Como os riscos globais de segurança cibernética são abundantes, MFA, do inglês Multi Factor Authentication, é uma das maneiras mais eficazes de proteger o acesso e evitar violações. Embora a MFA tenha ganhado força nos últimos dois anos, ela ainda não está em uso generalizado. Por quê? Para que a adoção da MFA realmente decole, as organizações precisam entender o valor real da MFA e como implementá-la com eficácia.
Fora do trabalho, a maioria das pessoas ignora a opção de autenticação de dois fatores (MFA) ou está relutante em se inscrever por alguns motivos comuns: confiança equivocada em senhas, frustração ou confusão sobre configuração ou pura preguiça. Menos de 10% das contas do Google têm autenticação de dois fatores ativada e apenas cerca de 12% dos americanos usam gerenciadores de senhas.
Isso levou muitos gigantes da tecnologia a tornar a MFA obrigatória: o Salesforce agora exige a MFA, o Google está tornando a MFA obrigatória para todos os usuários e ferramentas cloud e a Amazon.com Inc. tornou obrigatório em 2020. Algumas empresas demoram a implementar a MFA, e infelizmente, a mesma atitude persiste no local de trabalho, com a adoção de MFA corporativa ainda baixa.
As organizações geralmente acreditam em mitos comuns de MFA, vendo apenas como uma ferramenta para as maiores organizações, ou a mais privilegiada das contas de administrador do Windows, contas de serviço do Active Directory e qualquer coisa que tenha domínio sobre a maior parte do ambiente de rede. No entanto, a MFA é igualmente importante para pequenas e grandes organizações. Não importa o tamanho da sua organização, seus dados são igualmente confidenciais e devem ser bem protegidos. Se a MFA deve ou não ser apenas para as contas mais privilegiadas, merece uma análise mais detalhada.
E como seguir com um plano para aumentar as taxas de adoção de MFA? Dê uma nova olhada na segurança! Vamos começar conferindo a abordagem de segurança por trás da ideia de “contas privilegiadas”.
Proteger o login é o primeiro passo para fazer o gerenciamento de acesso privilegiado (PAM) funcionar. Cada organização tem um equilíbrio diferente, mas você reduzirá os riscos estendendo a segurança pelo caminho “não privilegiado” possível.
Na antiga abordagem de segurança baseada em perímetro, não falamos muito sobre a segurança da conta de usuário “média”. No entanto, o foco mudou graças à mudança em massa para o trabalho remoto e a rápida transição de muitas organizações para um ambiente híbrido que abrange tanto a rede corporativa quanto a nuvem.
O Princípio do Mínimo Privilégio é mais relevante do que nunca
O princípio do privilégio mínimo – a prática de limitar o acesso dos usuários a apenas conjuntos de dados, aplicativos e sistemas de que eles absolutamente precisam – existe há anos (a Microsoft escreveu sobre isso em 1999). Como as ameaças de ataque hoje são ainda maiores, o privilégio mínimo é mais pertinente do que nunca à estratégia de segurança de uma organização :
1) Ataques externos alavancam contas de usuários para obter controle sobre endpoints, mover-se lateralmente dentro da rede e, por fim, adquirir acesso direcionado a dados valiosos.
2) Insiders aproveitam seu próprio acesso concedido ou outras contas comprometidas para aproveitar dados e aplicativos para fins maliciosos.
Veja, menos privilégio não é realmente sobre privilégio. Trata-se do uso comprometido de uma conta “privilegiada”. Portanto, um dos principais aspectos de uma estratégia de privilégio mínimo é monitorar o uso de contas privilegiadas.
A chave para o sucesso está no monitorando o acesso a todas as contas!
O gerenciamento de acesso privilegiado (PAM) é viável para monitorar contas realmente privilegiadas, como contas de administrador do Active Directory. No entanto, não serve ao propósito de monitorar a atividade de todos os usuários da organização.
Um ponto de acesso essencial fornece às organizações indicadores claros de que uma conta está sendo usada corretamente ou foi comprometida: o logon.
Qual a fórmula ideal para aplicar MFA a todas as contas?
Para a organização moderna, o valor real da MFA está em proteger qualquer conta com acesso a dados, aplicativos e sistemas críticos. Como todos os usuários atribuem direitos e privilégios de acesso, todos os usuários são algum tipo de usuário privilegiado.
Dicas para implantar a MFA
Preparação é fundamental! A aplicação da MFA a todos os usuários exige mais planejamento do que se você aplicasse a MFA apenas a contas privilegiadas. Seja qual for o tamanho da sua empresa, aqui estão seis pontos principais a serem lembrados antes de implantar a MFA:
- Proteger logins melhora significativamente sua postura de segurança.
- MFA é para todos, não só para usuários com privilégios.
- A MFA não precisa ser frustrante para os departamentos de TI.
- A MFA deve equilibrar a segurança do usuário e a produtividade do usuário.
- Eduque e capacite seus usuários para pedir e ajudar outras pessoas com suporte ferramenta de MFA.
- O compromisso e a adesão da gestão são fundamentais eles garantirão o sucesso da aplicação da tecnologia.
Libertando o verdadeiro valor da MFA
O verdadeiro aumento da adoção de MFA trará uma mudança mais fundamental na postura de segurança da organização.
Quanto mais as organizações entenderem o valor da aplicação dos princípios de privilégios mínimos e gerenciamento de contas privilegiadas a todas as contas, maior será o engajamento sobre a vantagem de proteger os logins de todos os usuários.
As organizações se esforçarão mais para encontrar um equilíbrio entre a produtividade e a segurança dos funcionários. Quando isso acontecer, prepare-se para ver a demanda por MFA granular e personalizável explodir.