L’autenticazione a più fattori è una misura che consente al sistema di superare la semplice identificazione con username e password e richiede un’ulteriore prova all’utente che sta tentando l’accesso.
Nello specifico questa metodologia di autenticazione è caratterizzata dalla combinazione di due o più fattori tra:
- “qualcosa che conosci“, come ad esempio una password o un PIN;
- “qualcosa che hai“, come un telefono cellulare, una smartcard o un oggetto fisico come un token o un’App certificata;
- “qualcosa che sei“, come l’impronta digitale, il timbro vocale, la scansione della retina e altri dati di tipo biometrico.
Tutti gli amministratori di sistema ormai si servono dell’autenticazione a più fattori (MFA) per aumentare il livello di sicurezza di risorse e applicazioni all’interno del perimetro aziendale.
Ma cosa accade quando le applicazioni vengono spostate nel cloud assieme alle relative consolle di amministrazione esponendo queste ultime ad Internet?
Cosa potrebbe accadere ad esempio nel caso in cui un malintenzionato riuscisse ad avere accesso alla consolle di amministrazione di un sistema di sicurezza o di una piattaforma?
Il MITRE ATT&CK è una knowledge-base fruibile gratuitamente e costantemente aggiornata dove vengono descritti modelli e metodologie di cybersecurity per il settore privato.
La tecnica MITRE ATT&CK T1078 descrive nello specifico come un attaccante, una volta ottenute delle credenziali valide per l’accesso iniziale a piattaforme come Office365, Azure AD, Google Workspace e simili (ma anche piattaforme SaaS o IaaS generiche), sia in grado di eludere i sistemi di sicurezza, garantirsi la persistenza all’interno della piattaforma e aumentare i propri privilegi.
Queste tecniche non solo possono facilmente eludere la protezione di firewall, antivirus, IDS e sistemi di controllo delle applicazioni, ma sono anche molto difficili da rilevare, poiché sfruttano utenti validi che hanno comportamenti molto vicini alle “normali” funzionalità che le piattaforme o le applicazioni prevedono.
L’utilizzo di MFA renderà tali procedure notevolmente più complesse per un attaccante, rafforzando notevolmente la resilienza dei sistemi o delle applicazioni esposte ad Internet.
Nello specifico abilitare una MFA per accedere a una consolle di amministrazione permette di:
- ridurre notevolmente il rischio di accesso da parte di utenti non autorizzati;
- monitorare tutti i tentativi di accesso, permettendo così all’amministratore di sistema di prendere precauzioni e bloccare ulteriori tentativi;
- impedire la condivisione di account.
In conclusione, abilitare la MFA non costa nulla in termini di tempo e permette di incrementare in modo significativo il livello di sicurezza di sistemi e applicazioni, che siano essi in loco o migrati su piattaforme cloud.
CyZen da sempre consiglia ai propri clienti soluzioni dotate di MFA facendone una discriminante imprescindibile per garantire un buon livello di sicurezza.
Contattaci se hai bisogno di definire le migliori strategie per proteggere i sistemi e le soluzioni della tua Azienda.