L’autenticazione a più fattori – Multi Factor Authentication (MFA) – è una misura di sicurezza che richiede due o più prove di identità per concedere l’accesso.
Ma per comprenderne meglio l’applicazione facciamo un esempio concreto relativo alla vita quotidiana. Chi di voi per esempio usa abitualmente, o ha mai usato un bancomat, saprà sicuramente che per prelevare del contante è necessario inserire due fattori di autenticazione: qualcosa che sapete (il PIN) e qualcosa che avete (il bancomat stesso).
Il bancomat è dunque un sistema Multi Factor Authentication, in particolare a due fattori di autenticazione. Nell’autenticazione a più fattori, inoltre, potrebbero essere necessari poi anche un passcode monouso, il riconoscimento facciale o un’impronta digitale come ulteriore controllo di sicurezza.
Ogni System Administrator oggi conosce i vantaggi dell’autenticazione a più fattori per l’accesso alle applicazioni aziendali. Si tratta di una pratica che mantiene, ad esempio, i nostri dati di Microsoft 365 un po’ più al sicuro, anche se un attaccante dovesse ottenere, indovinare, acquistare o forzare brutalmente un nome utente e una password.
Tuttavia, nel momento in cui le applicazioni sono spostate nel cloud, le loro console di accesso vengono esposte a Internet. Anche l’amministrazione e la sicurezza del sistema – gestite “dal cloud” – necessitano quindi della Multi Factor Authentication.
Il MITRE ATT&CK Framework – nella tecnica T1078 (“Valid Accounts”) – descrive come un attaccante utilizzi account validi per ottenere l’accesso iniziale alla rete, eludere le difese, ottenere la persistenza ed elevare i propri privilegi, tutto usando un account per l’appunto valido.
Queste tattiche a loro volta consentono di aggirare varie difese, inclusi antimalware e EDR, application control, firewall, sistemi di rilevamento o prevenzione delle intrusioni e controlli di accesso al sistema. L’uso non autorizzato di account validi è molto difficile da rilevare, in quanto è molto vicino alla normalità.
Cosa succede quando un attaccante ottiene l’accesso a una console di sicurezza?
Facciamo un esempio, qualcuno entra nella console dell’antivirus, crea una policy che disattiva l’antivirus. Oppure entra nelle impostazioni di 365 e disabilita ogni impostazione di sicurezza. Tutto con un account legittimo.
Anche i sistemi di amministrazione della sicurezza on-prem dovrebbero comunque utilizzare l’autenticazione a più fattori, se possibile: per un attaccante, infatti, se potesse semplicemente disattivare le soluzioni di sicurezza prima di distribuire il malware tutto sarebbe molto più facile.
Se poi si utilizza una VPN per accedere alla rete, consigliamo vivamente di abilitare la MFA anche su quella.
L’abilitazione della MFA per l’amministrazione del sistema e gli strumenti di sicurezza in conclusione completa tre obiettivi:
- Riduce il rischio di accesso da parte di persone non autorizzate.
- Genera avvisi ad ogni tentativo di accesso, consentendo a un amministratore di bloccare i tentativi futuri secondo necessità.
- Impedisce la condivisione dell’account, garantendo audit accurati che possono collegare il comportamento a un utente specifico.
L’abilitazione di questo sistema non costa nulla, se non il tempo per configurarla. Se hai ignorato i giganteschi banner “Abilita la MFA” sulle tue console, è tempo di intraprendere questa azione, al fine di proteggere al meglio i tuoi account.