Скрытые слабости технологии, на которую полагаются миллионы.
За последние десять лет многофакторная аутентификация (MFA) стала краеугольным камнем современной кибербезопасности. Однако за это время, наряду с совершенствованием механизмов аутентификации пользователей, развивались и тактики киберпреступников. Достаточно взглянуть на рост числа методов обхода MFA.
Несмотря на то, что злоумышленники способны обходить MFA, в обществе сохраняется вера в её практически абсолютную эффективность. Согласно недавним исследованиям, почти половина всех учётных записей, захваченных злоумышленниками, имели включённую MFA. Тем не менее 89% специалистов по безопасности считают MFA полноценной защитой от захвата учётной записи. Очевидно, существует серьёзный разрыв между восприятием и реальностью.
Именно поэтому сейчас как никогда необходим комплексный подход с использованием глубокой защиты. Многоуровневая безопасность помогает минимизировать риски обхода MFA и снизить вероятность серьёзного инцидента, связанного с захватом учётной записи. Эта статья объясняет, почему одной MFA недостаточно, и предлагает советы по улучшению защиты вашей организации.
Методы обхода MFA
MFA эффективна, потому что требует от пользователей аутентифицироваться с использованием нескольких факторов. Это может быть то, что они знают (например, пароль), то, что они имеют (приложение-аутентификатор или токен), или то, чем они являются (например, скан лица или отпечаток пальца). Хотя этот подход выглядит надёжным, злоумышленники нашли множество способов обхода MFA.
- Фишинговые атаки. Пользователи вводят коды MFA или учётные данные на сайтах, управляемых злоумышленниками, поддавшись на цифровые уловки.
- Push-бомбардировка. После того как злоумышленники похищают пароль пользователя, они инициируют поток уведомлений MFA. Это может запутать пользователя, заставляя его одобрить запрос, просто чтобы прекратить получение уведомлений.
- Похищение сессий. Злоумышленники похищают cookie сессии после аутентификации, делая MFA бесполезной.
- SIM Swapping. Этот метод компрометирует MFA, основанную на SMS, перенося номер телефона жертвы на злоумышленника. Для этого требуется социальная инженерия или наличие сообщника в организации в организации мобильного оператора.
- Чистая социальная инженерия. Большинство организаций позволяют удалённым сотрудникам сбрасывать пароли и MFA без физического присутствия. Однако без надлежащей проверки личности сотрудники IT-поддержки могут быть обмануты и передать учётные данные ложного сотрудника злоумышленникам.
- Атаки посредника. Инструменты злоумышленников, такие как фишинговый набор Evilginx, перехватывают токены сессии. Затем эти токены передаются легитимным сервисам, предоставляя доступ злоумышленникам.
Почему одной только MFA недостаточно
Безусловно, MFA добавляет ценную степень безопасности при аутентификации пользователей, усложняя доступ для злоумышленников. Однако описанные выше методы обхода демонстрируют риски, связанные с полаганием только на одну защитную меру. Успешные атаки на MFA становятся всё более распространёнными, что показывает: мотивированные злоумышленники адаптируются, чтобы преодолевать широко применяемые защиты.
Хотя это может казаться очевидным, важно помнить, что MFA должна быть лишь частью более крупной программы безопасности. Это не абсолютная защита. Основной принцип глубокой защиты заключается в том, что добавление нескольких слоёв безопасности снижает вероятность успешной атаки даже в случае компрометации одного из слоёв.
Реализация стратегии глубокой защиты
Комплексный подход глубокой защиты включает в себя множественные, пересекающиеся меры безопасности. Это создаёт избыточность и снижает возможности злоумышленников использовать уязвимости.
Вот как организации могут усилить защиту от обхода MFA:
— Усиление защиты конечных точек. Развёртывание инструментов обнаружения и реагирования на уровне хоста (EDR) для идентификации и предотвращения несанкционированного доступа.
— Инвестиции в защиту от фишинга. Большинство злоумышленников используют тщательно спланированные атаки, основанные на социальной инженерии, чтобы получить доступ к учётным данным.
— Переход на устойчивую к фишингу MFA. Использование более защищённых методов MFA, таких как аппаратные ключи безопасности (FIDO2) или биометрия, которые менее уязвимы к фишингу.
— Внедрение специализированных систем защиты учётных записей. Использование специальных инструментов для обнаружения, расследования и автоматического реагирования на захваты учётных записей в облаке, предотвращая серьёзные последствия.
— Обучение пользователей. Обучение сотрудников распознавать попытки фишинга и другие методы социальной инженерии, направленные на их учётные данные MFA.
— Подготовка к инцидентам и восстановлению. Наличие чётко определённого плана реагирования на инциденты, включающего возможность быстро отозвать токены доступа и расследовать подозрительные входы.
Прошлое, настоящее и будущее кибербезопасности: проактивная многоуровневая защита
Борьба с обходом MFA — яркий пример динамичной природы современных киберугроз. Применяя стратегию глубокой защиты, можно обеспечить, что даже в случае отказа одного слоя безопасности, другие смогут компенсировать ущерб.
Инвестиции в комплексные проактивные меры безопасности позволяют опережать злоумышленников и защищать самые ценные активы. Кибербезопасность — это не создание одной неприступной стены, а затруднение каждого шага злоумышленника.