L’autenticazione a più fattori (MFA) per l’amministrazione del tuo sistema è una di quelle cose che con il senno di poi, chi ha subito dei danni per l’azione malevola di un hacker, si rammarica di non aver attivato nonostante questa prassi sia abbastanza banale e semplice da attuare. L’autenticazione a più fattori (MFA) è una misura di sicurezza che richiede più prove di identità per concedere un accesso. In sostanza non è sufficiente una sola password per ottenere un accesso ma potrebbero essere richieste più password, un pass code monouso, il riconoscimento facciale o l’impronta digitale. Gli amministratori che accedono alle applicazioni aziendali conoscono i vantaggi dell’autenticazione a più fattori. Si tratta di una pratica che mantiene i propri dati al sicuro anche se un malintenzionato riuscisse ad ottenere il tuo nome utente e la tua password. Anche nel momento in cui le applicazioni vengono spostate nel cloud necessitano della MFA. La tecnica MITRE ATT&CK T1078 “Account Validi” descrive come gli autori delle minacce utilizzano account validi per ottenere l’accesso iniziale alla rete, eludere le difese, ottenere la persistenza e aumentare i propri privilegi, eccola: Gli hacker possono ottenere e abusare delle credenziali degli account esistenti come mezzo per ottenere l'accesso iniziale, la persistenza, l'escalation dei privilegi o l'evasione della difesa. Le credenziali compromesse possono essere utilizzate per aggirare i controlli di accesso posti su varie risorse dei sistemi all'interno della rete e possono anche essere utilizzate per l'accesso permanente a sistemi remoti e servizi disponibili esternamente, come VPN, Outlook Web Access e desktop remoto. Le credenziali compromesse possono anche concedere a un avversario un privilegio maggiore a sistemi specifici o l'accesso ad aree riservate della rete. Gli avversari possono scegliere di non utilizzare malware o strumenti in combinazione con l'accesso legittimo fornito da tali credenziali per rendere più difficile il rilevamento della loro presenza. La sovrapposizione delle autorizzazioni per account locali, di dominio e cloud su una rete di sistemi è preoccupante perché l'avversario potrebbe essere in grado di spostarsi tra account e sistemi per raggiungere un livello di accesso elevato (ad esempio amministratore di dominio o aziendale) per bypassare l'accesso controlli impostati all'interno dell'azienda. (https://attack.mitre.org/techniques/T1078/) Queste tattiche a loro volta consentono di aggirare varie difese, inclusi antivirus, controllo delle applicazioni, firewall, sistemi di rilevamento/prevenzione delle intrusioni e controlli di accesso al sistema. L’uso non autorizzato di account validi è molto difficile da rilevare, in quanto è molto vicino alla normalità. Quella degli Account Validi è una delle 5 tecniche principali che il nostro partner tecnico Sophos ha suggerito per l’accesso iniziale come riportato nell’ The active play book 2021. Alcuni strumenti di amministrazione (ad esempio Solarwinds, Webroot, Kaseya e Connectwise) sono stati utilizzati anche per fornire payload dannosi. Anche i sistemi di amministrazione della sicurezza in loco dovrebbero comunque utilizzare l’autenticazione a più fattori, se possibile: i furti sono più semplici per un hacker se può disattivare le soluzioni di sicurezza prima di distribuire il malware. Se utilizzi una VPN per accedere alla rete, ti consigliamo vivamente di abilitare la MFA anche su quella. L’abilitazione della MFA per l’amministrazione del sistema e gli strumenti di sicurezza raggiunge tre importanti obiettivi:
L’abilitazione della MFA spesso non ha nessun costo, a parte una attenzione dedicata ai problemi di sicurezza digitale e un po’ del tuo tempo. Se hai ignorato i giganteschi banner “Abilita la MFA” sulle tue console, è tempo di intraprendere questa azione. Se il tuo fornitore di sicurezza non offre opzioni MFA, non pensi sia il momento di chiedergli perché? Letture correlate:
Scopri come trasformare il tuo spazio di lavoro! Contattaci ora +39 0422 431640 oppure scrivici:
0 Commenti
Il tuo commento verrà pubblicato subito dopo essere stato approvato.
Lascia una Risposta. |
|