Customize Consent Preferences

We use cookies to help you navigate efficiently and perform certain functions. You will find detailed information about all cookies under each consent category below.

The cookies that are categorized as "Necessary" are stored on your browser as they are essential for enabling the basic functionalities of the site. ... 

Always Active

Necessary cookies are required to enable the basic features of this site, such as providing secure log-in or adjusting your consent preferences. These cookies do not store any personally identifiable data.

No cookies to display.

Functional cookies help perform certain functionalities like sharing the content of the website on social media platforms, collecting feedback, and other third-party features.

No cookies to display.

Analytical cookies are used to understand how visitors interact with the website. These cookies help provide information on metrics such as the number of visitors, bounce rate, traffic source, etc.

No cookies to display.

Performance cookies are used to understand and analyze the key performance indexes of the website which helps in delivering a better user experience for the visitors.

No cookies to display.

Advertisement cookies are used to provide visitors with customized advertisements based on the pages you visited previously and to analyze the effectiveness of the ad campaigns.

No cookies to display.

A importância do MFA/2FA na proteção dos seus ambientes cloud

Partilhar

Acompanhe-nos ao longo deste artigo e descubra qual a importância do MFA/2FA na segurança dos seus ambientes cloud.

Para começar, é evidente que o panorama da segurança está a tornar-se mais complicado a cada dia que passa, com ameaças cada vez mais complexas e a multiplicarem-se incessantemente, e com uma necessidade cada vez maior por parte das empresas de implementar mais serviços cloud, o que torna a superfície de ataque muito maior do que há apenas alguns anos. Além disso, isto não afeta apenas as grandes empresas, mas afeta-nos a todos: seja qual for o tamanho da nossa organização, a nossa dependência aumenta a cada dia, a nossa exposição cresce exponencialmente e, infelizmente, o orçamento para a nossa infraestrutura e a nossa segurança não crescem em conformidade.

As nossas organizações precisam de ter métodos que protejam a infraestrutura a todos os níveis e com o menor custo possível. Por esta razão, acreditamos que uma das práticas mais eficazes neste domínio é ativar sistemas de autenticação multifator (Multi Factor Authentication) ou MFA, que por vezes veremos referido como 2FA quando falamos de apenas dois fatores de autenticação.

Ao longo deste pequeno artigo vamos falar sobre a necessidade de utilização de MFA nos nossos sistemas, principalmente aqueles expostos à internet sob a forma de cloud, falando também dos seus benefícios e possíveis desvantagens.

 

Introdução:

Antes de entrar em detalhes, devemos saber o que é o MFA, pelo que a primeira coisa a fazer é uma breve introdução à autenticação multifator (MFA).

A autenticação multifator (MFA) é um método de segurança que requer mais do que um meio de autenticação. Por outras palavras, requer pelo menos dois métodos de comprovação de que o utilizador é quem diz ser, ou seja, uma confirmação da identidade do utilizador. Para tal, normalmente são combinados dois ou mais métodos de autenticação.

Certamente que isto é algo familiar, mesmo que não seja um especialista em segurança, uma vez que hoje em dia muitas entidades, como os bancos, exigem a utilização deste tipo de métodos, combinando, por exemplo, o par clássico de nome de utilizador e palavra-passe com um cartão de coordenadas, uma mensagem para o telemóvel, entre outras.

Na realidade, isto baseia-se nos fatores de autenticação clássicos que são citados repetidamente em tantas palestras.

Quando falamos em fatores de autenticação, é feita uma divisão em três grupos:

  • Uma coisa que sabemos.
  • Uma coisa que temos.
  • Uma coisa que somos.

Vamos explicar estes conceitos:

  • Uma coisa que sabemos: refere-se a algo que conhecemos e que utilizamos para passar por um teste de validação. Exemplos típicos são a palavra-passe do nosso PC ou o código PIN do nosso telemóvel.
  • Uma coisa que temos: refere-se a algum elemento que podemos utilizar para nos validarmos, como por exemplo um cartão de segurança, um token ou um dispositivo como o telemóvel.
  • Uma coisa que somos: neste caso referimo-nos às características de um sujeito que permitem a identificação perante um sistema. A isto chama-se biometria e inclui elementos como impressões digitais, reconhecimento da íris ou reconhecimento facial.

 

Vantagens do MFA no mundo da cloud:

No mundo da segurança, os métodos de verificação multifatoriais (MFA) já provaram a sua importância, e escusado será dizer que o mesmo acontece no contexto do mundo da cloud, onde os dados e as aplicações podem ser acessíveis a partir de qualquer ponto do mundo e a qualquer momento, aumentando significativamente o risco de acessos não autorizados.

Os métodos de MFA acrescentam uma camada extra de segurança que, embora não seja infalível, ajuda a tornar mais difícil o trabalho dos atacantes. Comprometer contas e sistemas que antes só estavam protegidos por uma palavra-passe, é agora muito mais complexo.

O uso de palavras-passe pode ser facilmente contornado de diversas formas, como ataques de força bruta, ataques baseados em dicionário, ataques de phishing, olhares indiscretos ou utilizadores que deixem a palavra-passe anotada num post-it colado na secretária. Para todos estes casos, a utilização do MFA é uma solução perfeita, porque mesmo que alguém tenha uma das chaves que abre o caminho, os atacantes necessitarão de uma chave adicional que é bastante mais difícil de obter.

Assim, o MFA reduz de forma muito significativa os riscos de sofrer fraudes e outros ataques, uma vez que serão necessárias duas “chaves” em vez de uma. Isto é especialmente útil em casos de operações sensíveis, como pagamentos através de serviços bancários online ou semelhantes.

Para além do que já foi descrito, existe ainda a vantagem de que a implementação do MFA ajudará a cumprir determinados controlos e requisitos de normas como a ISO 27001 (Sistemas de Gestão de Segurança da Informação), além do RGPD, da PCI-DSS e da ISO 22301 (Sistemas de Gestão de Continuidade de Negócio). É evidente que uma medida como a implementação da AMF pode ajudar-nos a evitar sanções pelo incumprimento de alguns regulamentos.

Tudo isto aumenta a confiança do utilizador na nossa organização, uma vez que, ao implementar o MFA, as organizações aumentam a segurança com um custo mínimo de perturbação para o utilizador, o que faz com que a organização demonstre o seu compromisso com a segurança e proteção dos seus dados.

 

Possíveis problemas e desvantagens do MFA:

Na verdade, não devemos pensar que vai haver inconvenientes ou possíveis problemas na implementação de algo que traz tantos benefícios mas, como há sempre um “mas”, (neste caso podemos dizer que há vários), vamos falar de três coisas:

  • O custo da implementação do MFA.
  • A tecnologia e eventuais incompatibilidades.
  • A resistência à mudança.

Vamos falar um pouco sobre estes pontos e ver se conseguimos propor soluções:

  • O custo da implementação do MFA: como bem sabemos, nada é grátis nesta vida, e mesmo que utilizemos tecnologia livre, a implementação e arranque da tecnologia implicará uma série de custos associados: horas de trabalho da equipa, horas investidas em testes, formação e educação do pessoal… A forma de apresentar os custos deverá ser através da apresentação das vantagens, que acima de tudo se referem à segurança e à conformidade. Basicamente, podemos aproveitar todas as vantagens mencionadas no ponto anterior para convencer a nossa empresa que o custo será compensado sem problemas. Truque na manga: os custos de investimento são mínimos face às perdas que um problema de segurança pode trazer.
  • A tecnologia e eventuais incompatibilidades: poderemos encontrar possíveis incompatibilidades com a implementação do MFA, por isso devemos ser escrupulosos ao escolher o tipo de MFA a implementar. Podemos criar uma sandbox para saber qual é a solução que melhor se adapta às nossas necessidades.
  • A resistência à mudança: este é um desafio comum a todas as organizações quando enfrentam uma mudança, quer seja de paradigma, de forma de trabalhar, de política, etc. Afinal, todos gostamos de estar confortáveis, somos criaturas de hábitos e habituamo-nos até a coisas desagradáveis. Portanto, mesmo que exista uma grande vantagem ou melhoria nessa mudança, haverá sempre alguns indivíduos (internos ou externos) que resistem aos novos desenvolvimentos. Isto não é necessariamente um problema, mas pode sê-lo se não houver uma forma adequada de apresentar e gerir as novidades. Uma sugestão: abordar a mudança pelo prisma da educação e realçar os benefícios da segurança, falar sobre o quão pouco significa em termos de trabalho adicional e o quanto ajuda a proteger-nos. É fundamental, como em qualquer projeto, ter o apoio da equipa de direção da empresa para enfrentar possíveis resistências.

Conclusão:

Como vimos ao longo deste artigo sobre a importância do MFA/2FA na segurança dos seus ambientes de cloud, a implementação de uma solução 2FA ou MFA ajuda significativamente a nossa organização de diversas formas. Em primeiro lugar, do ponto de vista puro da segurança, ajuda a tornar os nossos sistemas muito mais resistentes a ataques ou explorações por players com más intenções. Por outro lado, do ponto de vista normativo, ajuda-nos a cumprir os requisitos das normas e leis sobre dados de proteção ou segurança e também a evitar qualquer eventual multa. Por último, podemos destacar o trabalho comercial, ao funcionar como incentivo para os utilizadores, que terão a perceção de que a empresa é mais segura ou que pelo menos tem uma posição ativa neste domínio.

Se está interessado neste e noutros temas relacionados com a segurança, pode ler o nosso blog onde poderá encontrar artigos como:

Ou visite a nossa secção de tutoriais para encontrar informação útil sobre vários temas.

E lembre-se, se tiver alguma dúvida pode sempre contactar-nos e falar connosco.

Obrigado pela companhia!

Categorias:Cloud e sistemas

Outros artigos que podem interessar-lhe

10 de Março de 2025
Sabemos que migrar ambientes cloud não é fácil, e ainda mais se se trata dos seus clientes empresariais, pequenas
6 de Março de 2025
Acompanhe-nos neste pequeno artigo, onde falaremos sobre como o Windows se comporta ao copiar ou mover dados no Armazenamento
26 de Dezembro de 2024
Como já sabe, na Jotelulu gostamos de fazer as coisas de forma diferente e, mais uma vez, vamos manter