23 Şubat Çok Faktörlü Kimlik Doğrulama Yüzde 99 Etkili (Değil)
Bloglarda, Videolarda
Bilgisayar korsanları MFA etrafında daireler çiziyor, ancak yine de kullanışlı
– david kahverengi
Melbourne, Avustralya – 23 Şubat 2023
Hacking MFA Raporunun sponsoru: BilBe4.
Kimlik bilgilerini dolduran siber suçluları engellemenin bir yolu olarak neredeyse her yerde yaygın hale gelen çok faktörlü kimlik doğrulamanın (MFA), şirketleri ve çalışanlarını uzlaşmadan koruyacak kesin şey olması gerekiyordu.
Ve siber güvenlikteki çoğu yenilik gibi işe yaradı – ta ki işe yarayana kadar.
Ayrıntılar yıkama sırasında ortaya çıktıkça, geçen Eylül’de 18 yaşındaki bir siber suçlu tarafından işlenen araç paylaşımı devi Uber ihlalinin, saldırganın MFA’yı atlamanın veya bir güvenlik açığından yararlanmanın bir yolunu bulması nedeniyle mümkün olmadığı kanıtlandı. kodunda, ancak nasıl çalıştığını yeterince bildiği için onu talihsiz bir Uber çalışanına karşı silah haline getirebilirdi.
Analize göre, çalışanın kullanıcı adını ve parolasını çalmış olan saldırgan, otomatik olarak Uber’in sistemlerinde oturum açmaya çalışan bir komut dosyası yazdı – her oturum açmanın kullanıcının akıllı telefonunda oturum açmanın onaylanmasını veya reddedilmesini talep eden yeni bir uyarı oluşturacağını biliyordu.
Kullanıcı “Reddet”e her dokunduğunda, komut dosyası yeniden oturum açmaya çalışıyordu – hedefi bir saatten fazla bir süre boyunca bir dizi bildirimle dolduruyordu; Uber teknik destek görevlisi, kurban her şeyi ortadan kaldırmak için “Onayla”ya dokunmaya hazırdı.
Oturum açma onaylandıktan sonra, saldırgan Uber’in dahili ağları içinde yanal olarak hareket edebildi ve sonuçta diğer kurumsal yönetim sistemlerine erişim sağlayan sabit kodlanmış kimlik bilgilerine sahip bir Microsoft PowerShell komut dosyası buldu.
Şu anda MITRE ATT&CK veritabanında iyi bir şekilde belgelenen tekniğin bir “MFA yorgunluk” saldırısı olarak bilinmesine şaşmamalı: kurbanların kararlılığını artık direnemeyecekleri noktaya kadar yıpratmak için mevcut teknolojik mekanizmaları kullanıyor.
Bu teknik, MFA’nın nüfuz edilemezliğine ellerini kaldırmak yerine teknolojiyi üstesinden gelinmesi gereken yeni bir zorluk olarak gören siber suçlular için bir tüy daha haline geldi.
Her açıdan başarılı oluyorlar: Geçen yıl, bir teknoloji şirketi birbiri ardına kurbanlar gördü; Microsoft ve Cisco Talos, son zamanlarda yapılan bir Microsoft araştırmasına göre, sırasında kaydedilen 382.000’den fazla saldırı gören MFA yorgunluk saldırısı kurbanları arasında yer aldı. takip ettikleri son 12 aylık dönem.
“MFA Yüzde 99 Etkili Değil; Hiçbir zaman olmadı, olmayacak.”
Roger Grimes, KnowBe4’te Veriye Dayalı Savunma Evangelisti
Büyük beklentilerin tehlikeleri
MFA yorgunluk saldırılarının başarısı, insan mühendisliğinin saygın güvenlik teknolojisi etrafında çalışmanın yollarını bulmaya ne kadar iyi devam ettiğini bir kez daha hatırlatıyor – teknolojisini bozarak değil, nasıl çalıştığını öğrenerek onu manipüle edebilecekler. meşru kullanıcılar etrafında halkalar çalıştırın.
Bu manipülasyon, birkaç oldukça etkili MFA ele geçirme biçimi üretti – örneğin, saldırganların tek seferlik MFA kimlik doğrulama kodlarını ele geçirmek için e-posta hesaplarını, akıllı telefonları veya diğer kanalları ele geçirdiği MFA Müdahalesi.
Diğer saldırganlar, kimlik doğrulama belirteçlerini verildikten sonra çalmanın yollarını geliştirdiler; bu, sistemlerin parolalara olan bağımlılığını ortadan kaldırma çabalarından yararlanan bir teknikte kimliği doğrulanmış bir kullanıcıyı yanıltmalarına olanak tanıyor.
Microsoft Algılama ve Yanıt Ekibi (DART) yakın tarihli bir blogda “Çok faktörlü kimlik doğrulamasını zaten tamamlamış bir kimliğe verilen bir belirteci tehlikeye atarak ve yeniden oynayarak, tehdit aktörü MFA’nın doğrulanmasını karşılar ve buna göre kurumsal kaynaklara erişim verilir” dedi. postalamak.
“Bu [is] savunucuları endişelendiren bir taktik çünkü bir belirteci ele geçirmek için gereken uzmanlık çok düşük, tespit edilmesi zor ve olay müdahale planlarında çok az kuruluş belirteç hırsızlığı hafifletme önlemlerine sahip.”
Diğer bir popüler istismar, siber suçluların, MFA kodlarını veya diğerlerini yakalamak için şeffaf bir proxy web sitesi kullanan benzer bir sitede oturum açmaları için onları kandıran yetkili bir kimlik avı e-postasında tanınmış bir teknoloji markasını (veya kurbanın işverenini) taklit ettiği ağ oturumunu ele geçirmedir. son derece etkili bir “ortadaki adam” saldırısındaki ayrıntılar.
MFA sistemlerinin başarılı bir şekilde devre dışı bırakılmasına rağmen, teknoloji, kurumsal sistemlerin güvenliğini sağlamak için tek başına parolalardan daha iyi olmaya devam ediyor – yani uygulamaya değer, ancak olası istismara karşı gözler tamamen açık.
KnowBe4’ün veri odaklı savunma savunucusu Roger Grimes, Cybercrime Magazine’e “Her şey düşünüldüğünde, MFA tek faktörlü kimlik doğrulamadan daha güçlü veya en azından teori bu” dedi.
Ancak “MFA’nın tehlikeleri ve güvenlik açıkları aslında oldukça önemli” dedi ve “bunlar hakkında yeterince konuşmuyoruz.”
MFA ile ilgili en büyük sorunlardan biri, 2018’de Microsoft tarafından ortaya atılan, “endüstri devleri” tarafından tekrarlanan ve güvenlik araştırmacıları tarafından uyarıcı bir hikaye olarak düzenli olarak alıntılanan – MFA’nın hesapların tehlikeye atılması saldırılarının yüzde 99,9’unu engelleyebileceği iddiası olmuştur.
MFA çoğu durumda güvenliği önemli ölçüde artırsa da, yanılmaz değildir: Grimes, bu tür saldırıların yüzde 30 ila yüzde 50’sini durdurabileceğini tahmin ediyor, ancak yüzde 99 rakamının “doğru olmadığını ve asla olmayacağını” söylüyor.
Bununla birlikte, kimlik avına dayanıklı MFA “harika bir şey [that] saldırıların büyük bir yüzdesini durduruyor… ancak MFA çözümünüzün kolayca saldırıya uğrayabileceğinin farkında değilseniz, saldırıya uğrama ihtimaliniz daha yüksek.”
MFA’nızı nasıl savunursunuz?
Verizon’un en son Veri İhlali Araştırma Raporu’nda (DBIR) analiz edilen 4.250 hatasız, kötüye kullanılmayan ihlalin yaklaşık yarısı, güvenliği ihlal edilmiş kimlik bilgileriyle ilgiliydi. mülkün [and] hepsini halletmeye yönelik bir plan olmadan hiçbir kuruluş güvenli değildir.”
Bir araştırma, şirketlerin yüzde 32,5’inin yalnızca bir ay içinde kaba kuvvet hesap saldırılarının hedefi olduğunu ve 50.000 veya daha fazla çalışanı olan kuruluşlarda her hafta başarılı bir hesap ele geçirme şansının yüzde 60 olduğunu buldu.
MFA korsanlığının, güvenliği ihlal edilmiş kimlik bilgileriyle yakından bağlantılı olduğu göz önüne alındığında – MFA doğrulama talebini tetiklemek için öncelikle bu bilgilerin edinilmesi gerekir – düzenleme, saklama ve güncelleme yönteminizi denetlemek için zaman ayırmak önleme çabalarınıza başlamak için iyi bir yerdir. Kullanıcı kimlik bilgileri.
Örneğin, mevcut parola değiştirme işleminizden nasıl ödün vereceğinizi düşünün ve ardından kötü niyetli yabancıların kodlara müdahale etmesini veya çalışanların cihazlarını yanıltmasını önlemek için bu boşlukları nasıl kapatabileceğinizi düşünün.
Avustralya’nın Siber Güvenlik Bakanı ve Cybercrime Magazine’in 2022 Yılın Kişisi Ödülü’nün yakın zamanda sahibi olan Clare O’Neill, “Güvenliğinizde oldukça temel hijyen önlemleri alırsanız, çoğu siber güvenlik saldırısı tamamen önlenebilir,” diyor.
Karmaşık parola gereklilikleri gibi önlemleri uygulamanın önemine değinerek, “Yalnızca doğru olanı yapmalıyız,” diye devam etti. “Siber riski sıfıra indiremiyoruz… ama iki faktörlü kimlik doğrulamanız yoksa ne yapıyorsunuz?”
MFA’yı benimserken, çalışanlarınızın teknolojinin faydalarının yanı sıra risklerinin de farkında olduğundan emin olmanız önemlidir.
Onlara, teknik veya diğer güvenilir çalışanlar olduğunu iddia eden kişiler tarafından düzenli olarak art arda gelen bir dizi erişim istemi veya eş zamanlı iletişim gibi şüpheli davranışlara dikkat etmelerini öğretin.
Örneğin, hesapların 10 veya 20 yanlış denemeden sonra kilitlenmesi için MFA ilkelerini yeniden gözden geçirin ve belirli sayıda MFA hatasından sonra kullanıcıları parolalarını değiştirmeye zorlayın, böylece saldırganlar çalınan kimlik bilgilerini ilk seferde MFA isteklerini başlatmak için kullanamaz. yer.
Unutulmaması gereken önemli bir nokta, her şirketin tipik olarak yalnızca bir MFA çözümüne sahip olduğu ve her çözümün tek seferlik parolalardan itme tabanlı kimlik doğrulamaya ve biyometriye kadar iyi bilinen teknikleri kullanmasıdır.
Bu, kullanıcılara kullandıkları çözümle ilgili bilinen güvenlik açıkları hakkında çok özel tavsiyeler ve eğitim vermenin mümkün olduğu anlamına gelir ve şüphelerini tetiklemesi gereken anormal davranışları ana hatlarıyla belirtmek nispeten kolaydır.
Grimes, “Bir numaralı öncelik, ‘bunlar sizin MFA türünüze karşı yaygın saldırı türleridir ve bu saldırıları bu şekilde tanırsınız ve onları bu şekilde bildirirsiniz’ konusunda çalışanlarınızı eğitmektir.”
Her zaman olduğu gibi, bu öğrenmenin pekiştirilmesi çok önemlidir: tam olarak çalışanlarınızı hakkında eğittiğiniz uzlaşma türü için kullanılacak teknikleri benimseyen e-postalarla çalışanları teşvik etmek için kimlik avı simülasyon araçlarını kullanın.
Grimes, “Bu simüle edilmiş kimlik avı testinde başarısız olan kişiler daha fazla eğitim alıyor,” dedi, “yani, doğru eğitimi, doğru miktarda, ona ihtiyacı olan doğru insanlara veriyorsunuz.”
– david kahverengi Avustralya’nın Melbourne kentinde yaşayan ödüllü bir teknoloji yazarıdır.
David’in Cybercrime Magazine makalelerinin tamamını okumak için buraya gidin.
KnowBe4 sponsorluğunda
KnowBe4, devam eden sosyal mühendislik sorununu yönetmenize yardımcı olan, dünyanın en büyük güvenlik farkındalığı eğitimi ve simüle edilmiş kimlik avı platformunun sağlayıcısıdır. Fidye yazılımı, CEO dolandırıcılığı ve diğer sosyal mühendislik taktikleri hakkında farkındalığı artırarak, güvenlik konusunda bilinçlendirme eğitimine yeni bir okul yaklaşımıyla güvenliğin insan unsurunu ele almanıza yardımcı oluyoruz. Sizinki gibi on binlerce kuruluş, son kullanıcılarınızı son savunma hattınız olarak harekete geçirmek için bize güveniyor.