A mesura que els atacants es tornen més hàbils per derrotar les aplicacions d’autenticació i la protecció d’IP, les claus d’accés són una alternativa més segura i fàcil d’usar.

Les amenaces persistents, com ara el compromís de correu electrònic empresarial (BEC), requereixen una evolució de les defenses de ciberseguretat per protegir les identitats. L’abandonament de la dependència d’aplicacions d’autenticació i tanques IP cap a un marc integral de confiança zero, que incorpori claus de seguretat o claus d’accés FIDO2, ofereix un camí cap a experiències d’autenticació més segures i fàcils d’utilitzar. En adoptar aquestes tecnologies, les organitzacions poden reforçar les seves defenses contra les amenaces cibernètiques sofisticades, i alhora garantir un nivell de seguretat més alt en un món cada cop més digital.

Tots hem sentit que la identitat és el nou límit de la seguretat. Aquest canvi es va fer realitat quan el programari com a servei (SaaS) es va convertir en una tendència predominant. Què significa «la identitat és el nou límit de la seguretat»? Com més ens autentiquem a les aplicacions al núvol, menys dependrem dels tallafocs per protegir les nostres identitats.

Sembla que els CSO encara s’estan posant al dia per assegurar les identitats en aquest nou món SaaS. El 12 de febrer de 2024, el vicepresident de Microsoft Alex Weinert va anunciar que només el 38 % de totes les autenticacions a M365 estan protegides per l’autenticació multifactor (MFA).  

Un exemple de per què és important l’MFA: L’amenaça de seguretat més comuna és el compromís de correu electrònic empresarial (BEC). Els pirates informàtics han descobert que un correu electrònic de pesca que condueix a una transferència bancària és l’esforç més petit amb la recompensa més gran. L’Oficina Federal d’Investigacions (l’FBI) dels Estats Units ha afirmat que el BEC és una amenaça important per a l’economia global amb pèrdues estimades en 50.000 milions de dòlars entre el 2013 i el 2022. Les pèrdues es van multiplicar per 80 a causa de BEC més que no del programari de segrest el 2022 (2.700 milions de dòlars enfront de 34 milions de dòlars).

Durant aquest mateix temps, l’adopció de l’MFA ha augmentat substancialment. Aleshores, per què l’MFA no ha frenat els atacs de BEC? He ajudat desenes de víctimes de BEC al llarg dels anys i he trobat que la majoria dels atacs eren evitables. A continuació s’explica com els pirates informàtics estan passant per alt l’MFA avui i per què les claus d’accés de l’Aliança FIDO ajudaran.

Les vulnerabilitats de les aplicacions d’autenticació

Les aplicacions d’autenticació, dissenyades per oferir una segona capa de seguretat més enllà de les contrasenyes tradicionals, han estat elogiades per la seva senzillesa i seguretat addicional. Tanmateix, no estan exemptes de defectes. Un dels problemes significatius és la fatiga de l’MFA, un fenomen en què els usuaris, aclaparats per les sol·licituds d’autenticació freqüents o simplement després d’un sol atac d’esprai de contrasenya, donen accés inadvertidament als atacants. A més, les tècniques d’atacant al mig (AiTM) com ara l’Evilginx2 exploten la comunicació entre l’usuari i el servei, obviant la nova experiència de concordança de codi proporcionada per les aplicacions d’autenticació modernes. Aquestes vulnerabilitats posen de manifest la necessitat d’una explicació dels termes i una discussió sobre per què és difícil prevenir aquests atacs.

La ineficàcia de les tanques IP

Mirat per sobre, les tanques IP, la pràctica de restringir l’accés als serveis en funció de l’adreça IP de l’usuari, ofereixen una solució de seguretat senzilla. No obstant això, aquest mètode és cada cop menys pràctic i més obsolet al món SaaS actual i incompatible amb els principis de confiança zero, com ara assumir la violació.

La confiança zero és una estratègia i un enfocament de seguretat per dissenyar i implementar el següent conjunt de principis de seguretat:

• Verifiqueu explícitament: Autentiqueu i autoritzeu sempre en funció de tots els punts de dades disponibles.
• Utilitzeu l’accés amb menys privilegis: Limiteu l’accés dels usuaris amb accés just a temps i prou (JIT/JEA), polítiques adaptatives basades en riscos i protecció de dades.
• Assumir la violació: Minimitzeu el radi de l’explosió i l’accés als segments. Verifiqueu el xifratge d’extrem a extrem i utilitzeu analítiques per obtenir visibilitat, impulsar la detecció d’amenaces i millorar les defenses.

Aquest és el nucli de la confiança zero. En lloc de creure que tot el que hi ha darrere del tallafoc corporatiu és segur, el model de confiança zero assumeix una violació i verifica cada sol·licitud com si s’originés a partir d’una xarxa no controlada. Independentment d’on s’origina la sol·licitud o a quin recurs accedeix, el model de confiança zero ens ensenya a «no confiar mai, verificar sempre».

Per tant, no configureu una llista d’accés per restringir l’accés a la xarxa domèstica d’algú, que funciona amb el supòsit que la xarxa domèstica és segura. Suposem que l’usuari, el dispositiu i la xarxa s’han vist compromesos. Autentiqueu l’usuari i el dispositiu. Practiqueu la microsegmentació. Implementeu tallafocs basats en host.

Les tanques IP poden tenir un paper a l’hora de restringir els comptes de TI privilegiats com a quart factor d’autenticació (després de la contrasenya, l’aplicació d’autenticació i el dispositiu) per als comptes de TI privilegiats, però no s’escala als usuaris habituals a causa de l’aparició de funcions de privadesa en els sistemes operatius com ara l’iOS d’Apple (a partir de la versió 15) que fan que la tanca IP sigui poc realista, atès que totes les connexions estan protegides darrere de Cloudflare. Els analistes del centre d’operacions de seguretat (SOC) tenen problemes per identificar aquestes connexions si el sistema d’identitat no està dissenyat per autenticar tant l’usuari com el dispositiu.

Quan veig la tanca IP desplegada, veig llacunes a les polítiques que fan excepcions per als dispositius BYOD. Això es deu al fet que l’autenticació d’un dispositiu BYOD no és fàcil d’aconseguir sense el consentiment de l’empleat. El 95  % de les organitzacions permeten que els seus empleats facin servir dispositius personals. No és possible tenir una tanca IP lligada a la identitat d’un usuari quan els usuaris tenen permís per fer servir els seus telèfons personals, perquè la majoria d’usuaris rebutgen i no permeten que la TI instal·li aplicacions de gestió de dispositius mòbils corporatives (MDM) als seus dispositius personals. Aquesta és la queixa més comuna que sento actualment dels departaments de TI.

Els atacants poden aprofitar la bretxa inevitable que es crea quan la tanca IP només s’aplica a Windows i s’exclouen els dispositius mòbils i macOS. El pirata informàtic tan sols ha d’actualitzar el seu navegador web per emular un telèfon, i ja hi és.

Aquesta falsificació de l’agent d’usuari erosiona la fiabilitat dels controls basats en IP, que no es poden aplicar de manera fiable als dispositius mòbils BYOD (sense que l’usuari consenti registrar el seu telèfon a MDM, desplegar un certificat o instal·lar una VPN). Això posa de manifest la necessitat d’evolucionar més enllà dels mecanismes de defensa estàtica i adoptar el paradigma de confiança zero.

El paper de FIDO2 i el compliment del dispositiu

Les limitacions de l’MFA i la tanca IP subratllen la urgència d’adoptar un marc de seguretat de confiança zero. FIDO2, amb els seus testimonis basats en maquinari, ofereix un salt significatiu de seguretat que proporciona una resistència sòlida a la pesca. Quan es combinen amb les comprovacions de compliment del dispositiu mitjançant una solució MDM com ara Microsoft Intune o VMware Workspace ONE, les organitzacions poden garantir que només tinguin accés a recursos sensibles els dispositius segurs i actualitzats. Aquesta estratègia no només aborda les deficiències dels mètodes anteriors, sinó que també s’alinea amb el principi de confiança zero que no confia en res i ho verifica tot.

Compatibilitat de navegació: La integració de les claus d’accés

Tot i que les claus de seguretat físiques de FIDO2 (com ara Yubikeys) representen un avenç significatiu en l’autenticació sense contrasenya i resistent a la pesca, els problemes de compatibilitat, especialment en dispositius mòbils, van plantejar reptes per a l’adopció, especialment a les botigues de Microsoft Enterprise. Tècnicament, era molt difícil per als usuaris finals no tècnics integrar-los amb els seus telèfons personals. No hi havia una solució completa, atès que les aplicacions d’autenticació encara no són resistents a la pesca. Finalment, la dependència de les claus de seguretat físiques va comportar obstacles i alhora costos logístics.

El concepte innovador de claus d’accés ofereix una solució prometedora. D’acord amb els estàndards FIDO, les claus d’accés són un reemplaçament de les contrasenyes que proporcionen inicis de sessió més ràpids, fàcils i segurs als llocs web i a les aplicacions mitjançant els dispositius d’un usuari. A diferència de les contrasenyes, les claus d’accés sempre són fortes, resistents a la pesca i estan limitades al dispositiu, i eliminen la necessitat de fer servir maquinari addicional. Les claus d’accés simplifiquen l’experiència de l’usuari tot eliminant la contrasenya. La iniciativa de Microsoft d’integrar claus d’accés a les seves funcions d’autenticació per a l’accés condicional a Microsoft Entra ID des del març de 2024 marca un pas fonamental cap a la simplificació i l’enfortiment de les pràctiques d’autenticació i segueix el compromís conjunt que Apple, Google i Microsoft van prendre el 5 de maig de 2022 d’adoptar l’estàndard de clau d’accés. Apple va complir el seu compromís amb la integració de les claus d’accés a iOS 16 i Google ho va fer a la tardor del 2023.

Els avantatges de les claus d’accés

Les claus d’accés destaquen per la seva resistència inherent a la pesca, atès que estan vinculades tant al dispositiu com al servei específic, i mitiguen els atacs de proxy AiTM basats en xarxa, com ara l’Evilginx2. Això canvia la batalla per a la defensa contra el robatori de testimonis d’actualització principal al dispositiu Windows.

Les claus no només milloren la seguretat, sinó que també milloren l’experiència de l’usuari i eliminen la necessitat de gestionar testimonis físics. El canvi a les claus d’accés representa una estratègia rendible per a les organitzacions, que redueix la sobrecàrrega associada a la distribució i substitució de testimonis físics.