Nell’ultimo decennio l’autenticazione a più fattori (MFA) è diventata una pietra miliare della sicurezza informatica moderna. Tuttavia, in questo periodo in cui l’autenticazione degli utenti si è fatta più sofisticata, anche i criminali informatici hanno perfezionato le loro tattiche. L’incremento delle tecniche di elusione dell’MFA ne è la conferma.
Nonostante la capacità dei criminali informatici di eludere l’MFA, persistono le convinzioni sulla sua quasi perfezione. Un recente studio di Proofpoint rivela che l’MFA era attiva su quasi la metà degli account violati dai criminali informatici. Nonostante ciò, l’89% dei professionisti della sicurezza ritiene che l’MFA offra una protezione completa contro il takeover degli account. Chiaramente, c’è uno sfasamento.
Per questo motivo è necessario adottare un approccio di difesa in profondità ora più che mai. Una sicurezza a più livelli può contribuire a ridurre l’elusione dell’MFA e la probabilità un takeover di un account comporti una violazione importante. In questo articolo del blog analizzeremo perché l’MFA non è sufficiente e ti forniremo alcuni suggerimenti per proteggere meglio la tua azienda.
Tecniche di elusione dell’MFA
L’autenticazione a più fattori richiede che gli utenti forniscano molteplici fattori di autenticazione. Combina un elemento che conoscono (tipicamente la loro password) e un elemento che possiedono (un’applicazione o un token di autenticazione) o che li definisce (come il loro viso). Per quanto l’MFA possa sembrare molto sicura, i criminali informatici hanno trovato diversi modi per eluderla. Molte di queste tattiche sono estremamente sofisticate:
- Attacchi di phishing. Durante questi attacchi, i criminali informatici incitano gli utenti a inserire i loro codici MFA o le loro credenziali d’accesso su siti web da loro controllati.
- Attacchi legati al calo della vigilanza generato dall’MFA. Una volta che i criminali informatici hanno rubato la password di un utente, inviano una raffica di notifiche push di MFA che possono confondere gli utenti e spingerli a approvare la richiesta d’accesso per porre fine alle notifiche.
- Hijacking delle sessioni. Con questa tecnica, i criminali informatici rubano i cookie delle sessioni dopo l’autenticazione, rendendo inutile la precedente autenticazione basata sull’MFA.
- Frode della scheda SIM. Questa tecnica viola l’MFA tramite SMS trasferendo il numero di telefono della vittima al criminale informatico. Per farlo, il criminale informatico deve lanciare un attacco di social engineering contro l’operatore di telefonia mobile o avere un informatore interno all’azienda.
- Social engineering puro. La maggior parte delle aziende ha un metodo per consentire ai collaboratori in telelavoro di reimpostare la loro password e le configurazioni MFA senza doversi presentare di persona. Tuttavia, senza un’appropriata verifica dell’identità online, il servizio di assistenza informatico può essere raggirato tramite un attacco di social engineering che permette ai criminali informatici di appropriarsi delle credenziali dei collaboratori.
- Attacchi adversary-in-the-middle. Questi attacchi utilizzano degli strumenti, come il kit di phishing specializzato Evilginx, per intercettare i token di sessione. Tali token vengono poi inoltrati a servizi legittimi, garantendo un accesso ai criminali informatici.
Guarda questa demo di un attacco adversary-in-the-middle attivato da Evilginx, che Proofpoint Account Takeover Protection è in grado di rilevare e bloccare.
Perché l’MFA non è sufficiente
Senza dubbio, l’autenticazione a più fattori aggiunge un livello di sicurezza prezioso all’autenticazione degli utenti. E questo rende più difficile i tentativi di infiltrarsi dei criminali informatici. Ma le tecniche di elusione sopra descritte mostrano perché è così pericoloso affidarsi a un singolo meccanismo di difesa. La crescente diffusione degli attacchi di elusione dell’MFA andati a buon fine mostra che criminali informatici determinati sono in grado di adattarsi per superare le protezioni ampiamente distribuite.
Anche se può sembrare ovvio, è importante ricordare sempre che l’MFA dovrebbe far parte di un programma di sicurezza più ampio. Non si tratta di una protezione ineludibile. Una difesa in profondità significa che l’implementazione di ulteriori livelli di sicurezza riduce le probabilità di successo di un attacco, anche in caso di violazione di un livello.
Implementazione di una strategia di difesa in profondità
Un approccio di difesa in profondità prevede molteplici misure di sicurezza ridondanti, che riducono la capacità di un criminale informatico di sfruttare le vulnerabilità. Ecco come le aziende possono rafforzare le loro difese contro l’elusione dell’MFA:
- Rafforzamento della protezione degli endpoint. Implementa strumenti di rilevamento e risposta degli incidenti per gli endpoint (EDR) per identificare e prevenire l’accesso non autorizzato a livello di host.
- Investimenti in difese contro il phishing delle credenziali di accesso. La maggior parte dei criminali informatici preferisce utilizzare attacchi di phishing estremamente mirati basati sul social engineering per prendere di mira le credenziali d’accesso degli utenti. Questo è il motivo per cui continuiamo a investire in modo significativo nella nostra piattaforma di sicurezza dell’email.
- Adozione di un’autenticazione a più fattori resistente al phishing. Adotta metodi MFA più sicuri, come le chiavi di sicurezza hardware (FIDO2) o informazioni biometriche, che sono meno sensibili agli attacchi di phishing e di elusione dell’MFA.
- Implementazione di sistemi di sicurezza specifici contro il takeover degli account. Adotta strumenti come Proofpoint Account Takeover Protection per rilevare, analizzare e rispondere automaticamente ai takeover degli account cloud nel momento in cui si verificano, bloccandoli prima che possano causare danni significativi.
- Formazione degli utenti. Insegna ai tuoi utenti a riconoscere i tentativi di phishing e altre tattiche di social engineering che prendono di mira le loro credenziali MFA. Questa è un’area dove la formazione di sensibilizzazione alla sicurezza informatica di Proofpoint può esserti d’aiuto.
- Pianificazione della risposta agli incidenti e del ripristino delle attività. Preparati per il peggior scenario possibile. Assicurati di disporre di un piano di risposta agli incidenti ben definito che includa un modo di revocare rapidamente i token d’accesso e indagare sugli accessi sospetti. Anche Proofpoint Account Takeover Protection può aiutarti.
Passato, presente e futuro della sicurezza informatica: una difesa proattiva e multilivello
La lotta contro le tattiche di elusione dell’autenticazione a più fattori è un buon esempio della natura dinamica delle minacce informatiche attuali. Quando adotti una strategia di difesa in profondità, garantisci che anche se un livello della tua sicurezza viene meno altri sono in grado di assorbire l’impatto.
Investendo in misure di sicurezza complete e proattive puoi rimanere un passo avanti ai criminali informatici e proteggere le tue risorse strategiche. La sicurezza informatica non si limita alla creazione di un unico muro invalicabile, ma consiste nel complicare ogni fase del percorso dei criminali informatici.
Per saperne di più, scarica la scheda tecnica Proofpoint Account Takeover Protection o guarda la nostra demo di un attacco adversary-in-the-middle.