ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) tarafından sağlanan önerilere göre, kuruluşlar kimlik avına dayanıklı çok faktörlü kimlik doğrulama (MFA) ve MFA uygulamalarında sayı eşleştirmeyi devreye alarak kimlik avına ve diğer saldırılara karşı kendilerini savunabilir.
MFA, kullanıcıların kimliklerini kanıtlamak için iki veya daha fazla ayrı kimlik doğrulayıcının bir kombinasyonunu göndermelerini gerektirir. MFA, saldırganların güvenliği ihlal edilmiş oturum açma kimlik bilgilerini kullanarak ağlara ve sistemlere erişmesini zorlaştırmak için tasarlanmış bir güvenlik özelliğidir.
CISA, güvenliği ihlal edilmiş kimlik bilgileri yoluyla istenmeyen erişim riskini azaltmak için tüm kuruluşların e-posta, finans ve dosya paylaşım hesapları dahil olmak üzere kullanıcıları ve hizmetleri için MFA’yı benimsemesini önerir.
“CISA, Sıfır Güven ilkelerini uygulamanın bir parçası olarak tüm kuruluşları kimlik avına dayanıklı MFA’yı uygulamaya şiddetle teşvik ediyor. Herhangi bir MFA biçimi hiç MFA olmamasından daha iyi olsa da ve bir kuruluşun saldırı yüzeyini azaltacak olsa da, kimlik avına dayanıklı MFA altın standarttır ve kuruluşlar buna geçiş yapmayı yüksek öncelikli bir çaba haline getirmelidir.” ) kılavuz.
Ajansa göre, bazı MFA yöntemleri, kimlik avı (saldırgan tarafından kontrol edilen web siteleri, bir kimlik doğrulama uygulamasından altı haneli kod isteyebilir), bir kullanıcının sular altında kaldığı “itmeli bombalama” gibi çeşitli siber saldırı türlerine karşı hassastır. bildirimleri “kabul et”i tıklayana kadar itin ve SIM değiştirme (saldırganların bir telefon operatörünü kandırarak kurbanın telefon numarasını saldırganın kontrolündeki bir SIM karta aktarması).
Metin (SMS) veya sesli mesajlarla gönderilen kimlik doğrulama kodlarını elde etmek için bazı saldırganlar, iletişim altyapısını etkileyen Signaling System 7 (SS7) protokol kusurlarını kullanabilir.
Kuruluşların, bu tür saldırıların neden olduğu tehlikeleri azaltmak için, kimlik avına dayanıklı ve diğer saldırı biçimlerinden etkilenmeyen FIDO/WebAuthn veya ortak anahtar altyapısı (PKI) tabanlı kimlik doğrulamayı dağıtmaları teşvik edilir.
CISA, tek seferlik parolalar (OTP), numara eşleştirmeli mobil push bildirimleri ve belirteç tabanlı OTP gibi uygulama tabanlı kimlik doğrulama yöntemlerinin push bombing’e karşı dayanıklı, ancak kimlik avına karşı savunmasız olduğunu iddia ediyor; numara eşleştirmesi olmayan mobil uygulama push bildirimleri, kullanıcı hatasına ve push bombing’e açıktır; ve SMS ve sesli MFA, kimlik avı, SS7 ve SIM değiştirme saldırılarına karşı hassastır.
Grup, tüm işletmelere kimlik avına karşı dayanıklı bir tür MFA kurmalarını ve MFA’yı desteklemeyen sistemleri tespit etmelerini ve numara eşleştirmeli MFA uygulamaları gibi destekleyen sistemlere geçmelerini tavsiye ediyor.
CISA’nın MFA Uygulamalarında Numara Eşleştirmeyi Uygulama (PDF) el kitabına göre, sayı eşleştirmenin kullanılması, bir kullanıcının hızlı bir şekilde yanıt vermeleri gereken çok sayıda istem karşısında kızgın veya şaşkın olduğu için oturum açma girişimini kabul ettiği MFA yorgunluğunu en aza indirmelidir. Mayıs ayında Cisco’nun sistemleri bu yöntemle ele geçirildi.
CISA, “Bir kullanıcının parolasını ele geçiren siber tehdit aktörleri, bu parolayı, kullanıcının cihazında kısa bir süre içinde yüzlerce bilgi istemi oluşturmak için mobil anlık bildirim tabanlı MFA kullanan bir kimlik platformuna girebileceklerini biliyor.”
Kullanıcı, kimlik platformu tarafından sağlanan uygulama numaralarını girerek, sayıları eşleştirmek için kimlik doğrulama talebini onaylamalıdır. CISA’ya göre, bu, istekleri kabul etmek için kullanıcının oturum açma ekranına erişimi olması gerektiği anlamına gelir; bu, istem spam’ını caydırmalıdır.