År 2016 bröts miljontals e-postmeddelanden på Deloitte efter att hackare fått tillgång till ett administratörskonto som gav dem obegränsad tillgång till Deloittes molnbaserade e-postsystem. Utredningar i samband med incidenten visade att administratörens konto endast hade ett skyddslager - ett lösenord - utan några ytterligare identifieringsmetoder.
Detta kunde lätt ha förhindrats om tvåfaktorsautentisering (2FA) hade aktiverats för administratörskontot. Förutom att använda ett lösenord kräver 2FA att användarna tillhandahåller ytterligare ett bevis som bekräftar deras identitet. Detta kan antingen vara något som endast användaren har - t.ex. en smartphone - eller ett biometriskt bevis - t.ex. ett fingeravtryck.
Microsoft uppskattar faktiskt att effektiviteten av flerfaktorsautentisering är över 99,9 procentoch blockerar praktiskt taget alla attacker mot kontokompromisser. Detta är oerhört viktigt med tanke på att "trasig autentisering" konsekvent har varit en av de främsta sårbarheterna på OWASP:s topp tio-lista.
Hackare använder vanligtvis någon av följande tekniker för att komma åt användarens inloggningsuppgifter:
- Vid bredbaserad nätfiske skickar en illvillig aktör ett generiskt e-postmeddelande från en falsk e-postadress som uppmanar mottagarna att logga in på en falsk webbsida med sina faktiska inloggningsuppgifter. De skäl som anges i phishingmeddelandet kan vara allt från "tillgång till ett nytt verktyg", "återställning av ett lösenord" eller, ironiskt nog, "bekräftelse av misstänkt kontoaktivitet".
- Spear phishing följer samma modell som bredbaserat phishing, men e-postmeddelandena är specifika för varje målgrupp. Detta innebär att e-postmeddelandet riktar sig till användaren med hans eller hennes riktiga namn eller till program som han eller hon regelbundet använder. Spear phishing e-postmeddelanden verkar mer trovärdiga än sina motsvarigheter, vilket ökar deras framgångsfrekvens.
- Credential stuffing-attacker, där en illvillig aktör som upptäcker eller köper ett målpersons lösenord kan få tillgång till alla konton som delar det lösenordet. Detta är särskilt problematiskt med tanke på användarnas personliga medvetenhet om cybersäkerhet. Från och med 2020 erkänner mer än 50 procent av människor att de använder samma lösenord för flera konton. Detta gör både deras personliga uppgifter och deras arbetsuppgifter sårbara för den här typen av attacker.
- Lösenordsspridning gör det möjligt för angripare att få tillgång genom att prova vanliga lösenord eller standardlösenord. De vanligaste exemplen är lösenord som "123456" och "password".
Varför är det viktigt med tvåfaktorsautentisering?
Som vi kan se är det inte omöjligt att bryta sig in i ett lösenord och det kräver inte att angriparna går igenom måltavlans sopor i hopp om att hitta ett pappersark med deras inloggningsuppgifter.
Med dessa tre typer av attacker - phishing, credential stuffing och password spraying - är det lätt att föreställa sig att minst en av tusen anställda kan bli utsatt för intrång. Och det innebär att hela organisationen riskerar att drabbas.
Men när du lägger till ytterligare ett autentiseringsläge i mixen närmar sig kompromissrisken noll. Ett lösenord kan hackas, men risken för att angriparen också får fjärråtkomst till målets autentiseringsenhet eller biometriska kännetecken är nästan obefintlig. På så sätt kan 99,9 procent av kontokompromisserna förhindras.
Utbildning i säkerhetsmedvetenhet är avgörande för att lyckas med tvåfaktorsautentisering
Att införa tvåfaktorsautentisering i din organisation har två aspekter att ta hänsyn till.
För det första tekniken. För att införa tvåfaktorsautentisering måste du välja en metod som autentiserar användare. Den vanligaste metoden numera är att använda en smartphone. Produkter som Office 365 har inbyggda MFA-funktioner och policyhantering som enkelt kan ställa in användarnas mobilapplikationer som identitetsbevis.
För det andra, och kanske det mest utmanande, människorna. Användarna måste gå igenom ytterligare ett inloggningssteg varje gång de använder ett verktyg som har MFA aktiverat. Det är här som utbildning i säkerhetsmedvetenhet är oumbärlig. Utan en utbildningskampanj för anställda som beskriver vikten av tvåfaktorsautentisering kan vissa användare känna sig besvärade av det extra autentiseringssteget och kanske vända sig till att använda obehöriga program - som WhatsApp - för att dela filer och meddelanden. Denna obehöriga programanvändning kallas för skugg-IT och är en högriskmetod eftersom den kringgår all företagssäkerhet.
Användarens medvetenhet om cybersäkerhet är ännu viktigare när vi tänker på credential stuffing-attacken. Om mer än 50 procent av användarna använder samma lösenord för flera konton är det också mycket troligt att de delar lösenord mellan personliga och arbetskonto.
Skapa en mänsklig brandvägg med tvåfaktorsautentisering
Därför rekommenderar vi att kampanjerna för utbildning i säkerhetsmedvetenhet utvidgas till att omfatta de anställdas personliga säkerhetsvanor. Att aktivera 2FA på personliga e-posttjänster som Gmail är enkelt att installera och bekvämt att använda. Denna enda åtgärd har en dubbel nytta, direkt för användaren och indirekt för organisationen eftersom den minimerar risken för dataintrång.
Förutom att främja vikten av tvåfaktorsautentisering för personlig användning kan utbildning i incidenthantering också hjälpa användare som har blivit utsatta för intrång att följa ett förfarande som kan förhindra ytterligare skador, inklusive rapportering av intrång till relevanta IT-team och byte av lösenord vid behov.
Utbildningskampanjer för att öka den personliga medvetenheten om cybersäkerhet är det enda sättet att få frivilligt användarbeteende. När de anställda förstår vikten av att hålla IT- och kommunikationstjänsterna säkra både på jobbet och hemma, kommer de att utgöra en stabil grund för hela företaget.
