Aziende che richiedono ai clienti di utilizzare l'MFA
Aprile 2020, pieno boom di Zoom. Quando è scoppiata la pandemia da COVID, i dipendenti sono stati costretti a lavorare da casa, le riunioni in presenza hanno lasciato il posto alle videoconferenze e Zoom è diventato lo strumento di comunicazione per elezione. La sua crescita rapida ed esponenziale ha offerto agli attaccanti nuove opportunità di attacco. Bastava una vulnerabilità di Zoom per consentire a un hacker di rubare le credenziali Windows di un utente, purché quest'ultimo cliccasse su un link fornito in una sessione di Zoom. Il punto, quindi, era capire come entrare in queste sessioni private. La risposta è arrivata nel giro di poche settimane.
Un database con circa 530.000 credenziali Zoom valide è stato venduto nel dark web. Se Zoom è stato hackerato? No, gli attaccanti hanno preso gigabyte di credenziali rubate nel corso degli anni e hanno sfruttato un attacco di "credential stuffing" per capire quali funzionassero con Zoom. Ne funzionavano centinaia di migliaia. In sostanza, l'attacco mira a testare il login dell'utente mediante l'uso di credenziali rubate, solitamente in un'altra fuga di dati. Ad esempio, se uso la stessa password per LinkedIn e Zoom e le mie credenziali sono state rubate durante un attacco a LinkedIn (il più famoso risale al 2012, quando furono rubati 6,5 milioni di credenziali), il credential stuffing avrebbe funzionato con Zoom.
Questo succede perché si tende a usare sempre la stessa password. A meno che non si abbia un gestore di password, è impossibile averne una diversa per ogni accesso digitale. Gli utenti tendono ad avere 3-5 password per tutti gli account, magari facendo qualche piccola variazione, come i numeri alla fine.
È per questo forse che, all'inizio del 2021, Salesforce ha annunciato che il 1° febbraio 2022 l'uso dell'MFA sarebbe diventato obbligatorio per tutti gli utenti. Immaginiamo se Salesforce, il CRM più conosciuto sul mercato, subisse un attacco di credential stuffing. Un evento del genere metterebbe a rischio la sicurezza di migliaia, se non centinaia di migliaia di account, con tutti i relativi contatti e informazioni commerciali sensibili. Ora Salesforce inizierà ad abilitare automaticamente l'MFA nel corso dell'anno. E, tra parentesi, le password monouso inviate tramite SMS o e-mail non saranno accettate, in quanto ritenute estremamente vulnerabili agli attacchi multipli.
Google ha intrapreso la stessa strada. A maggio del 2021, ha annunciato che avrebbe imposto e abilitato automaticamente l'autenticazione a due fattori (2FA) per i nuovi utenti. A febbraio 2022, si contavano oltre 150 milioni di utenti della 2FA per gli account Google, nonché 2 milioni per i creatori di YouTube.
Sta di fatto che la cultura dell'MFA è ormai molto diffusa. Le aziende che desiderano avvalersi di un'assicurazione informatica sono tenute a dimostrare di proteggere e-mail, server, accesso remoto e dati sensibili con l'MFA. I governi la stanno imponendo alle proprie agenzie e fornitori.
Il mercato sta andando in questa direzione e da anni gli MSP sono i leader di questa transizione.
A luglio del 2019, Corey Nachreiner di WatchGuard ha parlato della minaccia rappresentata dagli attacchi che prendono di mira gli MSP. Invece di attaccare un'azienda alla volta, perché non puntare agli MSP, in modo che il ransomware possa essere distribuito contemporaneamente a tutti gli account gestiti da loro? Grazie ad alcune console di gestione di ConnectWise, Kaseya, Webroot e servizi RDP, gli hacker sono riusciti a realizzare con successo un grosso attacco a danno degli MSP.
Chad Bacher, l'allora SVP di Webroot, aveva dichiarato che per garantire la migliore protezione all'intera comunità di clienti Webroot, l'azienda aveva deciso che era il momento di rendere obbligatoria l'autenticazione a due fattori. E aveva ragione. Se l'MFA è importante per tutelare le risorse di un'azienda, lo è ancora di più proteggere la console di gestione di un MSP.
A giugno del 2020, i servizi segreti statunitensi hanno lanciato un allarme in merito a un aumento degli attacchi sferrati agli MSP, naturalmente per aumentare al massimo il numero di aziende colpite. Nel loro comunicato, raccomandavano ai clienti degli MSP di "adottare l'autenticazione a due fattori per tutti gli accessi remoti".
Analogamente, la Cybersecurity & Infrastructure Security Agency (CISA) degli Stati Uniti, insieme all'FBI e all'NSA, ha pubblicato un avviso nel settembre 2021, per via della forte crescita delle infezioni da ransomware Conti. Il comunicato riportava che la maggior parte degli attacchi veniva condotta attraverso l'accesso remoto ai server (RDP) utilizzando credenziali rubate o vulnerabili. Uno dei provvedimenti immediati suggeriti era implementare l'MFA per gli RDP.
Oggi, la tendenza degli MSP è quella di aggiungere l'MFA ai pacchetti di gestione. Invece di essere una funzionalità opzionale, ora fa parte dei servizi di base, al fine di garantire sia la sicurezza degli account gestiti che quella degli stessi MSP, che non possono proprio permettersi grandi infezioni da ransomware a danno dell'intero portfolio. E l'MFA, formando adeguatamente gli utenti, rappresenta un'arma potente e importante per contrastare l'accesso ai dati sensibili e la distribuzione di ransomware.