NSM anbefaler overgang til phishingresistent autentisering
NSM anbefaler virksomheter å gå over til passnøkler (passkeys) eller andre FIDO2-implementasjoner for autentisering. Årsaken er at aktører i økende grad tar seg forbi tradisjonell flerfaktorautentisering.
NSM har registrert en rekke phishingkampanjer der målet er økonomisk vinning, ofte via fakturasvindel. Kampanjene lar seg gjennomføre fordi virksomheter ikke påkrever phishingresistent autentisering.
Passnøkler erstatter passord og tradisjonelle flerfaktorløsninger. Passnøkler er teknologien industrien har standardisert seg på, og støttes av populære nettlesere, operativsystemer, mobiltelefoner, identitetsløsninger og skyløsninger.
Passnøkler hindrer angrepsmetoder der en angriper har tilgang til eller prøver å få tilgang til brukers passord. Dette inkluderer phishing, varselutmattelse, angriper-i-midten (AitM) og bruteforce. Passnøkler fjerner også risikoen med svake og gjenbrukte passord. Passnøkler oppnår dette ved å overta autentiseringsansvaret fra brukeren, slik at trusselaktører verken kan stjele eller lure til seg passnøklene.
Tiltak
NSM anbefaler å prioritere implementering av phishingresistent autentisering på Microsoft 365 og andre skyløsninger, samt identitetsløsninger og internetteksponerte tjenester. Prioriter spesielt utsatte brukere som økonomiansvarlige, ledere og systemadministratorer ved gradvis utrulling.
Phishingresistent autentisering som passnøkler må påkreves som eneste autentiseringsmekanisme for å hindre at brukerkontoer kommer på avveie. Skru derfor av passord og tradisjonelle flerfaktorløsninger.
For systemer som ikke støtter phishingresistent autentisering anbefaler NSM å begrense autentisering til flåtestyrte enheter med sikker innrullering. Dette innebærer at innrulleringen må gjøres av virksomhetens IT-avdeling; brukere må ikke selv kunne innrullere egne enheter. Alternativt anbefaler NSM å begrense innlogging til kjente IP-adresser. Det er ikke tilstrekkelig å begrense innlogging til Norge ettersom trusselaktører benytter norske IP-adresser.
Phishingresistente autentiseringsmekanismer
- Passnøkler (FIDO2)
- Windows Hello for Business
- Sertifikatbasert autentisering fra flåtestyrte enheter med sikker innrullering
- Smartkort (PKI)
- Andre FIDO2-implenentasjoner som for eksempel fysiske sikkerhetsnøkler
Implementasjon
Implementasjon av phishingresistent autentisering vil være virksomhets- og tjenestespesifikt. Microsoft 365 er den mest utsatte plattformen for angrep hvor aktører forbigår tradisjonell flerfaktorautentisering. Se Microsofts liste over støttede fysiske sikkerhetsnøkler og Microsofts veileder for implentasjon av passnøkler.
Tradisjonelle autentiseringsmekanismer som ikke er phishingresistent
- Passord
- Tidsbasert engangskode (TOTP)
- Engangskode (OTP) på SMS eller e-post
- Nummermatching (for eksempel via Microsoft Authenticator)
- Passordløs autentisering (for eksempel via Microsoft Authenticator)
Referanser
- https://fidoalliance.org/passkeys (ekstern nettside)
- https://www.nist.gov/blogs/cybersecurity-insights/giving-nist-digital-identity-guidelines-boost-supplement-incorporating (ekstern nettside)
- https://www.cisa.gov/sites/default/files/2023-01/fact-sheet-implementing-phishing-resistant-mfa-508c.pdf (ekstern nettside)
- https://www.microsoft.com/en-us/security/business/security-101/what-is-fido2 (ekstern nettside)
- HelseCERTs webinar om phishingresistent autentisering fra desember 2023: https://vimeo.com/893913105/a2899f5c18 (ekstern nettside)