Atenție la atacurile de oboseală MFA

Share

În fiecare zi, oamenii sunt bombardați cu notificări. Faceți clic pe aceasta, apăsați pe aceea, bip-uri, alarme, sunete, lista continuă și mai departe. Uneori trebuie să te întrebi cum poate cineva să facă ceva.

Când faci ceva în mod repetat, devine memorabil până la punctul în care nici măcar nu-i mai dai atenție. Gândește-te de câte ori ai auzit pe cineva referindu-se la a face ceva „fără să te gândești”. Și fiecare infractor cibernetic știe că ori de câte ori oamenii sunt distrași sau copleșiți, este o oportunitate. Acțiunile pe care le faceți automat, fără nicio emoție sau deliberare conștientă, sunt ușor de exploatat.

Autentificarea cu mai mulți factori (MFA) este considerată pe scară largă ca un pas critic către îmbunătățirea securității. În loc să solicite doar un nume de utilizator și o parolă pentru a accesa o resursă, MFA adaugă un alt „factor” pentru a identifica cine sunteți, cum ar fi cheile de acces, o parolă unică (OTP), datele biometrice sau un simbol hardware. MFA îmbunătățește securitatea, deoarece chiar dacă o acreditare este compromisă, în teorie, orice utilizator neautorizat nu ar putea îndeplini a doua cerință de autentificare.

Ce este oboseala MFA?

Problema cu MFA este că poate fi enervant. Ca orice alt tip de notificare, dacă primiți o mulțime de notificări MFA, este posibil să nu acordați atât de multă atenție cum ar trebui. Și pe asta se bazează actorii amenințărilor. Ei speră că, erodând atenția utilizatorilor dvs., acești utilizatori distrași le vor oferi acreditările MFA de care au nevoie pentru a se autentifica într-un mediu securizat. Această tactică este denumită „oboseală MFA” și a primit mai multe notificări din cauza încălcărilor importante împotriva unor companii precum Uber, Cisco, Twitter, Robinhood, Okta și utilizatorii Office 365.

Oboseala MFA este un tip de atac de tip phishing. În cadrul MITRE ATT&CK, este definit ca o modalitate de a „ocoli mecanismele de autentificare multifactor (MFA) și de a obține acces la conturi prin generarea de solicitări MFA trimise utilizatorilor”.

Ce este un atac de oboseală MFA?

Modul în care funcționează atacul este că un hacker primește acces la un nume de utilizator și o parolă ale unui angajat, care sunt apoi folosite pentru a încerca o conectare. Aceasta declanșează o notificare push cu mai mulți factori, care tinde să fie cea mai vulnerabilă la oboseala MFA. Adesea, notificarea este o fereastră nouă sau o casetă pop-up care apare pe un smartphone, care cere angajatului să aprobe sau să respingă cererea. Aceste „Este cu adevărat tu?” Ecranele sunt atât de comune încât de multe ori oamenii fac doar clic pentru a le face să dispară, astfel încât să își poată continua ziua.

Actorii de amenințări vor imita acele confirmări memorabile de câteva ori, sperând să-l prindă pe utilizator într-un moment de neatenție. Dacă câteva solicitări nu funcționează, hackerii vor folosi avantajul. Uneori, aceştia inundă programul de autentificare al utilizatorului cu mai multe notificări, spamând efectiv telefonul persoanei respective. Și dacă acest lucru nu funcționează, aceștia pot folosi alte tactici de inginerie socială, cum ar fi apelarea sau trimiterea de mesaje text, pretinzându-se ca personal IT sau altă autoritate, pentru a convinge utilizatorul să accepte notificarea MFA.

La fel ca făcând clic pe un link dintr-un e-mail de phishing sau un site malware, aprobarea unei notificări MFA poate duce la consecințe catastrofale. Odată ce un hacker intră în rețea, de obicei fac tot posibilul pentru a găsi modalități de a se deplasa și de a accesa alte sisteme critice. Dacă o companie a implementat diverse măsuri de securitate fără încredere, cum ar fi accesul cu cel mai mic privilegiu, monitorizarea punctelor finale și guvernarea identității, acestea pot reduce probabilitatea compromiterii acreditărilor și pot împiedica atacatorul să facă multe daune. Dar majoritatea companiilor au lacune de securitate care pot fi folosite pentru a obține acces. În cazul atacului Uber, intrusul a reușit să găsească un script care le-a făcut posibil să acceseze platforma de gestionare a accesului privilegiat (PAM) a companiei.

Cum să preveniți atacurile de oboseală MFA

Educaţia
Poate că nu este o soluție de înaltă tehnologie interesantă, dar educația utilizatorilor este cel mai important element în prevenirea succesului acestor tipuri de atacuri de „bombardare promptă”. Este ca și cum cineva îți bate la ușă sau folosește un sonerie pentru a intra în blocul tău. Nu îi lași să intre fără să te uiți pe fereastră sau să întrebi „cine este?” Dacă primiți o notificare push, gândiți-vă înainte de a da clic. De ce ați aproba vreodată o solicitare de conectare când nu vă conectați? Răspunsul este că nu ar trebui.

Aveți tehnologia potrivită
Deși educarea utilizatorilor cu privire la riscurile MFA este esențială, tehnologia poate ajuta și ea. Prin furnizarea de context suplimentar în cadrul notificării MFA, utilizatorii pot lua o decizie informată dacă să aprobe. De exemplu, unele soluții MFA afișează marcajul de timp, aplicația și/sau locația în cadrul notificării. Alții afișează un cod unic de conectare pe pagina de conectare web care trebuie să fie asociat cu același cod din notificare. Sau, luați în considerare utilizarea codurilor de acces OTP în loc de push, care tind să fie mai rezistente în fața acestor atacuri. Indiferent de soluția pe care o alegeți, aceste tehnici vor reduce posibilitatea ca utilizatorii finali să aprobe accidental cereri pe care nu le-au inițiat.

Angajați adaptiv accesul
Soluțiile nu ar trebui să fie universale: contextul poate fi, de asemenea, folosit pentru a atenua atacurile de oboseală MFA, limitând capacitatea atacatorului de a trimite spam utilizatorilor nebănuiți. Accesul adaptiv și autentificarea bazată pe riscuri pot limita cererile de conectare la anumite locații de încredere sau dispozitive cunoscute, analiza comportamentală poate ajuta la detectarea activității anormale de conectare, iar limitarea ratei poate limita încercările consecutive de conectare nereușite.

Trecere fără parolă
Când este posibil, luați în considerare metodele fără parolă ca alternativă la MFA bazat pe notificări. FIDO2, de exemplu, este proiectat special pentru a rezista phishing-ului și atacurilor „om în mijloc” (MitM) sau „adversar în mijloc” (AitM), necesitând o conexiune criptografică directă între autentificator și aplicația web. Cu toate acestea, chiar și cu metode rezistente la phishing, cum ar fi FIDO, MFA este la fel de sigur ca și ciclul de viață a acreditărilor. Acest ciclu de viață începe cu înregistrarea MFA, dar include și evenimente precum înlocuirea dispozitivului și resetarea acreditărilor. Aceste activități sunt unele dintre cele mai probabile cazuri pentru ca atacatorii să obțină acces neautorizat.

Monitorizați în mod constant
În cele din urmă, organizațiile trebuie să recunoască faptul că prevenirea este doar jumătate din soluție. Sistemele de identitate trebuie să ajute, de asemenea, la detectarea și remedierea atacurilor în curs. Eșecurile consecutive de conectare sau încercările excesive de conectare sunt două exemple de potențiali indicatori ai activității suspecte. Aceste informații pot fi introduse în soluții de gestionare a informațiilor de securitate și a evenimentelor (SIEM) pentru investigații ulterioare de către personalul operațiunilor de securitate sau utilizate pentru a declanșa o revizuire a contului într-o platformă de guvernare și administrare a identității (IGA).

Reduceți riscurile oboselii MFA

Educând utilizatorii și implementând controale mai robuste în jurul proceselor lor MFA, organizațiile pot reduce riscul oboselii MFA. De asemenea, este important să vă asigurați că compania cu care lucrați are protecție în sistemele lor. RSA are o carte albă care oferă o privire de ansamblu asupra politicilor noastre de securitate cu informații despre măsurile noastre de securitate, inclusiv practicile, operațiunile și controalele noastre în jurul ID Plus. Și pentru informații în timp real despre performanța sistemului nostru și sfaturi de securitate, puteți vizita pagina noastră de securitate.

Abordarea RSA este mai rezistentă la oboseala MFA: de aceea organizațiile care primesc securitatea apelează la noi pentru a le ajuta să-și protejeze afacerile. Pentru mai multe informații despre riscurile de autentificare și despre modul în care RSA vă poate ajuta să vă îndepărtați de securitatea care se bazează pe parole, consultați rezumatul soluției noastre: Autentificare fără parolă: timpul este acum și ajutorul este aici.

Soluțiile de securitate IT, risc si conformitate  RSA, sunt distribuite în România de compania SolvIT Networks, ajutând la reușita celor mai importante organizații din lume prin rezolvarea celor mai complexe și mai sensibile provocări privind securitatea.