Microsoft agerade för sent pÄ stora sÀkerhetshot, sÀger Okta exec

Microsoft agerade för sent pÄ stora sÀkerhetshot, sÀger Okta exec


Microsofts plan att inaktivera en mycket osÀker form av identitetsautentisering senare i Är kommer att ge ett rejÀlt uppsving för cybersÀkerhetsinsatser, men Àr ocksÄ efterlÀngtad, enligt en chef pÄ Okta.

För vissa Ă€ldre Office 365-konton Ă€r det som kallas “grundlĂ€ggande autentisering” det enda alternativet som stöds för inloggning. Konton med grundlĂ€ggande autentisering, eller “grundlĂ€ggande autentisering”, kan endast sĂ€kras med ett standardanvĂ€ndarnamn och lösenord. Det betyder att sĂ„dana konton inte stöder multi-factor authentication (MFA) – vilket anses vara en mycket sĂ€krare metod.

Eftersom grundlĂ€ggande autentiseringskonton inte stöder MFA, riktar angripare hĂ„rt mot kontona – inklusive med taktik som lösenordssprayning som syftar till att Ă€ventyra ett svagt sĂ€kert konto, har forskning frĂ„n bĂ„de Microsoft och Okta funnit.

Microsoft har lovat att inaktivera grundlÀggande autentisering, ibland kallad Àldre autentisering, i oktober (med undantag för skrivare, som Àr undantagna.)

Det Ă€r ett vĂ€lkommet drag, och Ă€ven mycket sent, enligt Marc Rogers, executive director of cybersecurity pĂ„ Okta – leverantören av en snabbt vĂ€xande identitets- och Ă„tkomsthanteringsplattform som integreras med de flesta Microsoft-produkter.

‘Det Ă€r dĂ„ligt’

I slutÀndan har Microsofts ovilja att agera tidigare för att eliminera Àldre identitetsautentisering tillÄtit en stor sÀkerhetsrisk att bestÄ mycket lÀngre Àn den borde ha gjort, sa Rogers.

“Det Ă€r dĂ„ligt att det har tagit sĂ„ lĂ„ng tid att gĂ„ vidare”, sa han i en intervju med VentureBeat. “Vi har vetat att Ă€ldre autentisering har varit riskabelt i mer Ă€n ett decennium. Det var bara 2018 som Microsoft verkligen satte press pĂ„ och sa, ‘Vi ska göra nĂ„got Ă„t ​​det’.”

Microsoft avböjde att kommentera denna artikel.

Microsoft kallar identitet den “nya slagmarken” inom cybersĂ€kerhet, och indikerade i sin egen rapport den hĂ€r mĂ„naden att de gör en kraftfull insats för att pĂ„skynda införandet av MFA för Azure Active Directory- och Office 365-kontoinnehavare. MFA fortsĂ€tter att ha blygsam anvĂ€ndning, trots den bevisade effektiviteten av att krĂ€va flera former av autentisering vid inloggning.

Som ett exempel rapporterade Microsoft förra mĂ„naden att de hade avslöjat en stor ny nĂ€tfiskekampanj som anvĂ€nde en ny taktik, enhetsregistrering – men den var frĂ€mst framgĂ„ngsrik i fall dĂ€r MFA inte anvĂ€ndes för att sĂ€kra konton. MFA “förblev kampanjen för de flesta mĂ„l”, sa Microsoft i ett inlĂ€gg. “För organisationer som inte hade MFA aktiverat, fortskred attacken dock.”

GrundlĂ€ggande autentisering fortfarande “genomtrĂ€ngande”

Microsoft avböjde att ge information om antalet grundlĂ€ggande autentiseringskonton som anvĂ€nds aktivt för nĂ€rvarande. Men grundlĂ€ggande autentisering fortsĂ€tter att vara “genomtrĂ€ngande nog att vi fortfarande ser stora volymer av förfrĂ„gningar som gĂ„r igenom den”, sa Rogers.

I sitt tillkÀnnagivande frÄn 2018 sa Microsoft att de skulle inaktivera grundlÀggande autentisering i oktober 2020. Men slutdatumet har skjutits upp tvÄ gÄnger pÄ grund av pandemin och Àr nu planerat till oktober 2022.

Rogers sa att han inte skyller pĂ„ Microsoft för de pandemirelaterade förseningarna i att fasa ut grundlĂ€ggande autentisering. “Men om de hade rört sig snabbare tidigare, dĂ„ skulle vi inte vara i situationen,” sa han.

En Okta-rapport förra mÄnaden fann att Office 365-konton med grundlÀggande autentisering Àr 10 gÄnger mer benÀgna att bli föremÄl för angripare Àn konton med modern autentisering som stöder MFA. För varje legitimt inloggningsförsök till ett grundlÀggande autentiseringskonto finns det i genomsnitt 53 skadliga inloggningsförsök för kontona, fann Okta.

Med andra ord, “du Ă€r mycket mer benĂ€gen att bli attackerad om du har Ă€ldre autentisering,” sa Rogers.

För regering och utbildning Àr förhÄllandet Ànnu högre, konstaterade Okta. Dessa kunder ser 104 skadliga inloggningsförsök respektive 65 skadliga inloggningsförsök för varje legitimt inloggningsförsök till ett grundlÀggande autentiseringskonto.

Microsoft har sjÀlv tillhandahÄllit ett antal statistik som visar farorna med grundlÀggande autentisering. Baserat pÄ en analys av Azure Active Directory-konton Àr 99 % av lösenordssprayattacker och 97 % av autentiseringsattacker inriktade pÄ grundlÀggande autentiseringskonton, enligt Microsofts data. Praktiskt taget ingen av dessa attacker Àr inriktade pÄ konton som stöder MFA.

För organisationer som har inaktiverat grundlÀggande autentisering helt, ser Azure AD-konton 67 % fÀrre kompromisser, sa Microsoft.

Göra övergÄngen

Rogers sa att utgivningen av denna statistik visar att Microsoft “börjar producera en del solidt material om hur riskabelt Ă€ldre autentisering Ă€r.”

“Men varför har det tagit dem sĂ„ lĂ„ng tid att börja skicka dessa meddelanden?” han sa.

FramĂ„t, “mĂ„ste vi fortsĂ€tta driva dessa meddelanden ytterligare – för i vissa fall kommer det att finnas organisationer som inte har hört budskapet,” sa Rogers.

”Meddelanden Ă€r nog en av de viktigaste sakerna [Microsoft] kan göra. Och direkt stöd till de organisationer som Ă€r [still on basic auth],” han sa.

“De vet vem som anvĂ€nder Ă€ldre autentisering, eftersom de kontrollerar slutpunkterna som autentiseras mot,” sa Rogers. “SĂ„ de mĂ„ste arbeta hĂ„rt för att driva ut meddelandena som detta mĂ„ste migreras bort frĂ„n. Om det behövs mĂ„ste de göra det sĂ„ billigt som möjligt för organisationer att göra det.”

För organisationer som behöver migrera bort frÄn grundlÀggande autentisering, gav Rogers information om de viktigaste stegen för övergÄngen. Han gav följande till VentureBeat:

· Granska dina loggar för anvÀndning av Àldre autentisering

· Bedöm vilka programvaruappar eller Outlook-plugin-program etc som autentiserar med Àldre protokoll. Om dessa appar inte stöder modern autentisering, leta efter alternativ. I de flesta fall kommer du att upptÀcka att det finns en modern, OAuth2-kompatibel alternativ app att migrera anvÀndare till. (Detta Àr den del av saneringen som brukar ta mest tid, sÄ det Àr bÀst att börja hÀr.)

· BestÀm framtida Ätkomstpolicyer för dina anvÀndares e-postklienter. Om din organisation kommer att fortsÀtta att tillÄta Ätkomst frÄn ohanterade enheter, bestÀm vilka appar IT-teamet ska stödja och skrÀddarsy dina rÄd till anvÀndarna dÀrefter.

· Konfigurera faktorer (MFA) som förberedelse för att endast acceptera modern autentisering.

· SÀtt igÄng din Àndringshantering: LÄt anvÀndarna veta vilka appar som kommer att stödjas nÀr du byter över, och förbered dem för en lite annorlunda autentiseringsupplevelse nÀr de kommer Ät sin Exchange Online-postlÄda (en webblÀsarbaserad inloggningsskÀrm visas)

· Aktivera modern autentisering i Exchange Online.

· Uttryckligen neka Àldre autentisering i alla policyer. Om det finns nÄgra appar/klienter som du inte har kunnat ÄtgÀrda innan övergÄngen, skapa tillfÀlliga undantag som filtrerar pÄ anvÀndaragent och plats. Projektet slutar inte förrÀn den hÀr listan har minskat till noll!

· Detta behöver inte vara en kostsam övning. Det krÀver bara engagemang och tid.

VentureBeats uppdrag ska vara ett digitalt stadstorg för tekniska beslutsfattare att fÄ kunskap om transformativ företagsteknik och handla. LÀs mer om medlemskap.