinado pelo estado norte-coreano visando instalações do Microsoft 365 para pequenas empresas. Em 2022, vimos a Okta ser atingida por uma série de ataques que roubaram seu código-fonte do GitHub para infectar sua cadeia de suprimentos, roubar informações do usuário em dois ataques separados e comprometer seu portal de suporte. Ser um corretor de autenticação e fornecer uma transparência nada estelar sobre o que aconteceu em cada um desses eventos mostra como é difícil usar o MFA corretamente.
Mas nem tudo é tristeza e desgraça. Os métodos MFA tornaram-se mais fáceis de usar devido à crescente popularidade e sofisticação dos métodos sem senha. A diáspora pós-pandemia – e a Ordem Executiva de 2021 do presidente dos EUA, Biden, para melhorar a segurança cibernética nacional e os mandatos de MFA em 2021 do Google para todos os seus funcionários, e recentemente o login Azure da Microsoft – ajudam a promover as operações de TI para fortalecer sua força de trabalho. prática de autenticação e promover autenticação completa e contínua entre aplicativos. De acordo com algumas pesquisas, dois terços dos usuários regulares usam métodos MFA regularmente, e o número de administradores que protegem seus logins aumentou para 90%.
Em 2023 KnowBe4 uma pesquisa realizada com 2.600 profissionais de TI revela diferenças significativas nas práticas de segurança entre grandes organizações e organizações de pequeno e médio porte. Embora apenas 38% das grandes organizações não considerem a utilização de MFA para proteger as suas contas de utilizador, 62% das organizações de pequena e média dimensão não utilizam qualquer MFA.
Métodos notáveis de ameaça de MFA
Antes de discutirmos as técnicas de hacking mais comuns, vamos primeiro falar sobre as falhas recentes mais notáveis do MFA. Eles geralmente se enquadram em uma das três categorias gerais de ameaças:
- Fadiga do MFA ou bombardeio envolve o envio de múltiplas solicitações de autorização, geralmente via mensagens push SMS, até que o usuário aceite a solicitação e conceda acesso ao invasor, como aconteceu com o Uber em 2022. Ironicamente, quanto mais uma organização utiliza o MFA, maior a probabilidade de um ataque de fadiga do MFA ser bem-sucedido. Jennifer Golden, do Duo da Cisco, escreveu em uma postagem no blog de 2022 que “chegamos a um ponto com o MFA em que os adversários estão motivados a trabalhar para esse controle”.
- Os invasores também usam uma combinação de engenharia social e ataques de phishing interrompendo o fluxo de trabalho geral e enganando os usuários para que desistam de seus tokens MFA. Mudanças no comportamento do usuário, como o uso remoto pós-pandemia e eventos como as Olimpíadas, são frequentemente exploradas por malfeitores. Arctic Wolf escreveu em um blog recente: “O uso de engenharia social e ataques de fadiga de MFA pode ser eficaz contra atores de ameaças, pois cria uma falsa sensação de confiança”.
- Segmente usuários não-MFA e aplicativos com senhas fracas é outra forma comum de ameaça. Embora a detecção de MFA tenha melhorado, ainda está longe de ser universal, e os invasores dependem de encontrar esses locais e usuários vulneráveis para direcionar seus esforços de acordo. Por exemplo, há alguns anos, os agentes de ameaças do ransomware Akira invadiam organizações que usavam VPNs Cisco que não estavam configuradas para MFA, onde podiam usar força bruta para obter informações do usuário. Voltando ao ataque ao pipeline do coronel de 2021, os analistas descobriram que ele foi causado pelo comprometimento da senha usada em uma VPN legada que não usava nenhum MFA. E talvez a aplicação mais duradoura no departamento de senhas ruins seja um recurso encontrado no switch de rede da Cisco que continua a ser explorado, apesar dos avisos da empresa desde esta postagem do blog de 2017.
Métodos comuns de ataque MFA
Embora não haja cura para a fraqueza do MFA, geralmente existem três estágios de ataques de MFA.
- Segurança móvel deficiente. Os telefones celulares são uma porta de entrada importante para redes corporativas e os invasores usam vários métodos, como a troca de SIM. É aqui que um invasor pode convencer um funcionário do atendimento ao cliente de uma operadora de telecomunicações de que ele é o legítimo proprietário do telefone e, em seguida, usar SMS para acessar mensagens de verificação. Existem outros métodos, como atacar as redes das próprias operadoras de telefonia móvel.
- Fluxo de trabalho de autenticação MFA interrompido. O fluxo de trabalho moderno médio é complexo: os usuários podem acessar um aplicativo por meio de um portal da web, um aplicativo de smartphone ou por meio de uma interface de aplicativo. Eles podem se conectar através de diferentes endpoints, através de uma rede local ou VPN, usando diferentes sistemas operacionais. Isso significa que os testes de MFA devem levar em conta esse conjunto de condições, e o potencial para problemas na cadeia de suprimentos e ataques man-in-the-middle ou man-in-the-browser para adulterar códigos de MFA é alto.
- Os ataques de cookies são vulneráveis, como cookies pass-the-cookie e cookies roubados. Isso acontece porque muitos sites não implementam limites de tempo de inatividade de sessão, dando assim aos invasores a capacidade de contornar a MFA usando esses cookies roubados. KnowBe4 tem uma extensa apresentação de slides com mais detalhes.
Estratégias para impedir ataques de MFA
Tendo em conta todas estas explorações, a MFA exige cuidado amoroso e atenção aos detalhes para fornecer activos de segurança. É claro que não há desculpa para proporcionar uma experiência de usuário ruim, especialmente dadas as melhores ferramentas disponíveis. Aqui estão algumas sugestões para garantir que sua estratégia de MFA seja bem-sucedida.
Primeiro, entenda os recursos que você deseja proteger contra danos. “Por exemplo, os agentes de ameaças cibernéticas muitas vezes têm como alvo sistemas de e-mail, servidores de arquivos e sistemas de acesso remoto para obter acesso a dados organizacionais, bem como tentam comprometer servidores de identidade como o Active Directory, o que lhes permitiria criar novas contas ou gerenciar conta de usuário”, de acordo com esta ficha informativa da CISA.
A CISA recomenda que você considere sistemas que suportem protocolos FIDO para os primeiros a adotar a proteção MFA. Isso inclui o uso de chaves de hardware para aplicativos mais confidenciais. A FIDO Alliance publicou uma série de white papers sobre como as empresas podem usar melhor esses métodos, e a RSA também se aprofunda no assunto que vale a pena conferir.
Em seguida, toda autenticação deve ser baseada em riscos e aumentar automaticamente os requisitos de segurança com base no que os usuários estão fazendo em um determinado momento. Os métodos antigos de usar um único controle de acesso quando um usuário faz login precisam ser alterados de acordo. Existem vários produtos de autenticação que incluem MFA em seus processos flexíveis de autenticação.
Um complemento a isto deve ser uma avaliação cuidadosa dos direitos de acesso. O pessoal de segurança de TI deve “garantir que os funcionários tenham acesso apenas aos dados limitados necessários para cumprir suas responsabilidades profissionais”, escreveu Security Uncommon em uma postagem no blog. Geralmente, é concedido acesso aos usuários sem auditoria ou restrição desses direitos.
Todos estes pontos devem fazer parte da análise do fluxo de trabalho do MFA, o que não é realmente novo. Gerhard Giese, da Akamai, aponta isso em uma postagem do blog de 2021, quando fala sobre como o MFA nem sempre bloqueia a entrada de dados. Ele diz que os gerentes de TI devem “reexaminar seu fluxo de trabalho de autenticação e telas de login para garantir que um invasor não consiga descobrir credenciais válidas espionando a resposta do servidor web e implementar uma solução de gerenciamento de bot para garantir que você não esteja facilitando as coisas para os bandidos.”
Um aspecto que parece ter sido historicamente esquecido é o processo de redefinição de senha, por isso é um alvo comum para invasores. “É surpreendente quantos sites não têm uma segunda camada de autenticação em seu processo de redefinição de senha 2FA ou oferecem MFA, mas não forçam os usuários a usá-lo”, disse Mitnick Security em um post de abril.
Finalmente, você deve pesquisar e encontrar usuários que provavelmente serão alvos de alto valor. “Cada organização possui um pequeno número de contas de usuário com acesso ou privilégios adicionais, que são muito importantes para os atores de ameaças cibernéticas”, escreveu a CISA em seu relatório. Os exemplos incluem gerentes de TI e sistemas, advogados trabalhistas e gerentes de RH. Considere esses grupos como a primeira fase do lançamento do seu projeto de MFA.
A tecnologia MFA deve fazer parte da infraestrutura crítica de segurança de uma empresa. Os últimos ataques, juntamente com os apelos de especialistas do governo e do sector privado, deverão dar mais impulso à despesa inteligente.
