Fortalecimiento de identidades con MFA resistente a Phish



Durante muchos años, la autenticación multifactor (MFA) ha sido clave para mitigar el riesgo de las contraseñas. Pero a medida que ha aumentado el uso de MFA, los ciberdelincuentes han adaptado sus tácticas de robo de credenciales.

En enero de 2022, la Oficina de Gerencia y Presupuesto (OGP) emitió una nota recomendar que las agencias federales cambien a MFA sin contraseña. Y aunque este memorando solo está dirigido a las agencias federales, el gobierno de los EE. UU. está elevando la línea base de seguridad cibernética. Depende de las organizaciones del sector privado tomar nota.

Una estrategia que ha surgido es confianza cero. Al menos 76% de las organizaciones han comenzado a implementar sus estrategias de confianza cero, con MFA asumiendo un papel destacado. El Instituto Nacional de Estándares y Tecnología recomienda ampliar su estrategia de MFA para incluir la garantía de la identidad del dispositivo. Esto conduce a una mayor confianza en la autenticación que la que pueden proporcionar varios factores de identidad de usuario por sí solos.

Siga leyendo para saber cómo puede fortalecer las políticas de identidad ampliando su estrategia MFA y aprovechando las opciones de seguridad existentes.

Comprender las limitaciones de MFA

Tradicionalmente, las contraseñas seguras eran la estrategia de acceso para reducir los ataques de fuerza bruta. Pero la mayoría de las personas no pueden recordar todas sus contraseñas complejas, por lo que terminan reciclándolas en varias cuentas. La persona promedio reutiliza su contraseña 14 vecesy, a menudo, usan la misma contraseña en las cuentas personales y de la organización. Esto crea un punto ciego en el que las cuentas de la organización pueden verse comprometidas por ataques de phishing en cuentas personales, algo que está completamente fuera de las capacidades de protección de correo electrónico de la organización.

También hemos visto un aumento en los ataques de phishing, secuestro de SMS y secuestro de correo electrónico de intermediario (Male-in-the-middle, MiTM). El phishing MiTM ocurre cuando los adversarios explotan factores secundarios con rutas de autenticación fuera de banda, como notificaciones de aplicaciones, correo electrónico o SMS. El usuario inicia una solicitud de autenticación de contraseña que es interceptada por el adversario, quien luego crea una solicitud de autenticación separada y un indicador de segundo issue fuera de banda que la acompaña. Los usuarios a menudo aprueban estas indicaciones, ya que son indistinguibles de las suyas.

En un ataque de secuestro de SMS, el adversario redirige el destino de la notificación de SMS a su propio dispositivo. Esto les permite iniciar una solicitud de autenticación que se puede aprobar sin el conocimiento del usuario. Del mismo modo, los adversarios pueden usar un buzón de correo electrónico comprometido para aprobar segundos factores basados ​​en correo electrónico. Dado que el correo electrónico también se united states a menudo como una ruta para la recuperación de credenciales a servicios que no son SSO, un buzón de correo comprometido también puede comprometer una larga cadena de servicios dependientes a través de restablecimientos de contraseña de terceros.

Otro posible punto ciego son los ataques de phishing que utilizan concesiones de consentimiento ilícitas, ya que pueden ser más difíciles de detectar que los ataques de phishing tradicionales. En un ataque de concesión de consentimiento ilícito, el adversario engaña a los usuarios finales para que otorguen a una aplicación maliciosa el consentimiento para acceder a sus datos en su nombre, generalmente a través de un correo electrónico con un enlace. Esto es un desafío porque el destino del enlace en sí no es malicioso, solo la aplicación. Una vez que la aplicación maliciosa ha recibido el consentimiento, utiliza el acceso a nivel de aplicación a los datos sin requerir la credencial del usuario.

Desafortunadamente, los pasos típicos de mitigación, como requerir MFA o restablecer contraseñas para cuentas de usuario violadas, no son efectivos contra este tipo de ataques. Debido a que los ataques tienen lugar aguas abajo de la autenticación mediante aplicaciones de terceros externas a la organización, los adversarios pueden crear sus propias rutas de acceso persistentes externas. Entonces, ¿cómo abordan las organizaciones este desafío?

Implementación de autenticación resistente a phishing

Tener medios de autenticación más sólidos y opciones más modernas no significa que las organizaciones puedan implementarlos de la noche a la mañana. En la mayoría de los casos, tiene sentido asegurarse de que MFA se utilice en todas partes. Por ejemplo, las organizaciones pueden superponer políticas de acceso condicional que requieran que los usuarios limiten sus actividades a los dispositivos de la organización, lo que ayuda a mitigar los escenarios de phishing externos.

La resistencia al phishing es un objetivo importante que debe combinarse con objetivos adicionales para maximizar la fuerza de autenticación. Recomendamos que las organizaciones dejen de usar contraseña eliminando la contraseña del usuario como un element. Proporcione opciones de autenticación con una amplia aplicabilidad que abarque escenarios móviles y de escritorio, y evalúe la identidad y el estado del dispositivo antes de la autorización.

Principios de confianza cero también debe utilizarse para definir una hoja de ruta de implementación que aborde todos los puntos de la cadena de autenticación con una defensa en capas. Tome medidas para fortalecer la infraestructura de autenticación en sí misma, aplique protección de identidad a los usuarios, identifique y controle las aplicaciones en busca de concesiones ilícitas e identifique los dispositivos explícitamente durante la autenticación mientras los supervisa continuamente después de la autorización a medida que usan tokens de acceso. Al hacerlo, las organizaciones pueden crear mejor estrategias de autenticación modernas y resistentes al phishing.



Enlace a la noticia primary