a. Escolher um fornecedor de MFA confiável
Uma das decisões mais importantes ao implementar a MFA para usuários é escolher o fornecedor certo. Os seguintes aspectos devem ser observados na seleção do fornecedor:
A forma como é verificada a aderência à conformidade integrada à solução de MFA;
Capacidade de fornecer suporte para vetores de ameaças em evolução;
Capacidade de dimensionar a solução de MFA de forma eficaz de acordo com as necessidades da organização;
O grau de segurança e confiabilidade da solução de MFA;
O nível de atrito da solução de MFA; e
Facilidade de implementação e implantação da solução MFA na organização.
b. Focar na facilidade de uso da solução de MFA
Geralmente, a escolha de uma solução de MFA é feita a partir da avaliação das necessidades da organização, considerando o tipo de dados que precisam ser protegidos e a complexidade dos requisitos de segurança. No entanto, é imperativo considerar o nível de atrito exigido para os usuários.
Se a solução escolhida for muito complexa ou difícil de utilizar, os usuários podem:
Sofre de fadiga de MFA, ou seja, serem sobrecarregados com tantas notificações que acabem se descuidando e aprovando uma solicitação indevida;
Tentar contornar a solução de MFA.
A experiência do usuário é fundamental para o sucesso de uma implantação bem sucedida de MFA, portanto, a conveniência do usuário deve permanecer em primeiro plano.
c. Oferecer uma variedade de fatores de autenticação
Uma forma de garantir a conveniência de uso da MFA para os usuários é escolher uma solução de MFA que ofereça uma variedade de métodos de autenticação disponíveis para os usuários escolherem. Isso pode incluir uma combinação de biometria, como impressão digital, varreduras de retina e reconhecimento facial, ou outras opções, como tokens de hardware , SMS/mensagens de texto, verificação de chamada/ e-mail , perguntas de segurança, tokens de software .
Além da conveniência de uso, a existência de diferentes tipos de usuários em uma organização torna necessário ter a disposição várias opções de fatores de autenticação.
Por exemplo, dependendo do grau de segurança de uma organização, seus usuários internos podem ser impedidos de utilizar os dispositivos móveis enquanto estiverem no ambiente de trabalho, o que impediria uma solução que se baseasse em autenticação por Push ou por SMS. Da mesma forma, usuários que estejam em constante deslocamento sentiriam maior dificuldade em usar um link de email como uma forma de autenticação ao invés de uma notificação por Push ou por SMS.
Usar uma variedade de fatores para MFA também ajuda os usuários a configurar mais de um fator e depois usá-lo conforme sua conveniência.
É importante ressaltar que o meio de recuperação de senha e o meio de autenticação de segundo fator não sejam os mesmos.
Por exemplo, se uma organização oferecer recuperação de senha por meio de um link de e-mail , ela deve certificar-se de não utilizar o link de e-mail como autenticação de segundo fator pois ter a mesma fonte para recuperação de senha e MFA reduz a segurança para apenas uma fonte - conta de e-mail neste caso.
d. Selecionar soluções de fácil implantação e gerenciamento
Uma das formas de tornar a prática de MFA sustentável numa organização é garantir que o processo de implantação e o gerenciamento da solução de MFA será realizado com facilidade pela equipe de TI.
Idealmente, deve-se procurar soluções que permitam implantar a solução de MFA facilmente para todos os usuários, sem a necessidade de nenhum hardware ou software adicional.
Além disso, deve-se escolher uma solução MFA que se adapte bem à infraestrutura existente. Para isso, a solução deve observar os seguintes fatores:
capaz de trabalhar com todos os sistemas operacionais utilizados na organização
permitir sua integração com o sistema de autenticação existentes, como o Active Directory ou outro tipo de sistema LDAP em uso. Caso ela não permita essa integração, utilizando um sistema de diretórios próprios, é necessário considerar as dificuldades que podem surgir em sua administração; e
fornecer mecanismos que permitam sua distribuição de forma centralizada, sem a necessidade de sua instalação, de forma individual, pela organização.
Por fim, recomenda-se que a solução MFA deva ter um painel unificado para que os administradores avaliem rapidamente as consultas dos usuários e possam responder a problemas, quando necessário.
e. Implementar a solução de MFA em toda a organização
A solução de MFA precisa ser escalável para que possa ser:
implantada em toda a organização; e
capaz de crescer junto com a organização.
Não se deve limitar a autenticação MFA a funções de usuário específicas, ou seja, todos os usuários devem ser obrigados a usar autenticação MFA para qualquer acesso à conta em toda a organização, independentemente da confidencialidade das informações. Isso garante que nenhuma conta de usuário fique desprotegida.
Implantar uma solução de MFA apenas para silos ou grupos específicos é um exercício de futilidade e deve-se tomar os devidos cuidados para garantir que todos os pontos de acesso sejam cobertos pela MFA. Isso também inclui todas as cargas de trabalho na nuvem.
As práticas de segurança precisam ser consistentes em toda a organização, com cuidado especial dedicado a MFA em relação ao acesso remoto por seus usuários. Idealmente, a implantação da solução MFA deve abranger todos os usuários finais (incluindo usuários privilegiados), aplicativos na nuvem e locais, VPN, logins de servidor e elevação de privilégios.
Proteger todos os tipos de usuários é o objetivo final do processo. A fase de implantação pode abranger um tipo de cada vez e gradualmente abranger todos os tipos de usuários.
f. Utilizar uma solução de MFA adaptável
Em alguns cenários, pedir constantemente aos usuários que concluam a MFA para autenticação pode ser uma experiência frustrante. Nesses casos, a adoção de autenticação adaptável ou progressiva é uma abordagem melhor.
Uma solução MFA adaptável usa informações contextuais para determinar se deve solicitar outro fator para autenticação do usuário ou não.
Esses contextos podem ser localização, IP, rede, dispositivo, comportamento ou qualquer coisa completamente dependente de requisitos definidos pela organização. Essa abordagem também é útil para proteger contas contra ataques de força bruta. Por exemplo, o contexto pode ser “solicitar outro fator para concluir a autenticação se a senha errada for digitada 3 vezes consecutivas”.
g. Educar os usuários em relação a MFA
Parece um ponto simples, mas educar os usuários é uma das práticas recomendadas mais importantes para a devida adoção da MFA. A maioria dos pesquisadores acredita que o elo mais fraco na cadeia de segurança é o usuário. Portanto, nenhuma quantidade de parâmetros pode garantir uma melhor segurança se os usuários não a estiverem usando de maneira eficaz.
É crucial começar a educar adequadamente os usuários sobre a importância da MFA e sobre como usá-la corretamente. Em especial, os usuários devem compreender os seguintes aspectos:
As necessidades e vantagens para o usuário em adotar uma MFA; e
O objetivo final da adoção de uma MFA para a organização.
h. Combinar a MFA com o Single-Sign On (SSO)
A autenticação SSO oferece uma ótima experiência do usuário, e a combinação da MFA com SSO pode oferecer uma experiência de usuário mais tranquila e fortalecer a segurança.
Além disso, dessa forma, os usuários não precisam inserir uma senha na primeira etapa da autenticação, pois o SSO usa uma conta de usuário existente para isso. Ao mesmo tempo, a segunda etapa da autenticação permanece a mesma do caso de autenticação por senha, ou seja, um OTP, link de e-mail , token , biometria, etc.
i. Estabelecer um fator de resistência
Embora a MFA forneça segurança adicional, ela também é vulnerável a ataques, especialmente se não for implementado corretamente.
Como prática recomendada geral de MFA, as organizações precisam garantir que sua solução MFA seja configurada com segurança e que os usuários saibam como usá-la com eficiência.
Além disso, as organizações devem implantar diferentes fatores de autenticação com base em funções. Contas privilegiadas devem sempre utilizar fatores de alta resistência a ataques (isso geralmente cria um maior nível de atrito). Fatores considerados bons o suficiente, mas que gerem menor nível de atrito, podem ser implantados para funções de usuário com menos privilégios.
j. Reavaliar a MFA periodicamente
As ameaças de segurança estão sempre evoluindo. Por este motivo, as organizações devem reavaliar periodicamente a MFA para garantir que a solução implementada ainda atenda às necessidades dos usuários e das organizações e, ao mesmo tempo, também atenda aos requisitos de segurança refinados.
5. Considerações Finais
A maioria das organizações é muito hábil e rápida em se adaptar a novas tecnologias para obter melhores resultados de negócios ou produtividade, mas isso raramente é o caso quando se trata de melhorar sua postura geral de segurança.
Os benefícios do uso de autenticação MFA não estão limitados à área de TI. Embora seja do conhecimento geral que o uso de MFA pode proteger contra acesso não autorizado, violação de dados e ataques cibernéticos baseados em senha, os benefícios do uso da MFA vão muito além da segurança e essas são implicações que devem ser de conhecimento tanto da alta administração da organização bem como de seus usuários, internos e externos.
Dentre os benefícios esperados pelo uso de autenticação MFA temos:
Maior confiança dos usuários e da cadeia de suprimentos – a segurança está começando a desempenhar um grande papel na forma como uma organização é percebida por outras pessoas no setor e, mais importante, por seus usuários. Isso inclusive pode ser o fator decisivo numa decisão de estabelecimento de acordos entre organizações. Ressaltar o compromisso da organização com a segurança, adotando em conjunto com a MFA um padrão Zero Trust Security , por exemplo, tem um alto impacto na percepção dos usuários e potenciais parceiros.
Redução dos custos operacionais – o bom uso de autenticação MFA pode reduzir sensivelmente os custos operacionais de uma organização. Basta, por exemplo, calcular quanto custa cada vez que uma organização precisa notificar seus usuários sobre atividades suspeitas em suas contas. A autenticação MFA reduz sensivelmente o risco de fraude, exigindo menos esforços de suporte técnico e deixando a equipe de serviço livre para se concentrar em problemas mais técnicos ou de negócios. Embora a implantação da MFA certamente irá exigir um investimento inicial, esse custo se pagará muitas vezes a longo prazo.
Melhor controle do roubo e fraude de identidade – o roubo de senhas tem se tornado trivial para a maioria dos invasores. A autenticação MFA torna essa atividade muito mais difícil ao exigir dois ou mais métodos de verificação de identidade. Isso leva automaticamente a uma redução significativa no número de fraudes e roubo de identidade que as organizações enfrentam regularmente, graças as medidas de segurança adicionais implantadas e informações que não estão facilmente disponíveis para agentes mal-intencionados.
Textos: João Alberto Muniz Gaspar
Produção: Secretaria de Segurança da Informação e Cibernética
Comments