Tilbage i 2016 blev millioner af e-mails krænket hos Deloitte, efter at hackere fik adgang til en administratorkonto, som gav dem ubegrænset adgang til Deloittes cloud-baserede e-mailsystem. Undersøgelser i forbindelse med hændelsen afslørede, at administratorens konto kun havde ét beskyttelseslag - en adgangskode - uden yderligere identifikationsmetoder.
Dette kunne nemt have været undgået, hvis to-faktor-autentificering (2FA) var blevet aktiveret for administratorkontoen. Ud over at bruge en adgangskode kræver 2FA, at brugerne skal fremlægge et ekstra bevis, der bekræfter deres identitet. Dette kan enten være noget, som kun brugeren selv er i besiddelse af - f.eks. en smartphone - eller et biometrisk element - f.eks. et fingeraftryk.
Faktisk anslår Microsoft, at effektiviteten af multi-faktor-autentificering er over 99,9 procent, hvilket blokerer stort set alle angreb på kompromitterede konti. Dette er enormt vigtigt i betragtning af, at "brudt autentificering" konsekvent har været en af de største sårbarheder på OWASP's Top Ten-liste.
Hackere bruger typisk en af følgende teknikker til at få fat i brugerens legitimationsoplysninger:
- Ved bredbaseret phishing sender en ondsindet aktør en generisk e-mail fra en falsk e-mailadresse, som opfordrer modtagerne til at logge ind på en falsk webside ved hjælp af deres faktiske legitimationsoplysninger. De grunde, der angives i phishing-e-mailen, kan være alt fra "adgang til et nyt værktøj", "nulstilling af en adgangskode" eller, ironisk nok, "bekræftelse af mistænkelig kontoaktivitet".
- Spear phishing følger samme model som broad-based phishing, men e-mailene er specifikke for hvert enkelt mål. Det vil sige, at e-mailen henvender sig til brugeren med hans rigtige navn eller programmer, som han/hun regelmæssigt bruger. Spear phishing-e-mails virker mere troværdige end deres modstykker, hvilket øger deres succesrate.
- Credential stuffing-angreb, hvor en ondsindet aktør, der opdager eller køber et måls adgangskode, kan få adgang til alle de konti, der deler denne adgangskode. Dette er særligt problematisk, når man tager hensyn til brugernes personlige cybersikkerhedsbevidsthed. I 2020 indrømmer mere end 50 % af alle mennesker, at de bruger den samme adgangskode til flere konti. Dette gør både deres personlige data og deres arbejdsdata sårbare over for denne type angreb.
- Password spraying gør det muligt for angribere at få adgang ved at afprøve almindelige eller standardadgangskoder. De mest almindelige eksempler er adgangskoder som "123456" og "password".
Hvorfor er to-faktor-autentifikation vigtig?
Som vi kan se, er det ikke umuligt at bryde ind i et kodeord, og det kræver ikke, at angriberne gennemsøger målets affald i håb om at finde et stykke papir med deres legitimationsoplysninger nedskrevet.
Med disse tre typer af angreb - phishing, credential stuffing og password spraying - er det let at forestille sig, at mindst én af tusind medarbejdere kan blive kompromitteret. Og det bringer hele organisationen i fare.
Men når du tilføjer en anden godkendelsesmetode til blandingen, nærmer risikoen for kompromittering sig nul. Mens en adgangskode kan hackes, er chancen for, at angriberen også får fjernadgang til målets autentifikationsenhed eller biometriske data næsten lig nul. På denne måde kan 99,9 procent af kontokompromitteringer forhindres.
Træning i sikkerhedsbevidsthed er afgørende for succes med to-faktor-autentifikation
Der er to ting at tage hensyn til ved implementering af to-faktor-autentifikation i din organisation.
For det første, teknologien. For at implementere to-faktor-autentifikation skal du vælge en metode, der autentificerer brugerne. Den mest almindelige metode i dag er at bruge en smartphone. Produkter som Office 365 har indbyggede MFA-funktioner og politikstyring, som nemt kan opsætte brugernes mobilapplikationer som bevis for identitet.
For det andet, og måske det mest udfordrende, mennesker. Brugerne skal igennem et ekstra log-in-trin, hver gang de får adgang til et værktøj, der har MFA aktiveret. Det er her, at træning i sikkerhedsoplysning er uundværlig. Uden en uddannelseskampagne for medarbejderne, der beskriver vigtigheden af to-faktor-autentifikation, kan nogle brugere føle sig generet af det ekstra autentifikationstrin og måske vende sig til at bruge uautoriserede applikationer - såsom WhatsApp - til at dele filer og beskeder. Denne uautoriserede anvendelse af applikationer kaldes skygge-IT, og det er en praksis med høj risiko, da den omgår al virksomhedens sikkerhed.
Brugernes bevidsthed om cybersikkerhed er endnu vigtigere, når vi tænker på credential stuffing-angrebet. Hvis mere end 50 % af brugerne bruger den samme adgangskode til flere konti, er det også meget sandsynligt, at de deler adgangskoder mellem personlige og arbejdsmæssige konti.
Oprettelse af en menneskelig firewall med to-faktor-autentifikation
Derfor anbefaler vi, at kampagnerne for sikkerhedsoplysning udvides til at omfatte medarbejdernes personlige sikkerhedsvaner. Aktivering af 2FA på personlige e-mailtjenester som Gmail er let at konfigurere og praktisk at bruge. Denne enkeltstående handling har en dobbelt fordel, direkte for brugeren og indirekte for organisationen, da den minimerer risikoen for brud på datasikkerheden.
Ud over at fremme vigtigheden af to-faktor-autentificering til personlig brug kan træning i hændelseshåndtering også hjælpe brugere, der er blevet kompromitteret, med at følge en procedure, der kan forhindre yderligere skade, herunder rapportering af brud til de relevante it-teams og ændring af adgangskoder, hvor det er nødvendigt.
Uddannelseskampagner for at skabe god personlig bevidsthed om cybersikkerhed er den eneste måde at få frivilligt brugernes accept på. Når medarbejderne forstår vigtigheden af at sikre både deres it- og kommunikationstjenester på arbejdspladsen og i hjemmet, vil de danne et solidt fundament for hele virksomheden.
