# M1032 — Multi-factor Authentication ## Descrição Multi-Factor Authentication (MFA) enhances security by requiring users to provide at least two forms of verification to prove their identity before granting access. These factors typically include: - *Something you know*: Passwords, PINs. - *Something you have*: Physical tokens, smartphone authenticator apps. - *Something you are*: Biometric data such as fingerprints, facial recognition, or retinal scans. Implementing MFA across all critical systems and services ensures robust protection against account takeover and unauthorized access. This mitigation can be implemented through the following measures: ### Gerenciamento de Identidade e Acesso (IAM) - Usar soluções IAM como Azure Active Directory, Okta ou AWS IAM para aplicar políticas de MFA em todos os logins de usuários, especialmente para funções privilegiadas. - Habilitar políticas de Acesso Condicional para aplicar MFA em logins de risco (dispositivos desconhecidos, geolocalizações incomuns). - Restringir logins a dispositivos confiáveis registrados no Intune ou associados via Hybrid/Entra. ### Ferramentas e Métodos de Autenticação - Usar aplicativos autenticadores como Google Authenticator, Microsoft Authenticator ou Authy para senhas de uso único baseadas em tempo (TOTP). - Implantar tokens físicos como YubiKey, RSA SecurID ou smart cards para segurança adicional. - Aplicar autenticação biométrica para dispositivos e aplicações compatíveis. ### Proteção de Sistemas Legados - Integrar soluções de MFA com sistemas mais antigos usando ferramentas de terceiros como Duo Security ou Thales SafeNet. - Habilitar servidores RADIUS/NPS para facilitar MFA em VPNs, RDP e outros logins de rede. ### Monitoramento e Alertas - Usar ferramentas SIEM para monitorar tentativas falhas de MFA, anomalias de login ou tentativas de força bruta contra sistemas de MFA. - Implementar alertas para atividades suspeitas de MFA, como códigos falhos repetidos ou registros de novos dispositivos. ### Treinamento e Aplicação de Políticas - Educar funcionários sobre a importância do MFA e uso seguro de autenticadores. - Aplicar políticas que exijam MFA em todos os sistemas críticos, especialmente para acesso remoto, contas privilegiadas e aplicações em nuvem. ## Fluxo de Implementação ```mermaid graph TB A["Mapear Sistemas Criticos<br/>VPN, cloud, admin, email"] --> B["Selecionar Método MFA<br/>TOTP, hardware token, biometria"] B --> C["Configurar IAM/IdP<br/>Azure AD, Okta, Duo Security"] C --> D["Rollout Gradual<br/>Admins primeiro, depois usuarios"] D --> E["Monitorar e Alertar<br/>MFA fatigue, falhas repetidas"] ``` ## Contexto LATAM > [!globe] Relevância Regional > O MFA e a mitigação com maior impacto imediato no cenário brasileiro, onde ataques de MFA fatigue ([[t1621-multi-factor-authentication-request-generation|T1621]]) tem sido observados em campanhas contra bancos e fintechs. A adocao de MFA em PIX e internet banking impulsionou a conscientizacao no setor financeiro, mas PMEs e o setor público ainda apresentam lacunas significativas. > - Adocao em SOCs brasileiros: alto no setor financeiro, medio em outros setores > - Regulamentacoes relevantes: BACEN 4893 (autenticação forte obrigatoria para IFs), LGPD (proteção de dados pessoais), PCI-DSS 8.4 (MFA para acesso remoto ao ambiente de dados de cartao) > - Desafios regionais: custo de tokens fisicos, cobertura de celular em regioes remotas para SMS OTP, resistencia de usuarios a fluxos de autenticação mais longos ## Técnicas Mitigadas | ID | Técnica | |---|---------| | T1098.001 | [[t1098-001-additional-cloud-credentials\|T1098.001 — Additional Cloud Credentials]] | | T1040 | [[t1040-network-sniffing\|T1040 — Network Sniffing]] | | T1136.001 | [[t1136-001-local-account\|T1136.001 — Local Account]] | | T1669 | [[t1669-wi-fi-networks\|T1669 — Wi-Fi Networks]] | | T1556.003 | [[t1556-003-pluggable-authentication-modules\|T1556.003 — Pluggable Authentication Modules]] | | T1556 | [[t1556-modify-authentication-process\|T1556 — Modify Authentication Process]] | | T1213 | [[t1213-data-from-information-repositories\|T1213 — Data from Information Repositories]] | | T1599 | [[t1599-network-boundary-bridging\|T1599 — Network Boundary Bridging]] | | T1114 | [[t1114-email-collection\|T1114 — Email Collection]] | | T1621 | [[t1621-multi-factor-authentication-request-generation\|T1621 — Multi-Factor Authentication Request Generation]] | | T1078.001 | [[t1078-001-default-accounts\|T1078.001 — Default Accounts]] | | T1601 | [[t1601-modify-system-image\|T1601 — Modify System Image]] | | T1078.002 | [[t1078-002-domain-accounts\|T1078.002 — Domain Accounts]] | | T1136.002 | [[t1136-002-domain-account\|T1136.002 — Domain Account]] | | T1136.003 | [[t1136-003-cloud-account\|T1136.003 — Cloud Account]] | | T1078.003 | [[t1078-003-local-accounts\|T1078.003 — Local Accounts]] | | T1098.005 | [[t1098-005-device-registration\|T1098.005 — Device Registration]] | | T1110.003 | [[t1110-003-password-spraying\|T1110.003 — Password Spraying]] | | T1078.004 | [[t1078-004-cloud-accounts\|T1078.004 — Cloud Accounts]] | | T1601.002 | [[t1601-002-downgrade-system-image\|T1601.002 — Downgrade System Image]] | | T1098 | [[t1098-account-manipulation\|T1098 — Account Manipulation]] | | T1556.007 | [[t1556-007-hybrid-identity\|T1556.007 — Hybrid Identity]] | | T1021.004 | [[t1021-004-ssh\|T1021.004 — SSH]] | | T1539 | [[t1539-steal-web-session-cookie\|T1539 — Steal Web Session Cookie]] | | T1599.001 | [[t1599-001-network-address-translation-traversal\|T1599.001 — Network Address Translation Traversal]] | | T1098.003 | [[t1098-003-additional-cloud-roles\|T1098.003 — Additional Cloud Roles]] | | T1110.001 | [[t1110-001-password-guessing\|T1110.001 — Password Guessing]] | | T1114.002 | [[t1114-002-remote-email-collection\|T1114.002 — Remote Email Collection]] | | T1199 | [[t1199-trusted-relationship\|T1199 — Trusted Relationship]] | | T1021.001 | [[t1021-001-remote-desktop-protocol\|T1021.001 — Remote Desktop Protocol]] | | T1078 | [[t1078-valid-accounts\|T1078 — Valid Accounts]] | | T1136 | [[t1136-create-account\|T1136 — Create Account]] | | T1556.001 | [[t1556-001-domain-controller-authentication\|T1556.001 — Domain Controller Authentication]] | | T1485 | [[t1485-data-destruction\|T1485 — Data Destruction]] | | T1098.006 | [[t1098-006-additional-container-cluster-roles\|T1098.006 — Additional Container Cluster Roles]] | | T1021.007 | [[t1021-007-cloud-services\|T1021.007 — Cloud Services]] | | T1072 | [[t1072-software-deployment-tools\|T1072 — Software Deployment Tools]] | | T1110 | [[t1110-brute-force\|T1110 — Brute Force]] | | T1110.004 | [[t1110-004-credential-stuffing\|T1110.004 — Credential Stuffing]] | | T1110.002 | [[t1110-002-password-cracking\|T1110.002 — Password Cracking]] | | T1021 | [[t1021-remote-services\|T1021 — Remote Services]] | | T1133 | [[t1133-external-remote-services\|T1133 — External Remote Services]] | | T1098.002 | [[t1098-002-additional-email-delegate-permissions\|T1098.002 — Additional Email Delegate Permissions]] | | T1556.006 | [[t1556-006-multi-factor-authentication\|T1556.006 — Multi-Factor Authentication]] | | T1530 | [[t1530-data-from-cloud-storage\|T1530 — Data from Cloud Storage]] | | T1601.001 | [[t1601-001-patch-system-image\|T1601.001 — Patch System Image]] | | T1213.003 | [[t1213-003-code-repositories\|T1213.003 — Code Repositories]] | | T1556.004 | [[t1556-004-network-device-authentication\|T1556.004 — Network Device Authentication]] | --- *Fonte: [MITRE ATT&CK — M1032](https://attack.mitre.org/mitigations/M1032)*