Ujasněme si jednu věc: každá organizace by dnes měla používat vícefaktorové ověřování (MFA), kdekoli je to možné.

I to nejsilnější a nejunikátnější heslo je stále jen jedinou formou autentizace, která stojí mezi útočníky a kritickými obchodními daty aplikací Software as a Service (SaaS). Bezpečnostní opatření, jako je MFA, mohou poskytnout důležitou další linii obrany proti protivníkům, což je přesně důvod, proč Americká agentura pro kybernetickou bezpečnost a infrastrukturu (CISA) doporučuje, aby bylo MFA povoleno, kdykoli je k dispozici.

Přesto – jak zdůrazňuje CISA – ne všechny formy MFA jsou stvořeny stejně a některé implementace jsou bezpečnější než jiné.

MFA prostřednictvím SMS zpráv patří mezi nejslabší možnosti a je náchylná k zachycení, spoofingu, ztrátě dostupnosti a phishingu. Formy MFA, které jsou takříkajíc „uprostřed“, jsou náchylné k zachycení a zneužití; push notifikace lze hromadně zasílat unaveným uživatelům, zatímco jednorázové tokeny hesla (OTP) lze například zachytit při přenosu. Na druhé straně jsou bezpečnější hardwarové bezpečnostní klíče U2F/WebAuthn a biometrické formy ověřování.

Povzbuzování uživatelů, aby se spoléhali na silnější formy ověřování, je pouze špičkou ledovce, pokud jde o podporu lepšího vícefaktorového zabezpečení organizace. Existuje řada dalších nastavení, od trvání relace po zásady adaptivního přístupu, které musí bezpečnostní týmy zvážit při ladění svých implementací.

Zde jsou některé z technik, které protivníci používají, aby se pokusili obejít opatření MFA, a také návod, jak se připravit a reagovat na tyto stále častější hrozby.

 

Útočníci mohou MFA obejít

Sofistikovaní útočníci si dobře uvědomují zranitelnosti slabších implementací MFA a k efektivnímu využití těchto mezer využili řadu technik. I když se v žádném případě nejedná o úplný seznam, níže uvedené příklady byly zvláště pozoruhodné svým dopadem na nedávná porušení, která stojí za zmínku. Pochopení základů těchto útoků může týmům pomoci zaujmout nepřátelské myšlení a podle toho plánovat a reagovat.

 

MITM proxy odposlech

Při útoku typu man-in-the-middle (MITM) přesvědčí protivníci uživatele, aby se přihlásil ke svému poskytovateli identity prostřednictvím infrastruktury řízené útočníkem. Obvykle to znamená přivedení uživatele na falešnou přihlašovací stránku, která se velmi podobá originálu. Útočník přenáší provoz mezi koncovým uživatelem a poskytovatelem identity, zachycuje přihlašovací údaje a token relace udělený uživateli poté, co poskytne MFA. To umožňuje útočníkovi znovu použít stejný token relace jako uživatel pro přístup k aplikaci SaaS.

 

Únava MFA

Při únavovém útoku MFA zaplaví protivník s kompromitovanými uživatelskými přihlašovacími údaji mobilní zařízení uživatele ohromným počtem push notifikací, které je vyzve ke schválení vícefaktorového přihlášení. Cíl je zde opravdu velmi jednoduchý: „unavit“ uživatele, aby tento požadavek přijal, a dát tak útočníkovi neomezený přístup k poskytovateli identity a každé připojené aplikaci SaaS.

 

Únos SIM karty

Přestože je MFA prostřednictvím SMS jednou z nejpopulárnějších metod ověřování, je vysoce náchylná k různým útokům – včetně techniky známé jako únos SIM karty. V tomto scénáři útočník, který se již seznámil s některými osobními údaji oběti, používá sociální inženýrství k přesvědčení mobilního operátora, aby vyměnil SIM kartu za novou. Díky nově nalezenému přístupu k jejich telefonnímu číslu a souvisejícím textovým zprávám se může útočník snadno ověřit pomocí platného kódu MFA odeslaného přímo do jeho zařízení.

 

Osvědčené postupy pro MFA

Zejména pokud jde o potírání některých škodlivých technik prozkoumaných výše, je implementace MFA na organizační úrovni zásadní. Existuje několik osvědčených postupů, které mohou bezpečnostní týmy dodržovat, aby posílily obranu své organizace:

  • Ujistěte se, že MFA je nasazena pro všechny účty v organizaci.
  • Zablokujte nebo úplně zakažte slabší metody MFA a místo toho zvolte bezpečnější faktory, jako jsou hardwarové bezpečnostní klíče.
  • Prozkoumejte zásady, které omezují hromadné akce, aby zabránily útokům hrubou silou a nadměrným push notifikacím spojeným s únavovými útoky MFA.
  • Zvažte přidání administrativní kontroly k registraci nových zařízení MFA. Rychlá dvojitá kontrola může znamenat rozdíl při zajištění platnosti těchto požadavků.

Dobře postavená implementace MFA je neuvěřitelně cennou počáteční linií obrany proti většině útoků na organizaci. Na konci dne je však důležité si uvědomit, že MFA je přesně to: silný počáteční odstrašující prostředek.

Takže ano, používejte MFA všude, kde je to možné, ale vždy buďte svědomití ohledně toho, jak je tato komponenta implementována, buďte ostražití vůči technikám, kterými protivníci obcházejí MFA, a pamatujte, že MFA je dobrá – ale ne vždy to stačí.

 

Autor původního článku: Alfredo Hickman
Překlad: Ondřej Strachota

Security news za prosinec 2023

Sledujeme pro Vás, s našimi partnery, aktuální informace o kybernetických hrozbách v české republice. V prosinci došlo k mírnému nárustu evidovaných incidentů oproti měsíci listopadu, ale i přesto byla výsledná hodnota pod ročním průměrem, který...

Nová zranitelnost protokolu Bluetooth

iPhone,Android, Mac i Linuxové PC jsou zranitelné vůči novému exploitu, který umožňuje hackerům vzdáleně ovládat vaše zařízení pomocí Bluetooth.

Promo akce a aktuality antiviry 12/2023

Ve společnosti Scenario jsme pro vás shrnuli nové informace o antivirových řešeních a probíhajících akcích platné do konce roku 2023. 

Kybernetické incidenty SRPEN 2023

V srpnu došlo k více než dvojnásobnému nárůstu registrovaných kybernetických in­cidentů oproti červenci. Tento nárůst byl ovlivněn další novou vlnou DDoS útoků vedených skupinou NoName057(16).

Jak Bitdefender chrání proti Ransomware?

Bitdefender se řadí s více než 500 milióny zákazníky ve více než 170 zemích k nejvíce používaným antivirovým softwarům. Zároveň se pravidelně umisťuje na předních příčkách nezávislých antivirových testů díky využití umělé inteligence a snaze...

Prognózy Bitdefender v oblasti kybernetické bezpečnosti na rok 2023

Rok 2022, stejně jako roky předchozí, nebyl z hlediska kybernetické bezpečnosti klidný. Gang ransomwaru Conti hrozil svržením vlády v Kostarice. Jiný zločinecký kybernetický gang, Lapsus$, zdokonalil vektor útoku pomocí sociálního inženýrství a...