As identidades são os principais insumos na defesa (e também no ataque) de um ambiente em nuvem. Com elas que realizamos nossas tarefas do dia a dia e acessamos os sistemas e aplicações da nossa organização. Garantir a integridade dos acessos e a garantir da segurança de uma conta é fundamental para a boa operaçaõ do ambiente em nuvem. Por isso, hoje falaremos sobre MFA e as possibilidades disponibilizadas pelo Microsoft Entra ID.
A importância do MFA
Garantir a segurança nos acessos dos funcionários da sua organização é fundamental para a manutenção da boa operação dos ambientes em nuvem. O mercado vem aderindo à tendência de ambientes passwordless, fugindo das credenciais tradicionais e combinando fatores de autenticação que façam uso de outros recursos. Independente do modelo de autenticação adotado pela sua organização, o MFA é exigência para manter a tranquilidade e segurança do ambiente.
A solução de MFA escolhida pela sua organização irá variar de acordo com os recursos disponíveis e também com os casos de uso apresentados pelos stakeholders. As restrições que os ambientes impõem e os custos das soluções (compra, distribuição, operação, resolução de problemas) são pontos que podem rapidamente inviabilizar uma ferramenta escolhida para servir como solução de MFA corporativa.
Por isso é de extrema importância que antes de se definir às cegas qual solução deve ser utilizada na organização, os times técnicos e de negócio tenham ciência dos requisitos funcionais e não funcionais apresentados pelo negócio.
Nas próximas seções, vamos discutir as possibilidades expostas pelo Entra, bem como suas aplicações e seus controles.
MFA no Entra ID
O desenho acima nos fornece uma visão interessante sobre os diferentes tipos de MFA disponíveis no Entra ID, bem como seu posicionamento em uma escala que julga as soluções como não recomendadas (soluções à esquerda) e recomendadas (soluções mais à direita).
Note que como qualquer recomendação, as menções sobre uma solução ser boa ou ruim, são apenas recomendações. Apenas você pode avaliar uma solução como boa no contexto da sua organização, seja por capacidade de segurança ou puramente por restrições em relação ao ambiente/aplicação.
O insight que é importante tirar dessa imagem é a ida para as soluções passwordless, soluções essas que já são uma realidade há anos. Para garantir a proteção de mais alto nível para os ambientes, sua organização deve caminhar para implementar esse modelo em um futuro próximo.
Agora que interpretamos o diagrama, entraremos em mais detalhes sobre as soluções representadas acima, e em cada caso, comentaremos os motivos da colocação da ferramenta na posição onde se encontra.
Soluções disponíveis
Começando pelas senhas, são cadeias de caracteres que foram previamente cadastradas pelo usuário. Estão sujeitas aos vetores de ataque mais comuns (password spray, engenharia social, phishing, etc.). O usuário utiliza a credencial previamente cadastrada para acessar as aplicações e apenas esse primeiro fator de autenticação satisfaz a segurança do acesso.
Evoluindo a estratégia de segurança da nossa empresa, temos agora a configuração de um segundo fator de autenticação, podendo ser um OTP enviado via SMS ou via chamada de voz. O uso de qualquer um dos dois realmente eleva a segurança do acesso, mas ainda não deixa o ambiente da organização protegido da forma que deveria. Ambas as soluções são vulneráveis a ataques de engenharia social, onde é possível que um atacante engane o usuário a fornecer o código repassado a ele.
Melhorando ainda mais a segurança do nosso ambiente, temos a adoção de "2FAs" mais poderosos (porém ainda orquestrados com uma credencial). Aqui passamos a fazer uso de "algo que o usuário tem" que permite que o acesso ao nosso ambiente seja mais reforçado. Esses métodos de MFA são resistentes aos vetores de ataque mencionados anteriormente, porém o elo frágil nesse modelo são as credenciais, que ainda tornam os usuários suscetíveis a esses ataques. As soluções representadas nesse modelo são o hardware OTP tokens, os software OTP tokens e o microsoft authenticator.
PASSWORDLESS! Chegamos ao suprassumo das formas de autenticação. Nesse modelo, esquecemos completamente das senhas, não serão mais utilizadas pelos usuários da nossa organização no acesso aos sistemas da empresa. Aqui podemos fazer uso de soluções extremamente seguras e recomendadas pelas principais referências de cibersegurança do mercado. O uso das chaves FIDO2 Key, Microsoft Authenticator (somado da digital ou biometria facial para confirmação do login), certificados e Windows Hello for Business (fazendo uso da leitura biométrica ou da digital nos dispositivos que a tem disponível) possibilita uma experiência completamente sem senhas e sem os principais fardos que são gerados pelo uso delas.
Estratégias de adoção
Antes de configurarmos qualquer recurso em nosso ambiente, devemos ter ciência do que será impactado com aquelas mudanças (e principalmente se algo der errado). É importante que decisões como essa, que afetam uma organização em toda sua escala, sejam comunicadas aos usuários finais e aos times de suporte, para que saibam como agir quando forem acionados.
Outra boa prática é realizarmos o lançamento dessas funcionalidades de maneira faseada, isto é, iniciar com um grupo pequeno de usuários e com o passar das semanas incluir mais usuários nos grupos de teste, até o momento em que a organização estará madura para suportar uma migração total desses usuários.
Registration Campaign
Esse recurso do Entra permite configurar alguns controles que garantem que todos os usuários registrem seus dispositivos e habilitem o Microsoft Authenticator para que possa ser utilizado em seus acessos posteriores.
Nesse exemplo, estamos permitindo que os usuários adiem o registro do dispositivo no máximo 3 vezes, sendo obrigados a seguir o fluxo de registro após os 3 adiamentos.
Policies
Pensando em implementar controles de acordo com o método de autenticação escolhido, nessa blade podemos configurar regras de uso e também controlar quem pode utilizar determinado recurso (extremamente útil quando estamos testando ao mesmo tempo diversos métodos e queremos garantir que um não tenha interferência no outro).
Todos os métodos terão duas seções, "Enable and Target" e "Configure". Em "Enable and Target" você poderá configurar quais usuários e grupos poderão utilizar aquele recurso (pelo menos até que seja ativo globalmente no tenant), em "Configure" você entra em configurações mais específicas do método, variando de recurso para recurso.
Reporting Suspicious Activity
Um recurso interessante para incrementarmos a segurança das soluções de MFA são os alertas de atividade suspeita. Uma vez configurado, os usuários poderão notificar que estão recebendo tentativas de autenticação que não foram eles que iniciaram. Esse report classifica o acesso do usuário como de alto risco, o colocando como alvo de possíveis políticas de acesso condicional que podem estar configuradas em seu ambiente.
Algumas ações das políticas de acesso condicional podem exigir que o usuário: altere a senha ou registre novamente o dispositivo no Entra.
Weekly Digest
Com a proposta de fornecer visibilidade das atividades do tenant aos administradores, uma vez configurado, esse recurso envia e-mails semanais aos usuários e grupos cadastrados, contendo informações sobre os acessos considerados arriscados identificados pelo ID Protection.
Implementação
Indo além dos recursos mencionados anteriormente, uma peça fundamental para toda a estratégia de segurança da sua organização (não apenas para a implementação das soluções de MFA) são as Regras de Acesso Condicional. Essas regras determinam qual controle deve ser aplicado, em quais aplicações essas regras devem ser implementadas e quais usuários e grupos sofrerão os impactos dessas regras.
Com o conditional access nós podemos personalizar as atividades que devem ser cumpridas pelos usuários de acordo com os cenários que são apresentados. Nós podemos interpretar os acessos baseados no nível de risco que eles apresentam e aí sim controlar de diferentes maneiras o que deve ser feito. Podemos também implementar proteção contra os ataques mais sofisticados, garantindo a integridade máxima dos nossos ativos.
Estabeleça um padrão para criar e utilizar as políticas de acesso condicional, aplique-as de maneira faseada até que cubram todos os acessos da organização. Document corretamente o processo de montagem da política, bem como o que ela faz e quais públicos atinge. E acima de tudo, governe corretamente as políticas do seu ambiente, para evitar que políticas existentes sejam muito alteradas e percam seu propósito. Essas mudanças sem histórico podem gerar riscos sérios por não serem planejadas e deixarem alguma "porta aberta" no seu tenant.
Arquitetura
Pensando em unificar todos os pontos que tratamos nesse artigo, trago esse desenho de alto nível que demonstra todas as capacidades que utilizariamos para implementar uma arquitetura que disponibiliza aos usuários uma série de soluções de MFA e ao mesmo tempo, implementa controles de segurança para garantir a integridade dos dispositivos e dos acessos.
Todos os recursos devem ter seu uso bem planejado e configurado, sempre tendo em mente o usuário final.
Sua empresa não terá ganhos se implementar controles e proteções que dificultam o dia a dia do usuário. Sistemas com usabilidade ruim (por excesso de controles ou aplicação errada dos mesmos) fará com que os usuários busquem caminhos alternativos para acessar aquela aplicação, não seguindo os baselines determinados pelos times de segurança.
Outro ponto que é importante destacar é a visibilidade do ambiente. Precisamos ter monitoramento constante por parte das ferramentas de SIEM da sua empresa nos eventos privilegiados gerados no seu tenant. Isso garantirá que as atividades consideradas suspeitas possam ser avaliadas pelo time de SOC da organização, garantindo um controle ainda mais granular e efetivo em cima dos acessos.
Não é de um dia para outro que uma organização passa a adotar soluções de MFA de maneira corporativa, isso leva tempo. O importante é que caso sua organização ainda não tenha esses controles implementados, você comece levantar os riscos de ter o ambiente tão desprotegido.
Esse artigo foi construído para te fornecer um ponto de partida para iniciar a implementação do MFA, sugerindo alguns controles e mencionando os principais recursos, utilizados em quase todas as arquiteturas.
Espero que tenha gostado, nos vemos na semana que vem.
Até logo"