Securitate — May 18, 2023 at 8:49 am

Combaterea uzurii MFA și prevenirea atacurilor Bombing

by

Organizațiile se confruntă, în prezent, cu tot mai multe atacuri de autentificare cu multi-factor (MFA), în care un atacator are, în general, deja unul dintre factorii de autentificare, cum ar fi \nume utilizator/parolă. Atacatorul poate solicita apoi notificări push care vor ajunge pe smartphone-ul utilizatorului.

English version

combatting mfaAtacurile „Bombing” se bazează pe uzura MFA. Chiar dacă o notificare push neașteptată nu este normală, utilizatorul poate aproba cererea. Chiar dacă face alegerea corectă și refuză solicitarea prima dată, poate fi dezorientat sau deranjat de mesaje.

Este nevoie de o singură „permisiune”, iar atacatorul se poate autentifica. În funcție de structura mediului și controalele de securitate existente, atacatorul poate obține acces la aplicațiile, rețelele sau fișierele corporative. Recent, au apărut specificațiile pe care ID Plus le folosește pentru a detecta și proteja împotriva acestor atacuri pe blog, Protect Against MFA Prompt Bombing Attacks.

Uzura MFA este o provocare de securitate pentru majoritatea organizațiilor. Deși acest tip de atac nu ar trebui să fie un eveniment de zi cu zi, dacă se întâmplă, echipa de securitate trebuie să răspundă.

Principala modalitate de prevenirea uzurii MFA este să nu fie permisă. Principalul vector de atac care trebuie eliminat este perechea utilizator/parolă, care poate persista luni.

Pentru a detecta o cerere de autentificare push falsă în mod programatic, este posibil să fie nevoie de mai multe lucruri. Jurnalele de la sistemul de autentificare trebuie să fie setate la nivelul potrivit, datele, analizate corect, iar conținutul trebuie să genereze o alertă adecvată. Apoi, centrul de securitate (SOC) trebuie să recunoască alerta cu un runbook actualizat. Întotdeauna, este bine să existe un plan de rezervă și mai multe straturi de securitate și monitorizare.

Trebuie analizate evenimentele din jurnal trebuie analizate și dezvoltate scenarii despre posibilul atac. În același timp, trebuie verificată corectitudinea datelor primite. Un element de interes este cererile de autorizare push abandonate.

Detectarea unei cereri push greșite poate fi și un probabil compromis de acreditări. Așadar, chiar dacă un utilizator spune „Nu” la cererea push, este posibil să fie deja expus unui anumit risc dacă o combinație de nume de utilizator/parolă poate permite accesul. Detecțiile pentru solicitările de autentificare push greșite pot servi ca mecanism de detectare a acreditărilor compromise.

Utilizatorii RSA pot vedea cum ID Plus folosește autentificarea bazată pe riscuri și alte funcții pentru a detecta și a se apăra împotriva atacurilor „Bombing”.

Răspunsul adecvat la push-bombing depinde de pragul de confortabilitate. Dar chiar și cu un push pentru autentificare neașteptat, un utilizator ar putea să aibă sesiuni abandonate și să fie forțat să-și schimbe parola. Schimbarea parolei va preveni și potențialele atacuri viitoare cu acele acreditări specifice de utilizator.

Organizațiile trebuie să dezvolte un proces pentru a forța resetarea parolei, și pentru acceptarea acesteia, precum și revocarea sesiunii la orice acțiune suspectă. Cu cât un atacator are acces mai mult timp, cu atât mai multe daune pot face. Trebuie luate în calcul timpul de răspuns, legătura rapidă și proactivă cu utilizatorii sau managerii pe un canal de încredere.

Trebuie reținut faptul că push-bombing este un tip de atac și trebuie acordată prioritate reacțiilor în programul organizației legate de probabilitate și risc. Dacă un atacator reușește, trebuie pusă baza pe celelalte controale de securitate pentru limitarea daunelor și revenirea cât mai rapidă a organizației.

Soluțiile de securitate IT, risc si conformitate  RSA, sunt distribuite în România de compania SolvIT Networks, ajutând la reușita celor mai importante organizații din lume prin rezolvarea celor mai complexe și mai sensibile provocări privind securitatea.