MFA em VPN: O Controle Mais Crítico Contra Ransomware
Resposta direta
55% dos ataques Akira documentados pelo CISA (alerta AA24-109A) tiveram origem em VPN Cisco sem MFA. O controle é barato (poucos dólares por usuário/mês), rápido de implementar (horas a dias) e bloqueia o vetor #1 de ransomware corporativo em 2026.
Por que VPN sem MFA é o alvo preferido
Atacantes modernos não invadem por exploit zero-day na maioria dos casos: compram credencial vazada na darknet (Initial Access Broker, ~US$ 1.000-10.000) e usam para logar via VPN sem MFA. A partir daí, propagam lateralmente até comprometer Active Directory. Com MFA ativo, mesmo credencial vazada não permite acesso: o atacante precisaria também roubar o segundo fator (token TOTP, push notification, hardware key). Em 99% dos casos, isso o leva a procurar outro alvo. MFA não impede 100% dos ataques, mas tira a empresa do alvo fácil.
Erros frequentes na implementação
- 1.MFA opcional para alguns usuários. Atacantes encontram exatamente esse usuário sem MFA. Aplique para 100% sem exceção.
- 2.SMS como único fator. SIM swap é prática crescente. Use TOTP (Google Auth, Authy) ou push (Duo, Microsoft Authenticator) como padrão.
- 3.Permitir 'remember device' permanente. Limite a 7-30 dias máximo. Dispositivo comprometido se autentica para sempre sem limite.
- 4.Não bloquear logins sem MFA via política. Se a configuração permite fallback para sem MFA, o atacante força esse caminho. Política técnica deve negar.
Perguntas frequentes
Qual provedor de MFA recomendar?
Para empresas no ecossistema Microsoft: Microsoft Authenticator + Conditional Access (incluído em Microsoft 365 Business Premium). Para multi-vendor: Cisco Duo (líder em integração com VPN). Para PMEs sem Microsoft: Authy ou Google Workspace MFA.
MFA atrapalha produtividade?
Push notification leva 2-3 segundos. Comparar com 50.000-500.000 USD de resgate médio em ataque. ROI é gritante.
Como aplicar em VPN Cisco AnyConnect?
Cisco Duo integra nativamente via RADIUS proxy. Tempo de implementação: 4-8 horas para configurar e testar. Roll-out gradual em 1-2 semanas.
FortiGate suporta MFA?
Sim nativamente via FortiToken ou integração SAML com qualquer IdP (Azure AD, Okta, Duo). FortiOS 7+ recomendado.
E se o usuário perde o celular?
Procedimento padrão: usuário liga TI, valida identidade por outro meio (videochamada, pergunta de segurança), TI revoga MFA e re-inscreve com novo dispositivo. Tempo médio: 15 minutos. Vale a chateadura.
Quer ajuda para implementar MFA na sua VPN?
Consultoria de hardening VPN + AD + EDR.