Mange sikkerhedsbrud kunne nemt have været forhindret med to-faktor-autentificering (2FA). Ud over en adgangskode kræver 2FA et andet verifikationstrin, f.eks. en smartphone-kode eller biometrisk scanning. Microsoft anslår, at multifaktorautentificering (MFA) blokerer for over 99,9 % af angreb på kontokompromittering, hvilket gør det afgørende, da 'brudt autentificering' fortsat er en af de største OWASP-sårbarheder.
Hackere bruger typisk en af følgende teknikker til at få fat i brugerens legitimationsoplysninger:
- Ved bredbaseret phishing sender en ondsindet aktør en generisk e-mail fra en falsk e-mailadresse, som opfordrer modtagerne til at logge ind på en falsk webside ved hjælp af deres faktiske legitimationsoplysninger. De grunde, der angives i phishing-e-mailen, kan være alt fra "adgang til et nyt værktøj", "nulstilling af en adgangskode" eller, ironisk nok, "bekræftelse af mistænkelig kontoaktivitet".
- Spear phishing følger samme model som broad-based phishing, men e-mailene er specifikke for hvert enkelt mål. Det vil sige, at e-mailen henvender sig til brugeren med hans rigtige navn eller programmer, som han/hun regelmæssigt bruger. Spear phishing-e-mails virker mere troværdige end deres modstykker, hvilket øger deres succesrate.
- Credential stuffing-angreb, hvor en ondsindet aktør, der har held med at opdage eller købe et måls adgangskode, kan få adgang til alle de konti, der deler den adgangskode. Dette er særligt problematisk, når man ser på brugernes personlige bevidsthed om cybersikkerhed.
- Password spraying gør det muligt for angribere at få adgang ved at afprøve almindelige eller standardadgangskoder. De mest almindelige eksempler er adgangskoder som "123456" og "password".
Hvorfor er to-faktor-autentifikation vigtig?
Som vi kan se, er det ikke umuligt at bryde ind i et kodeord, og det kræver ikke, at angriberne gennemsøger målets affald i håb om at finde et stykke papir med deres legitimationsoplysninger nedskrevet.
Med disse tre typer af angreb - phishing, credential stuffing og password spraying - er det let at forestille sig, at mindst én af tusind medarbejdere kan blive kompromitteret. Og det bringer hele organisationen i fare.
Men når du tilføjer en anden godkendelsesmetode til blandingen, nærmer risikoen for kompromittering sig nul. Mens en adgangskode kan hackes, er chancen for, at angriberen også får fjernadgang til målets autentifikationsenhed eller biometriske data næsten lig nul. På denne måde kan 99,9 procent af kontokompromitteringer forhindres.
Træning i sikkerhedsbevidsthed er afgørende for succes med to-faktor-autentifikation
Der er to ting at tage hensyn til ved implementering af to-faktor-autentifikation i din organisation.
For det første, teknologien. For at implementere to-faktor-autentifikation skal du vælge en metode, der autentificerer brugerne. Den mest almindelige metode i dag er at bruge en smartphone. Produkter som Office 365 har indbyggede MFA-funktioner og politikstyring, som nemt kan opsætte brugernes mobilapplikationer som bevis for identitet.
For det andet, og måske det mest udfordrende, mennesker. Brugerne skal igennem et ekstra log-in-trin, hver gang de får adgang til et værktøj, der har MFA aktiveret. Det er her, træning i sikkerhedsbevidsthed er uundværlig. Uden en uddannelseskampagne for medarbejderne, der understreger vigtigheden af tofaktorautentificering, vil nogle brugere føle sig generet af det ekstra autentificeringstrin og måske begynde at bruge uautoriserede applikationer - såsom WhatsApp - til at dele filer og beskeder. Denne uautoriserede brug af applikationer kaldes skygge-it, og det er en højrisikopraksis, da den omgår al virksomhedssikkerhed.
Brugernes bevidsthed om cybersikkerhed er endnu vigtigere, når vi tænker på credential stuffing-angrebet. Hvis mere end 50 % af brugerne bruger den samme adgangskode til flere konti, er det også meget sandsynligt, at de deler adgangskoder mellem personlige og arbejdsmæssige konti.
Oprettelse af en menneskelig firewall med to-faktor-autentifikation
Derfor anbefaler vi, at kampagnerne for sikkerhedsoplysning udvides til at omfatte medarbejdernes personlige sikkerhedsvaner. Aktivering af 2FA på personlige e-mailtjenester som Gmail er let at konfigurere og praktisk at bruge. Denne enkeltstående handling har en dobbelt fordel, direkte for brugeren og indirekte for organisationen, da den minimerer risikoen for brud på datasikkerheden.
Ud over at fremme vigtigheden af to-faktor-autentificering til personlig brug kan træning i hændelseshåndtering også hjælpe brugere, der er blevet kompromitteret, med at følge en procedure, der kan forhindre yderligere skade, herunder rapportering af brud til de relevante it-teams og ændring af adgangskoder, hvor det er nødvendigt.
Uddannelseskampagner for at skabe god personlig bevidsthed om cybersikkerhed er den eneste måde at få frivilligt brugernes accept på. Når medarbejderne forstår vigtigheden af at sikre både deres it- og kommunikationstjenester på arbejdspladsen og i hjemmet, vil de danne et solidt fundament for hele virksomheden.
Forbedr dincybersikkerhed med effektiv medarbejdertræning
For at styrke din organisations cybersikkerhed anbefaler vi, at du læser disse artikler:
- Vigtigheden af uddannelse i IT-sikkerhed for ansatte
- Den ultimative guide til sikkerhedsbevidsthed og træning
- Hvorfor betalt cybersikkerhed uddannelse kan betale sig
Alternativt kan du anmode om en gratis demo af vores avancerede cybersikkerhedstræning for medarbejdere for at se, hvordan effektiv træning kan forbedre dit forsvar mod cybertrusler.
