Autenticação adaptativa
A autenticação de credenciais baseadas em conhecimento (como senhas e PINs) pode ser vulnerável a ataques como preenchimento de credenciais, ataques de força bruta e ataques de observação. Para proteger a autenticação contra o uso indevido de credenciais, as soluções começaram a incorporar fatores personalizados, dando origem à autenticação multifator (MFA). O MFA exige uma camada adicional de verificação que não pode ser replicada.
No entanto, para autenticar usuários que operam em um ambiente híbrido e composto — que inclui infraestruturas on-premises e em cloud — é importante que o MFA (autenticação multifator) seja sensível à instância. Como os ambientes híbridos tendem a acomodar dispositivos que não são monitorados por políticas e soluções definidas pela empresa, as organizações correm o risco de adicionar um vetor de ameaça potencial ou um elo fraco à sua cadeia de suprimentos. Essas lacunas são abordadas pela autenticação adaptativa.
Ao verificar um endpoint, as soluções precisam avaliar fatores contextuais para ajustar o rigor de suas medidas de autenticação. A autenticação adaptativa, também conhecida como autenticação contextual ou baseada em risco (RBA), implementa esse mecanismo em camadas.
O que é autenticação adaptativa e como ela funciona?
A autenticação adaptativa aumenta ou diminui a intensidade da verificação após avaliar indicadores importantes de comportamento suspeito do usuário durante a análise da postura do dispositivo. Esses indicadores servem de base para as políticas de acesso contextual da empresa.
Enquanto a verificação padrão baseada em senha espera que o usuário forneça um conjunto previsível de credenciais para verificação, a autenticação adaptativa vai além, avaliando fatores externos para aumentar ou diminuir o rigor das medidas de autenticação. Ela também expande as capacidades do MFA (autenticação multifator) ao adotar uma abordagem contextualizada para suas operações. Após definir um procedimento de login padrão, a implementação de uma estratégia de autenticação adaptativa envolve a análise do perfil de risco.
O que é um perfil de risco?
Uma métrica fundamental para medir a vulnerabilidade potencial de um endpoint a ameaças, o perfil de risco ajuda a implementar a autenticação adaptativa, levando em consideração as mudanças contextuais.
Em conformidade com o PDP/PEP (Ponto de Decisão de Política/Ponto de Aplicação de Política) da organização, um perfil de risco pode ser criado avaliando os seguintes fatores:
Fatores estáticos, que incluem informações contextuais predefinidas associadas ao usuário ou dispositivo. Esses fatores também se referem ao perfil de identidade básico do cliente, criado por meio de algoritmos de IA e ML.
Fatores dinâmicos, que correspondem aos indicadores que resultam no desvio do comportamento basal do usuário.
Com base na pontuação (classificada como alta, média ou baixa), a intensidade da autenticação e o acesso subsequente podem ser determinados pelo autenticador. O acesso é concedido para dispositivos com uma pontuação de risco mais baixa e negado para aqueles com uma pontuação mais alta.
Se o risco for médio, o autenticador toma uma das seguintes decisões:
OTP via notificações
Para entregar mensagens urgentes e enviar solicitações que requerem etapas adicionais de verificação, os sistemas de autenticação enviam notificações push para os dispositivos dos usuários via e-mail, SMS, etc.
Autenticação multifatorial
Acionar uma solicitação de MFA (autenticação multifator) é uma das ações mais comuns realizadas pela autenticação adaptativa. Alguns dos fatores de autenticação solicitados incluem dados biométricos (como impressões digitais ou reconhecimento facial), perguntas de segurança e solicitações de PIN.
Tokens
Como o token FIDO U2F, que pode ser usado para acessar qualquer serviço online que permita o protocolo de autenticação FIDO U2F.
Fatores que contribuem para o perfil de risco da autenticação adaptativa
Alguns dos fatores utilizados para determinar ocorrências anômalas incluem:
Fatores do dispositivo
As soluções de autenticação adaptativa também utilizam informações baseadas em entidades para avaliar a identidade de um cliente. Os fatores do dispositivo são de dois tipos: reconhecimento e contexto do dispositivo. Enquanto o reconhecimento de um dispositivo se baseia em sua identidade, como fabricante e modelo, o contexto representa fatores externos, como geolocalização, rede utilizada, configuração do sistema operacional, tipo de navegador, etc. Com a ampla adoção do BYOD (Bring Your Own Device - Traga Seu Próprio Dispositivo), as organizações enfrentam o desafio de acomodar dispositivos gerenciados e não gerenciados sem comprometer sua postura de segurança e a aplicação de políticas.
Fatores ambientais
Isso corresponde à localização do usuário e aos riscos associados. Se um usuário tentar autenticar sua identidade de uma área remota, a autenticação adaptativa verifica a tentativa detectando sua localização por meio de coordenadas GPS ou endereço IP. O fator ambiental é ponderado para detectar atividades de deslocamento suspeitas e também bloquear usuários que tentam acessar a rede da organização a partir de um local proibido pela empresa.
Fatores comportamentais
O comportamento do usuário pode ser um importante indicador de atividades digitais anômalas. Alguns dos indicadores comuns incluem informações de registro, histórico de pesquisa, dinâmica de digitação, etc. Para determinar os principais atributos comportamentais, a autenticação adaptativa deve extrair insights de informações relacionadas ao usuário obtidas por meio de ferramentas de análise de comportamento de usuários e entidades (UEBA) e gerenciamento de informações e eventos de segurança (SIEM).
Fatores de atributo
Credenciais baseadas em funções, como cargo e data de admissão, podem ser usadas para categorizar usuários. O rigor da autenticação pode ser definido com base no nível de acesso a ativos sensíveis da organização.
Casos de uso para autenticação adaptativa
A autenticação adaptativa abrange uma ampla gama de situações, incluindo:
Fator | Caso de uso | Como a autenticação adaptativa pode resolver isso? |
Dispositivo | Quando um usuário apresenta uma mudança drástica no histórico de seus dispositivos. Por exemplo, um funcionário tenta acessar a rede da empresa por meio de um novo dispositivo ou quando um dispositivo terceirizado tenta fazer login. | Analisa a pegada digital do usuário, como o agente do usuário e os cookies do navegador, e adiciona outra camada de autenticação com base em fatores contextuais (como o sistema operacional utilizado) antes de permitir o acesso. |
Ambiental | Quando as redes são vulneráveis a ciberataques com segmentação geográfica. O direcionamento baseado em localização emergiu como uma técnica conveniente para que atacantes patrocinados por Estados-nação lancem ciberataques contra países-alvo. | Utiliza a tabela de consulta de coordenadas de geolocalização formada por organizações e seus respectivos endereços IP, com base na qual os administradores podem decidir se permitem ou negam o acesso. |
Comportamental | Um usuário insere credenciais incorretas repetidamente durante a autenticação. | Sinaliza a ação como suspeita após um determinado número de tentativas e intensifica a verificação, solicitando ao usuário que forneça credenciais personalizadas. |
Atributo | Quando um usuário solicita acesso a um arquivo confidencial. Por exemplo, quando um usuário sem privilégios administrativos solicita acesso a um arquivo CSV para cadastrar novos usuários. | Usuários designados terão acesso ao recurso após a autenticação em uma etapa. No entanto, para que um usuário não designado obtenha acesso, ele precisará concluir a autenticação multifator, desde que o usuário designado tenha delegado permissões de acesso ao recurso. |
Controle de acesso adaptativo: uma extensão do RBA
Com o controle de acesso adaptativo, a percepção contextual pode ser ampliada ao longo de toda a atividade digital do usuário. De acordo com o NIST , o controle de acesso adaptativo autoriza contas de usuário avaliando sua "identidade, necessidade da missão e o nível de risco de segurança existente entre o sistema acessado e o usuário". O objetivo do controle de acesso adaptativo é otimizar as informações obtidas a partir do perfil de risco da autenticação adaptativa para delegar o acesso.
Artigo traduzido. Conteúdo original escrito por Aravind.