Por qué la autenticación multifactor (MFA) no es suficiente para cumplir con los requisitos de CMMC

A medida que la Base Industrial de Defensa (DIB) mira hacia 2023, las empresas deben considerar el impacto que tendrá la Certificación del Modelo de Madurez de Ciberseguridad (CMMC) en sus contratos. El Instituto Nacional de Estándares y Tecnología (NIST) ha dicho que planea publicar las actualizaciones de la Publicación especial (SP) 800-171 en «finales de la primavera de 2023», mientras que el Departamento de Defensa (DoD) ha indicado que las empresas pueden ver el lenguaje CMMC en las solicitudes tan pronto como mayo 2023.

Con estos desafíos en mente, las organizaciones deben ser proactivas al considerar dónde implementar solo los mínimos básicos de cumplimiento crea riesgos de ciberseguridad. A medida que el panorama continúa evolucionando, las organizaciones que mantienen información no clasificada controlada (CUI) pueden encontrar que la autenticación multifactor (MFA) no es suficiente para cumplir con los requisitos de CMMC.

Las migas de pan reguladoras de MFA

Nada en el mundo de CMMC es sencillo, por lo que es importante seguir el rastro de migas de pan de CMMC a través de las diferentes publicaciones del NIST.

Comience con CMMC IA.L2-3.5.3 Autenticación de múltiples factores

Él Guía de evaluación de nivel 2 estados:

Utilice la autenticación multifactor para el acceso local y de red a cuentas privilegiadas y para el acceso de red a cuentas no privilegiadas.

Desde aquí, la guía de evaluación lo reenvía a NIST SP 800-171 3.5.3.

NIST SP 800-171 Familia de control de identificación y autenticación (IA)

Dentro de la familia de control IA, NIST describe los pasos necesarios para garantizar que los usuarios que acceden a las redes sean quienes dicen ser.

Él Requisito NIST define MFA como una combinación de dos o más de los siguientes:

  • Algo que sabes (una contraseña)
  • Algo que tienes (un token o dispositivo móvil)
  • Algo que eres (un biométrico como una huella dactilar o una identificación facial)

Las organizaciones también deben tener en cuenta que NIST 800-171 explica:

Además de autenticar a los usuarios en el nivel del sistema (es decir, en el inicio de sesión), las organizaciones también pueden emplear mecanismos de autenticación en el nivel de la aplicación, cuando sea necesario, para brindar una mayor seguridad de la información.

¿Por qué no es suficiente MFA?

MFA siempre será un importante control de seguridad. Actúa como una línea secundaria de protección en la capa de identidad. Sin embargo, los actores maliciosos han encontrado recientemente formas de eludir este control a través de sofisticados ataques basados ​​en SMS.

Ataques a la cadena de suministro

En agosto de 2022, los actores de amenazas implementaron ataques contra Cloudflare y Twilio. Como parte de estos sofisticados ataques de spear phishing basados ​​en SMS, los actores malintencionados enviaron a los empleados una notificación de restablecimiento de contraseña junto con un enlace bien disfrazado. Además, el servicio de mensajería de cifrado de extremo a extremo, Signal, fue uno de los 125 clientes afectados por el ataque, lo que finalmente provocó un impacto descendente en aproximadamente 1900 de sus clientes.

CMMC existe precisamente porque la naturaleza interconectada del DIB significa que un contratista afectado crea un riesgo de seguridad de datos de la cadena de suministro de flujo descendente.

Ataques con bombas MFA

A medida que las organizaciones implementan MFA, los atacantes buscan formas de evitarlo. En un ataque de bombardeo de MFA, también llamado MFA push spam o fatiga de MFA, los atacantes abruman a los usuarios enviando grandes volúmenes de mensajes de texto, esperando que el usuario acepte el intento de autenticación para detener las notificaciones. En septiembre de 2022, los atacantes usaron este táctica contra Uberinfectando el dispositivo personal de un contratista externo con malware que expuso y comprometió las credenciales.

Con el aumento de estos ataques sofisticados, los miembros de DIB necesitan controles adicionales que refuercen sus protecciones MFA.

Mobile Threat Defense: Aumento de MFA para el cumplimiento integral de CMMC

Es imperativo que tenga en cuenta cómo los actores de amenazas pueden eludir sus controles como parte de Cumplimiento de CMMC. Es crucial implementar MFA, pero también debe reforzar sus controles de seguridad para mitigar estos nuevos riesgos.

Mobile Threat Defense (MTD) complementa sus herramientas de administración de dispositivos móviles (MDM) y administración de aplicaciones móviles (MAM) para un enfoque integral de la seguridad móvil.

MDM habilita el dispositivo:

  • Despliegue
  • Configuración
  • administración

MAM le permite:

  • Establezca controles para diferentes aplicaciones en un dispositivo administrado
  • Aplicar controles para diferentes aplicaciones en un dispositivo administrado

Sin embargo, ninguno de estos enfoques responde realmente a los problemas únicos que causan los ataques basados ​​en MFA.

Con MTD, los miembros de DIB aumentan sus tecnologías de seguridad de dispositivos móviles actuales con lo siguiente:

  • Monitoreo continuo en tiempo real
  • Evaluación de aplicaciones después de la implementación y durante el tiempo de ejecución
  • Detección y protección de dispositivos móviles, aplicaciones y usuarios finales contra ataques a través de redes inalámbricas
  • Detectar ataques contra una aplicación o software de sistema operativo, como aplicaciones de carga lateral
  • Detectar y alertar a los usuarios sobre interacciones inesperadas entre aplicaciones o el uso de datos en el dispositivo

Complementar la formación de concienciación sobre la seguridad

Los sofisticados ataques de phishing de lanza de SMS basados ​​en MFA incorporan información sobre amenazas en los objetivos previstos y los envían a páginas de destino maliciosas, especialmente diseñadas y de aspecto legítimo. MTD complementa su capacitación de concientización sobre seguridad con aprendizaje automático y de comportamiento que detecta ataques móviles a dispositivos, redes, phishing y aplicaciones, incluso cuando un dispositivo no está conectado a la red.

Mitigar los riesgos del sistema operativo móvil (SO)

El sistema operativo de un dispositivo móvil a menudo viene con vulnerabilidades y puede estar abierto a configuraciones incorrectas. MDM y MAM bloquean sus dispositivos e implementan políticas de seguridad. MTD aumenta y completa el programa de seguridad de su dispositivo móvil al superar las amenazas que surgen de los enlaces maliciosos integrados en los ataques de phishing basados ​​en SMS. Es posible que los usuarios distraídos con pantallas pequeñas de teléfonos inteligentes no puedan determinar si el enlace es malicioso porque no pueden simplemente usar la capacidad de «desplazamiento» que harían con un mouse. MTD cierra esta brecha de seguridad, lo que permite una seguridad sólida y el cumplimiento de CMMC.

Proteja la superficie de ataque ampliada

Muchas empresas se olvidan de proteger el componente móvil de su superficie de ataque. Cada dispositivo móvil es un vector de ataque potencial que forma parte de una cadena de ataque más grande. En un ataque de spear phishing basado en SMS, el reconocimiento incluye recopilar información sobre empleados y servicios, y luego comunicarse con estas personas. Al aprovechar los sitios web maliciosos, comprometen las credenciales que pueden conducir al acceso al sistema empresarial. MTD cierra la brecha de seguridad que crean MDM y MAM al proporcionar visibilidad de las amenazas dirigidas a los terminales móviles. Con MTD, puede reducir la superficie de ataque de su dispositivo móvil.

Zimperium: defensa contra amenazas móviles para DIB

A medida que los contratistas de DIB implementan controles de seguridad alineados con las prácticas de CMMC, MTD es fundamental para asegurar CUI, especialmente para organizaciones con fuerzas de trabajo distribuidas.

Como pionero en seguridad móvil, los zIPS de Zimperium brindan seguridad avanzada para empresas y agencias gubernamentales en el DIB para que puedan cumplir con las prácticas de CMMC. Como el primer proveedor de MTD al que se le otorgó una autorización para operar (ATO), Zimperium es utilizado por muchas organizaciones gubernamentales, incluido el Departamento de Defensa.

zips es la única solución MTD patentada en el dispositivo con las capacidades técnicas para proteger CUI de amenazas persistentes avanzadas conocidas y de día cero en Android, iOS y ChromeOS. Nuestra tecnología especialmente diseñada proporciona a las empresas y agencias gubernamentales una experiencia centrada en la privacidad. Mantenemos los dispositivos móviles seguros sin depender de búsquedas basadas en la nube, escaneo de contenido u otras técnicas que invadan la privacidad.

Nuestro motor Zimperium z9 actualizable dinámicamente impulsa zIPS con técnicas de comportamiento y aprendizaje automático para detectar ataques móviles a dispositivos, redes, phishing y aplicaciones sin necesidad de actualizaciones o una conexión de red activa. Combinado con nuestro análisis avanzado de aplicaciones z3A, zIPS realiza un análisis en profundidad de aplicaciones móviles para detectar riesgos de privacidad y seguridad, con clasificaciones de privacidad detalladas, clasificaciones de malware, clasificaciones de seguridad y configuraciones de privacidad de aplicaciones personalizables.

Para obtener más información sobre cómo Zimperium puede ayudarlo a lograr sus objetivos de cumplimiento de CMMC, contáctenos hoy.

Fuente del artículo

Deja un comentario