Da solo il MFA non funziona

La Cybersecurity and Infrastructure Security Agency (CISA) degli Stati Uniti ha comunicato che il cyber crime ha aggirato i protocolli di autenticazione a più fattori (MFA) e quindi è riuscita ad accedere ad account dei servizi cloud di diverse aziende ed organizzazioni istituzionali.

Per riuscire nel loro intento malevolo hanno utilizzato diverse tattiche e tecniche come phishing ed accesso con forza bruta sfruttando i punti deboli delle sicurezza del cloud. Ciò dimostra che l’abilitazione di MFA può aiutare ma da sola non è sufficiente. Infatti, dei tanti tentativi identificati ed analizzati da CISA alcuni sono andati in porto.

CISA ritiene che questi malintenzionati siano stati in grado di sconfiggere i protocolli di autenticazione MFA come parte di un attacco “pass-the-cookie” in cui gli aggressori dirottano una sessione già autenticata utilizzando cookie di sessione rubati per accedere a servizi online o app web. L’agenzia ha anche osservato che gli aggressori utilizzano l’accesso iniziale ottenuto dopo aver effettuato il phishing delle credenziali dei dipendenti per eseguire il phishing di altri account utente all’interno della stessa organizzazione. In altri casi, gli autori delle minacce sono stati visti modificare o impostare regole di inoltro della posta elettronica e regole di ricerca per raccogliere automaticamente informazioni sensibili e finanziarie da account di posta elettronica compromessi.

Gli attacchi a cui si riferisce CISA hanno regolarmente preso di mira i dipendenti che hanno utilizzato dispositivi personali o forniti dall’azienda mentre accedevano ai servizi cloud della propria organizzazione da casa.

Le deboli pratiche di cyber igiene sono state la causa principale del successo degli attacchi, nonostante l’uso di soluzioni di sicurezza. MFA è uno degli aspetti dell’approccio ZERO TRUST, ma questo evento dimostra chiaramente che da solo non è sufficiente. Bisogna affiancare ad esso sistemi “sempre in allerta” in grado di rilevare preventivamente tentativi di attacco dall’esterno, elementi anomali già all’interno della rete aziendale e che tentano di muoversi lateralmente o di scalare i privilegi, ma anche quelli che rimangono ancora nascosti e silenti, analizzando i dati e pronti a “detonare” nel momento più opportuno. Diversi livelli di sicurezza tutti basati sulla fiducia-zero.