0
0
Lembra quando a autenticação multifator (MFA) deu aos profissionais de segurança aquela sensação agradável e calorosa de que seus dados e usuários estavam protegidos? Esses dias acabaram. Abordagens tradicionais para MFA não funcionam mais, pois os invasores desenvolveram soluções alternativas eficazes para arrombar essa porta. Como prova, considere as violações que ganharam as manchetes do ano passado na Okta , Uber e Cisco , apenas para citar algumas. Uma abordagem melhor é necessária com urgência – e começa com as especificações de autenticação do usuário FIDO2.
Fraquezas do MFA
Por que precisamos de uma nova abordagem para autenticação? Ignorar as técnicas de MFA existentes para obter credenciais de funcionários ou assumir contas de funcionários tornou-se uma brincadeira de criança para os invasores. Tem até vídeos no YouTube explicando como fazer. As técnicas variam de phishing simples a push bombing – em que os invasores enviam notificações push até que o funcionário aceite uma – a explorações mais complexas do protocolo de comunicação SS7 para obter códigos MFA por texto.
Por exemplo, considere a técnica MFA comum de usar uma notificação por push como o segundo fator.
Uma abordagem comum que os invasores usam é criar uma página de login falsa da empresa e, em seguida, enviar e-mails de phishing para direcionar os funcionários a essa página. Quando um funcionário insere seu nome de usuário e senha na página falsa, o invasor simplesmente pega as credenciais e as insere na página de login real. Quando o funcionário recebe a solicitação de MFA (a notificação por push), é provável que ele a trate como genuína e clique em “Sim”. Com essa abordagem simples, o invasor agora comprometeu a conta do funcionário e tem uma cabeça de ponte na rede da empresa que pode permitir que eles se movam lateralmente e instalem malware ou ransomware.
As pessoas como ponto de falha
Nem todas as vulnerabilidades são técnicas. A engenharia social está se tornando mais sofisticada, com invasores usando mensagens de texto e chamadas de voz direcionadas a funcionários específicos para adicionar credibilidade e urgência a esse e-mail de phishing. Os invasores se apresentam como técnicos de TI ou outras autoridades confiáveis para criar essa confiança com o funcionário visado. Essas técnicas podem ser muito eficazes, pois os usuários infelizes farão o que for solicitado, assumindo que estão falando com uma pessoa confiável de sua própria organização.
Digite o padrão FIDO2
Então, o que é FIDO2 e como ele pode ajudar a lidar com essas vulnerabilidades de MFA? Desenvolvido pela Fast Identity Online (FIDO) Alliance, o FIDO2 é um método de autenticação que contém dois componentes: WebAuthn (W3C) e CTAP (FIDO Alliance), que juntos eliminam as lacunas de segurança nos serviços MFA padrão.
Com o FIDO2, o site que solicita a autenticação constrói o desafio de autenticação, criptografa-o com a chave pública do autenticador registrado e o envia ao usuário por meio do agente do usuário (navegador) que originalmente solicitou o acesso. O navegador adiciona algum contexto e encaminha para o autenticador anexado. O autenticador descriptografa o desafio com sua chave privada e o compara com seus próprios registros de registro e o contexto fornecido pelo navegador. Pela natureza desse processo, os invasores que usam credenciais roubadas são bloqueados (eles recebem o desafio, mas não podem fazer nada, pois não possuem o autenticador). Os invasores que são ativamente man-in-the-middle também são detectados e bloqueados (eles podem repetir o tráfego bidirecional, mas não podem construir um desafio que seria aceito pelo autenticador). Esse método torna praticamente impossível comprometer o MFA. Os principais recursos do FIDO2 são:
- As credenciais de autenticação são baseadas em pares de chaves públicas/privadas.
- Sem segredos compartilhados — a chave privada é gerada pelo autenticador FIDO2, é armazenada em hardware seguro no autenticador e não pode ser exportada ou adulterada. Apenas a chave pública é enviada para o lado do servidor (site) ao se registrar.
- Os desafios de autenticação são entregues ao agente do usuário (o navegador), que adiciona contexto sobre o desafio e o entrega ao autenticador FIDO2 anexado, que permite a detecção de um man-in-the-middle.
- Autenticadores de plataforma (vinculados à plataforma e utilizáveis apenas naquele dispositivo) e autenticadores de roaming (que podem ser usados em qualquer dispositivo).
Por que nem todos estão usando o FIDO2 MFA?
Os profissionais de segurança reconhecem o valor que o MFA baseado em FIDO2 oferece. No entanto, como as empresas precisam comprar, distribuir e gerenciar chaves físicas de segurança FIDO2, o custo adicional e a complexidade retardaram a adoção. Além disso, os usuários realmente não gostam de usar uma chave de segurança física – é mais uma peça de hardware que eles precisam carregar. Devido a esses fatores, muitas empresas implantarão o FIDO2 para funcionários de alto risco, mas usarão MFA padrão para outros funcionários.
Proteção à prova de phishing
Os métodos de autenticação baseados em FIDO2 são a coisa mais próxima que existe de uma solução “à prova de phishing”, e a comunidade de segurança tomou nota. A Agência de Segurança Cibernética e de Infraestrutura (CISA) recentemente chamou o FIDO de “o padrão ouro” para autenticação , instando os líderes corporativos a torná-lo parte de sua estratégia de MFA. As agências federais dos EUA também estão migrando para o FIDO2 para lidar com as vulnerabilidades das técnicas de MFA existentes .
À medida que se torna mais amplamente reconhecido, espere ver o FIDO2 como um padrão recomendado ou mesmo obrigatório para interações/transações online em que dados críticos devem ser protegidos. Atualmente, a maioria dos subscritores de seguros cibernéticos exige a implementação do MFA para se qualificar para a cobertura. Não é exagero imaginar esse requisito se expandindo para incluir o FIDO2.
Hora de melhorar seu jogo
Para qualquer organização preocupada com o cibercrime — e o risco econômico e reputacional que ele representa — a adoção proativa da autenticação FIDO2 parece uma jogada de negócios inteligente. Para organizações que dependem de fornecedores ou parceiros para suas interações online com funcionários e/ou clientes, agora é um bom momento para descobrir se adotaram o FIDO2.
À medida que os cibercriminosos continuam a melhorar seu jogo, as organizações devem fazer o mesmo. Não espere até que um invasor encontre sua fraqueza. Agora é a hora de dar uma olhada crítica em seus protocolos de autenticação e ver como o FIDO2 pode resolver as deficiências de MFA e fechar essa porta.
FONTE: DARK READING