מיקרוסופט פרסמה נתון מדהים: פריסת MFA מונעת 99.9% ממתקפות האחזקה של חשבונות. עם זאת, ב-2024 עדיין עשרות אחוזים מהעובדים בארגונים ישראלים אינם מוגנים ב-MFA. הפער הזה הוא הסיבה מספר אחת להצלחת מתקפות Phishing ו-Credential Stuffing.
לא כל MFA שווה – סדר עדיפויות
- 1Hardware Key (FIDO2/YubiKey) – הכי חזק, עמיד ב-Phishing, מומלץ לחשבונות Admin
- 2Authenticator App (TOTP) – Microsoft/Google Authenticator, מאוד טוב לכלל המשתמשים
- 3Push Notification – נוח אבל פגיע ל-MFA Fatigue attacks
- 4SMS OTP – הכי פחות מומלץ, פגיע ל-SIM Swap, אבל טוב מ-כלום
MFA Fatigue Attack
תוקפים שולחים עשרות Push notifications עד שהמשתמש אישר מתוך עייפות. Uber, Cisco ו-Microsoft נפגעו ממתקפה זו ב-2022. הפתרון: Number Matching ו-Additional Context בהתראות ה-Push.
תוכנית פריסה לארגון של 50 משתמשים
- 1שבוע 1 – Admin Accounts First: כל חשבונות Administrator/Global Admin מקבלים MFA מיידית. אין יוצא מן הכלל.
- 2שבוע 2-3 – Executive + Finance: מנכ"לים, CFO, HR, Finance – מטרות עיקריות לתוקפים.
- 3שבוע 4-6 – כלל הארגון: גל פריסה עם הדרכה קצרה, קישור למדריך צעד-אחר-צעד.
- 4חודש 2 – Conditional Access: הגדרת מדיניות גישה מבוססת-הקשר (מיקום, מכשיר, שעה).
- 5חודש 3 – Audit ו-Cleanup: בדיקת ציות, חשבונות ללא MFA, Service Accounts.
שאלות נפוצות על MFA
- מה עם Service Accounts? – השתמשו ב-Managed Identity או Certificate-based Auth, לא סיסמאות ידניות
- מה אם עובד אבד את הטלפון? – הגדירו Backup Codes מראש ו-Recovery Process ברור
- האם MFA מגן על VPN? – כן, וחובה. VPN ללא MFA הוא שער פתוח
- Legacy Protocols (SMTP/IMAP) – חסמו אותם! הם עוקפים MFA בדרך כלל
אם יש פעולה אחת שאתם עושים השבוע לשיפור האבטחה – פרסו MFA על כל חשבונות ה-Admin. זה הצעד הבודד עם ה-ROI הגבוהה ביותר בכל תחום הסייבר.
MFA2FAאימותZero TrustIAM