Trabajar desde casa es una tendencia que se está volviendo al alza y los empleadores están cada vez más preocupados de la seguridad de sus empleados.
Un elemento básico, pero clave en toda organización es el momento en que ingresan a la red por algún método de autenticación.
Los Servicios de Inteligencia y Respuesta a Incidentes de X-Force (IRIS) de IBM han respondido a múltiples incidentes de seguridad donde no se implementó la autenticación multifactor (MFA), pero donde su implementación podría haber reducido significativamente el impacto del incidente.
Tales incidentes incluso han incluido ataques destructivos de malware, lo que resulta en pérdidas de millones de dólares y la destrucción irreversible de miles de máquinas en la red.
De hecho, el uso no autorizado de credenciales representó el 29% de todos los ataques observados por X-Force IRIS en 2019.
El uso de la autenticación multifactor en todos los puntos de acceso remoto puede disminuir significativamente la probabilidad de que un atacante use con éxito credenciales robadas para comprometer una red.
Aun así, los atacantes buscan continuamente formas de eludir los controles de seguridad, y la autenticación multifactor no es una excepción.
En muchos sentidos, estamos viendo a las AMF como el próximo campo de batalla del conflicto entre el atacante y el defensor de la red, y donde los primeros ocasionalmente están ganando ventaja y logrando eludir los controles.
En otros casos, los errores de configuración o implementación abren la puerta a los atacantes que de otro modo serían detenidos.
Posturas ante ataques de autenticación
Es relativamente fácil para un atacante obtener credenciales válidas para un entorno empresarial, pero podemos hacer que sea más difícil para los atacantes usar esas credenciales para lograr sus objetivos de varias maneras:
Identificar formas de superar los obstáculos para implementar autenticación multifactor. Como regla general, es altamente recomendable implementar este método de autenticación siempre que sea posible. Sin embargo, hay varias razones por las que una empresa puede optar por no hacerlo: la frustración de los clientes, la incompatibilidad para algunas aplicaciones y los pasos adicionales para los negocios cotidianos, entre otros.
En muchos incidentes la falta de este método condujo a la implementación de malware, pero se puede buscar e implementar otra solución al problema.
También se recomienda migrar aplicaciones y protocolos heredados que pueden ser incompatibles con este método, como los que usan IMAP, email corporativo u otras plataformas con acceso remoto a una red.
Implemente autenticación multifactor en cada punto de acceso remoto en su empresa. Expandir la mentalidad tradicional de que el correo web y la VPN son las únicas formas de acceder de forma remota a la organización e incluir protocolos de acceso remoto.
El acceso de terceros a la empresa también deja una puerta abierta para que entren los atacantes, que pueden ser aplicaciones de soporte a empleados, como los programas de nómina e incentivos. Muchas de estas ofertas vienen con la opción de habilitar la autenticación multifactor a discreción de la organización.
Aprovechar a los expertos en la materia. Cada red empresarial es única, por lo que la implementación óptima de autenticación multifactor variará ligeramente de una compañía a otra. Los expertos en seguridad pueden utilizar una evaluación del programa de respuesta a incidentes o una evaluación estratégica de amenazas para evaluar la estrategia de cada organización.
Además, los expertos en seguridad tienen un conocimiento profundo de la amplia gama de opciones de métodos de autenticación disponibles para cada arquitectura.
Implementar soluciones de autenticación multifactor que dependen de la biometría o el análisis de comportamiento. Estos métodos usan huellas digitales, reconocimiento facial, escaneos de retina o análisis de pulsaciones de teclas, que tienden a ser más difíciles de eludir para los atacantes que se basan en un código enviado a un dispositivo separado que puede ser secuestrado, como un teléfono celular.
En algunos casos, estas formas también pueden ser más fáciles de proporcionar para los usuarios y pueden crear una experiencia de usuario mejorada.
Capacitar a empleados para que sean cautelosos con el uso compartido en línea. Los resultados de la ingeniería social no se limitan a los ataques de phishing contra una empresa. Para que la mayoría de los ataques funcionen, los atacantes deben recopilar una cantidad suficiente de información sobre una víctima para convencer a una compañía de teléfonos móviles de que son la víctima cuando realizan una llamada.
Si el atacante no puede recopilar esta información, será menos probable que tenga éxito en una operación. El programa de seguridad de la información de cada empresa debe incluir capacitación de los empleados sobre la limitación de la información personal abiertamente disponible en internet, como números de teléfono, domicilios o cumpleaños.
Use autenticación multifactor para rastrear el uso de dispositivos de mayor riesgo. Este método puede usarse no solo para proporcionar una forma separada de autenticación para los usuarios, sino también para rastrear cuándo un usuario inicia sesión desde un dispositivo nuevo o potencialmente riesgoso. Por ejemplo, un usuario que emplee esta opción recibiría un mensaje en este método, junto con una notificación separada de un inicio de sesión desde un nuevo dispositivo que generalmente no se usa para acceder a esa red.