- label Kyberbezpečnost
- remove_red_eye 379 zobrazení
Ujasněme si jednu věc: každá organizace by dnes měla používat vícefaktorové ověřování (MFA), kdekoli je to možné.
I to nejsilnější a nejunikátnější heslo je stále jen jedinou formou autentizace, která stojí mezi útočníky a kritickými obchodními daty aplikací Software as a Service (SaaS). Bezpečnostní opatření, jako je MFA, mohou poskytnout důležitou další linii obrany proti protivníkům, což je přesně důvod, proč Americká agentura pro kybernetickou bezpečnost a infrastrukturu (CISA) doporučuje, aby bylo MFA povoleno, kdykoli je k dispozici.
Přesto – jak zdůrazňuje CISA – ne všechny formy MFA jsou stvořeny stejně a některé implementace jsou bezpečnější než jiné.
MFA prostřednictvím SMS zpráv patří mezi nejslabší možnosti a je náchylná k zachycení, spoofingu, ztrátě dostupnosti a phishingu. Formy MFA, které jsou takříkajíc „uprostřed“, jsou náchylné k zachycení a zneužití; push notifikace lze hromadně zasílat unaveným uživatelům, zatímco jednorázové tokeny hesla (OTP) lze například zachytit při přenosu. Na druhé straně jsou bezpečnější hardwarové bezpečnostní klíče U2F/WebAuthn a biometrické formy ověřování.
Povzbuzování uživatelů, aby se spoléhali na silnější formy ověřování, je pouze špičkou ledovce, pokud jde o podporu lepšího vícefaktorového zabezpečení organizace. Existuje řada dalších nastavení, od trvání relace po zásady adaptivního přístupu, které musí bezpečnostní týmy zvážit při ladění svých implementací.
Zde jsou některé z technik, které protivníci používají, aby se pokusili obejít opatření MFA, a také návod, jak se připravit a reagovat na tyto stále častější hrozby.
Útočníci mohou MFA obejít
Sofistikovaní útočníci si dobře uvědomují zranitelnosti slabších implementací MFA a k efektivnímu využití těchto mezer využili řadu technik. I když se v žádném případě nejedná o úplný seznam, níže uvedené příklady byly zvláště pozoruhodné svým dopadem na nedávná porušení, která stojí za zmínku. Pochopení základů těchto útoků může týmům pomoci zaujmout nepřátelské myšlení a podle toho plánovat a reagovat.
MITM proxy odposlech
Při útoku typu man-in-the-middle (MITM) přesvědčí protivníci uživatele, aby se přihlásil ke svému poskytovateli identity prostřednictvím infrastruktury řízené útočníkem. Obvykle to znamená přivedení uživatele na falešnou přihlašovací stránku, která se velmi podobá originálu. Útočník přenáší provoz mezi koncovým uživatelem a poskytovatelem identity, zachycuje přihlašovací údaje a token relace udělený uživateli poté, co poskytne MFA. To umožňuje útočníkovi znovu použít stejný token relace jako uživatel pro přístup k aplikaci SaaS.
Únava MFA
Při únavovém útoku MFA zaplaví protivník s kompromitovanými uživatelskými přihlašovacími údaji mobilní zařízení uživatele ohromným počtem push notifikací, které je vyzve ke schválení vícefaktorového přihlášení. Cíl je zde opravdu velmi jednoduchý: „unavit“ uživatele, aby tento požadavek přijal, a dát tak útočníkovi neomezený přístup k poskytovateli identity a každé připojené aplikaci SaaS.
Únos SIM karty
Přestože je MFA prostřednictvím SMS jednou z nejpopulárnějších metod ověřování, je vysoce náchylná k různým útokům – včetně techniky známé jako únos SIM karty. V tomto scénáři útočník, který se již seznámil s některými osobními údaji oběti, používá sociální inženýrství k přesvědčení mobilního operátora, aby vyměnil SIM kartu za novou. Díky nově nalezenému přístupu k jejich telefonnímu číslu a souvisejícím textovým zprávám se může útočník snadno ověřit pomocí platného kódu MFA odeslaného přímo do jeho zařízení.
Osvědčené postupy pro MFA
Zejména pokud jde o potírání některých škodlivých technik prozkoumaných výše, je implementace MFA na organizační úrovni zásadní. Existuje několik osvědčených postupů, které mohou bezpečnostní týmy dodržovat, aby posílily obranu své organizace:
- Ujistěte se, že MFA je nasazena pro všechny účty v organizaci.
- Zablokujte nebo úplně zakažte slabší metody MFA a místo toho zvolte bezpečnější faktory, jako jsou hardwarové bezpečnostní klíče.
- Prozkoumejte zásady, které omezují hromadné akce, aby zabránily útokům hrubou silou a nadměrným push notifikacím spojeným s únavovými útoky MFA.
- Zvažte přidání administrativní kontroly k registraci nových zařízení MFA. Rychlá dvojitá kontrola může znamenat rozdíl při zajištění platnosti těchto požadavků.
Dobře postavená implementace MFA je neuvěřitelně cennou počáteční linií obrany proti většině útoků na organizaci. Na konci dne je však důležité si uvědomit, že MFA je přesně to: silný počáteční odstrašující prostředek.
Takže ano, používejte MFA všude, kde je to možné, ale vždy buďte svědomití ohledně toho, jak je tato komponenta implementována, buďte ostražití vůči technikám, kterými protivníci obcházejí MFA, a pamatujte, že MFA je dobrá – ale ne vždy to stačí.
Autor původního článku: Alfredo Hickman
Překlad: Ondřej Strachota
