خستگی و احراز هویت چند عاملی | امنیت حرفه ای

استیون هوپ، مدیر محصول MFA (تأیید هویت چند عاملی) در Intercede، می‌گوید: اجازه ندهید خستگی دلیل “MFA Bypass” باشد.

اگر نام هایی مانند Conficker، Sasser و MyDoom لرزه بر ستون فقرات شما می اندازند، شما تنها نیستید. در گذشته‌ای نه چندان دور، ویروس‌های رایانه‌ای، چه ساده و چه پیچیده، این قدرت را داشتند که سازمان‌های بزرگ و کوچک را فلج کنند، زیرا مجرمان سایبری به دنبال ویران کردن و کسب شهرت و ثروت بودند. برای امنیت حرفه‌ای، نقطه پایانی/حفاظت محیطی نام بازی بود، با فایروال‌ها و نرم‌افزارهای ضد ویروس اولین خط دفاعی را ارائه می‌کردند. در حالی که این نوع بدافزار هنوز وجود دارد، دیگر بردار اصلی حمله نیست، با این حال، چشم انداز تهدید همیشه در حال تکامل است و با رشد انسان در وسط (ربایش جلسه)، هک سیم کارت و حملات فیشینگ هدفمند، طعمه می شود. در احراز هویت آسیب پذیر، از جمله احراز هویت چند عاملی.

همانطور که آنتی ویروس هرگز نتوانسته است سیستم ها را در برابر 100 درصد تروجان ها، کرم ها، بات نت ها، باج افزارها و غیره محافظت کند، در حال حاضر چیزی به نام راه حل ضد فیشینگ، PKI مبتنی بر سخت افزار و FIDO وجود ندارد. . با این حال، راه هایی برای مقاومت بیشتر در برابر حملات فیشینگ وجود دارد. متأسفانه، ضعیف‌ترین شکل مقاومت نیز رایج‌ترین آن است – رمزهای عبور. یک رمز عبور را حدس بزنید، بخرید یا مهندسی اجتماعی کنید و فوراً به هر چیزی که «محافظت می کند» دسترسی خواهید داشت، خواه یک حساب رسانه اجتماعی باشد یا یک سیستم حیاتی. اگر به اندازه کافی مهم تلقی می شد که یک رمز عبور در مقابل آن وجود داشته باشد، این احتمال وجود دارد که دارای درجه ای از ارزش، مالی یا موارد دیگر برای سازمان باشد که بتوان از آن بهره برداری کرد.

بنابراین، انتخاب واضح این است که یک لایه امنیتی دیگر اضافه کنید، بنابراین اگر رمز عبور نقض شود، مانع دیگری برای غلبه بر وجود دارد. این معمولاً به عنوان احراز هویت چند عاملی (MFA) شناخته می‌شود، اما اگر برای مثال، یکی از این عوامل یک برنامه رمز عبور ضعیف مدیریت شده باشد (عدم پیروی از دستورالعمل‌های NIST و عدم وجود راه‌حل مدیریت امنیت رمز عبور) می‌تواند یک نام اشتباه باشد. . با توجه به ضعف رمزهای عبور، MFA از این نوع معمولاً به اندازه عامل دوم امن است. بنابراین، اگرچه به طور بالقوه ایمن تر از یک رمز عبور مستقل است، اما در برابر فیشینگ مقاوم نیست و برخی ممکن است استدلال کنند که آیا این واقعا MFA است یا خیر.

حملات بی رحمانه برای حدس زدن گذرواژه ها هنوز هم امروزه مورد استفاده قرار می گیرند، اما بسیاری از مجرمان سایبری به احتمال زیاد کمتر روی شکستن رایانه و بیشتر بر مهندسی کارمند از طریق تکنیک هایی مانند فیشینگ نیزه، BEC (مخاطره ایمیل تجاری) و فیشینگ رضایت تمرکز می کنند. هدف در اینجا تشویق هدف شناسایی شده برای تحویل ناخواسته اطلاعات مورد نیاز است.

یک مثال کامل از این، بهره برداری از رضایت مندی پیرامون اعلان های فشاری (که معمولاً به عنوان “خستگی فشاری” شناخته می شود) است. اعلان های فشاری به طور فزاینده ای به عنوان دومین عامل هنگام ورود به سیستم یا خرید استفاده می شوند. پیامی از مالک حساب می‌خواهد بپذیرد، یک کد یکبار مصرف (OTC) وارد کند یا از یک بیومتریک (از طریق خواننده اثر انگشت در دستگاه تلفن همراه) استفاده کند.

مجرمان سایبری آموخته اند که بمباران حسابداران با اعلان های فشاری، ایجاد خستگی، می تواند منجر به انطباق مالک با درخواست آنها شود. به هر حال، اگر چند بار فشار دادن گزینه باعث توقف پنجره‌ها نمی‌شود، ممکن است فشار دادن Accept باعث توقف آن شود. اگر آنها قبلاً نام کاربری و رمز عبور را داشته باشند (به راحتی در دسترس هستند و با هزینه بسیار کم در وب تاریک معامله می شوند) می توانند هر کاری که می خواهند انجام دهند، اعم از انجام تراکنش، خالی کردن حساب، دانلود یا حذف داده ها. اگر اصطلاح «اسب تروجان» قبلاً در دنیای امنیت سایبری نسبت داده نشده بود، توصیف مناسبی از کاری است که مجرمان سایبری با اعلان‌های فشاری انجام می‌دهند.

بنابراین، اگر گذرواژه‌های ضعیف مدیریت شده ضعیف هستند و 2FA به راحتی قابل دور زدن هستند، سؤال درستی است که بپرسیم کجا احراز هویت را ترک می‌کند، به‌ویژه با توجه به عدم وجود استانداردهای شناخته‌شده (اگرچه من هر کسی را تشویق می‌کنم به FIPS 201، منتشر شده توسط NIST) نگاه کند. واقعیت این است که یک رویکرد احراز هویت چند وجهی و چند عاملی (MFA) باید در برابر فیشینگ مقاوم باشد. هرچه کارکنان بهتری آموزش ببینند (CUJO AI در ژانویه گزارش داد که 56٪ از کاربران اینترنت سعی می کنند حداقل یک پیوند فیشینگ را در هر ماه باز کنند)، هر چه عوامل بیشتری وجود داشته باشد، امنیت شما بیشتر است. اینکه چقدر در مقیاس از رمزهای عبور (مقاوم در برابر فیشینگ) تا PKI (بالاترین سطح تضمین احراز هویت) پیش می‌روید، بستگی زیادی به این دارد که در زنجیره غذایی کجا قرار دارید و اینکه آیا سازمان می‌تواند هدفی با ارزش بالا در نظر گرفته شود یا خیر. چه به خودی خود و چه به دلیل نقشش در یک زنجیره تامین گسترده تر و غنی تر.

واقعیت برای اکثر سازمان‌ها با هر اندازه‌ای این است که افراد و وظایف مختلف به سطوح اطمینان متفاوتی نیاز دارند، بنابراین هر راه‌حل MFA که استفاده می‌شود باید این توانایی را داشته باشد که چگونه اعتبارنامه‌ها را به‌طور مناسب به کار گیرد. Authlogics Push MFA با در نظر گرفتن کاربر نهایی ساخته شده است و اطلاعات مفیدی را در اختیار آنها قرار می دهد تا بتوانند با آگاهی بیشتری تصمیم گیرنده یا رد کنند. علاوه بر این، پس از رد کردن ورود به سیستم، می‌توانند به سادگی به دلیل آن ضربه بزنند و محافظت از خستگی به طور خودکار وارد عمل می‌شود.

در سه ماهه سوم سال 2022، گروه کاری ضد فیشینگ (APWG) 1,270,883 حمله فیشینگ را گزارش کرد که بدترین حمله ثبت شده توسط این گروه است. دلیل آن ساده است – فیشینگ کار می کند. همه انتظارات این است که سال 2023 همچنان شاهد افزایش اعداد باشد. با این حال، استفاده از MFA مناسب به عنوان بخشی از یک استراتژی امنیتی کلی می‌تواند مقاومت مورد نیاز برای دفع حملات پیچیده‌تر، مداوم و متقاعدکننده‌تر را فراهم کند.