Nel 2016, milioni di e-mail sono state violate a Deloitte, dopo che gli hacker hanno ottenuto l'accesso all'account di un amministratore che ha dato loro accesso illimitato al sistema di posta elettronica basato su cloud di Deloitte. Le indagini sull'incidente hanno rivelato che l'account dell'amministratore aveva solo un livello di protezione - una password - senza ulteriori metodi di identificazione.
Questo avrebbe potuto essere facilmente evitato se l'autenticazione a due fattori (2FA) fosse stata abilitata per l'account admin. Oltre all'uso di una password, la 2FA richiede agli utenti di fornire un'ulteriore prova che confermi la loro identità. Questo può essere qualcosa che solo l'utente possiede - come uno smartphone, o un biometrico - come un'impronta digitale.
Infatti, Microsoft stima l'efficacia dell'autenticazione a più fattori a oltre 99,9 per centobloccando virtualmente tutti gli attacchi di compromissione dell'account. Questo è enormemente importante considerando che l'autenticazione interrotta è stata costantemente una delle principali vulnerabilità nella OWASP Top Ten.
Gli hacker di solito usano una delle seguenti tecniche per ottenere le credenziali dell'utente:
- Ilphishing su larga scala comporta l'invio da parte di un attore malintenzionato di un'email generica da un indirizzo email falso che incoraggia i destinatari ad accedere a una pagina web falsa utilizzando le loro credenziali reali. Le ragioni indicate nell'e-mail di phishing possono variare da "accesso a un nuovo strumento", "reimpostazione di una password" o, ironicamente, "conferma di attività sospette dell'account".
- Lospear phishing segue lo stesso modello del phishing ad ampio raggio, ma le email sono specifiche per ogni obiettivo. Questo significa che l'email si rivolge all'utente con il suo vero nome, o con le applicazioni che usa regolarmente. Le email di spear phishing appaiono più credibili delle loro controparti, il che aumenta il loro tasso di successo.
- Attacchi di Credential stuffing, dove un attore maligno che scopre o acquista con successo la password di un obiettivo può accedere a tutti gli account che condividono quella password. Questo è particolarmente problematico se si considera la consapevolezza personale degli utenti in materia di sicurezza informatica. A partire dal 2020, più del 50% delle persone ammette di usare la stessa password per più account. Questo lascia sia i loro dati personali che i loro dati di lavoro vulnerabili a questo tipo di attacco.
- Lospraying di password permette agli aggressori di ottenere l'accesso provando password comuni o predefinite. Gli esempi più generici sono password come '123456' e 'password'.
Perché è importante l'autenticazione a due fattori?
Come possiamo vedere, violare una password non è una missione impossibile e non richiede agli aggressori di rovistare nella spazzatura dell'obiettivo nella speranza di trovare un foglio di carta con le loro credenziali scritte.
Tra questi tre tipi di attacchi - phishing, credential stuffing e password spraying - è facile immaginare che su mille dipendenti, almeno uno potrebbe essere compromesso. E questo mette a rischio l'intera organizzazione.
Tuttavia, quando si getta un'altra modalità di autenticazione nel mix, il rischio di compromissione si avvicina a zero. Mentre una password può essere violata, le possibilità che l'aggressore acceda anche da remoto al dispositivo di autenticazione o alla biometria dell'obiettivo sono quasi nulle. È così che il 99,9% dei compromessi degli account può essere evitato.
La formazione sulla consapevolezza della sicurezza è fondamentale per il successo dell'autenticazione a due fattori
L'implementazione dell'autenticazione a due fattori nella vostra organizzazione ha due considerazioni.
In primo luogo, la tecnologia. Per implementare l'autenticazione a due fattori, è necessario scegliere un metodo che autentichi gli utenti. Il metodo più comune al giorno d'oggi è l'utilizzo di uno smartphone. Prodotti come Office 365 hanno funzioni MFA integrate e una gestione delle politiche che possono facilmente impostare le applicazioni mobili degli utenti come prova di identità.
Secondo, e forse il più impegnativo, le persone. Gli utenti dovranno passare attraverso un ulteriore passo di log-in ogni volta che accedono a uno strumento che ha abilitato l'MFA. È qui che la formazione sulla consapevolezza della sicurezza è indispensabile. Senza una campagna di educazione dei dipendenti che delinei l'importanza dell'autenticazione a due fattori, alcuni utenti potrebbero sentirsi a disagio per l'ulteriore passaggio di autenticazione e potrebbero utilizzare applicazioni non autorizzate - come WhatsApp - per condividere file e messaggi. Questo uso di applicazioni non autorizzate è soprannominato shadow IT ed è una pratica ad alto rischio in quanto aggira tutta la sicurezza aziendale.
La consapevolezza della sicurezza informatica degli utenti è ancora più importante quando si riconsidera l'attacco "credential stuffing". Se più del 50% degli utenti usa la stessa password per più account, è anche molto probabile che condividano le password tra account personali e di lavoro.
Creare un firewall umano con l'autenticazione a due fattori
Per questo motivo, si consiglia di estendere le campagne di Security Awareness Training alle abitudini di sicurezza personali dei dipendenti. Abilitare 2FA sui servizi di posta elettronica personali come Gmail è facile da impostare e comodo da usare. Questa singola azione ha un beneficio bidirezionale, direttamente per l'utente e indirettamente per l'organizzazione, in quanto riduce al minimo il rischio di violazione dei dati.
Oltre a promuovere l'importanza dell'autenticazione a due fattori per l'uso personale, la formazione sulla gestione degli incidenti può anche aiutare gli utenti che sono stati compromessi a seguire una procedura che può prevenire ulteriori danni, tra cui la segnalazione delle violazioni ai team IT competenti e il cambio delle password, se necessario.
Le campagne di educazione per guidare una buona consapevolezza personale della sicurezza informatica sono l'unico modo per ottenere l'adesione volontaria degli utenti. Quando i dipendenti capiscono l'importanza di mantenere sicuri i loro servizi IT e di comunicazione sia al lavoro che a casa, formeranno una solida base per l'intera impresa.