كل يوم، ينهال الناس بالإشعارات. انقر على هذا، واضغط على ذاك، والصفير والإنذارات والرنين والقائمة تطول وتطول. في بعض الأحيان عليك أن تتساءل كيف يمكن لأي شخص إنجاز أي شيء.
عندما تفعل شيئًا ما مرارًا وتكرارًا، يصبح الأمر روتينيًا لدرجة أنك لم تعد تنتبه إليه. فكّر في عدد المرات التي سمعت فيها شخصًا ما يشير إلى فعل شيء ما "دون تفكير". ويعلم كل مجرم إلكتروني أنه في أي وقت يتشتت فيه انتباه الناس أو ينشغلون عن التفكير في أي شيء يكون فرصة سانحة. من السهل استغلال الأفعال التي تقوم بها تلقائياً دون أي شعور أو تفكير واعٍ.
المصادقة متعددة العوامل (MFA) على نطاق واسع كخطوة حاسمة نحو تحسين الأمان. فبدلاً من طلب اسم مستخدم وكلمة مرور فقط للوصول إلى مورد ما، تضيف المصادقة المصاحبة المتعددة العوامل "عاملاً" آخر لتحديد هويتك مثل مفاتيح المرور أو الدفع للمصادقة أو كلمة مرور لمرة واحدة (OTP) أو القياسات الحيوية أو رمز مميز للأجهزة. تعمل المصادقة متعددة العوامل على تحسين الأمان لأنه حتى إذا تم اختراق أحد بيانات الاعتماد، من الناحية النظرية، لن يتمكن أي مستخدم غير مصرح له من تلبية متطلبات المصادقة الثانية.
المشكلة مع MFA هي أنها قد تكون مزعجة. مثل أي نوع آخر من الإشعارات، إذا تلقيت الكثير من إشعارات MFA، فقد لا تنتبه لها كما ينبغي. وهذا ما تعتمد عليه جهات التهديد. فهم يأملون أنه من خلال تشتيت انتباه المستخدمين لديك، فإن هؤلاء المستخدمين المشتتين سيمنحونهم بيانات اعتماد المصادقة المصادقة متعددة العوامل التي يحتاجونها للمصادقة في بيئة آمنة. يُشار إلى هذا التكتيك باسم "إرهاق المصادقة المصادقة المصطنعة"، وقد أصبح هذا التكتيك أكثر لفتاً للانتباه بسبب الاختراقات البارزة التي تعرضت لها شركات مثل أوبر, سيسكو, تويتر, روبن هود, أوكتا, و مستخدمو Office 365.
إجهاد MFA هو نوع من هجمات التصيد الاحتيالي. في إطار عمل MITRE ATT&CK, ، يتم تعريفه على أنه طريقة "لتجاوز آليات المصادقة متعددة العوامل (MFA) والوصول إلى الحسابات عن طريق إنشاء طلبات المصادقة متعددة العوامل المرسلة إلى المستخدمين."
الطريقة التي يعمل بها الهجوم هي أن المخترق يحصل على إمكانية الوصول إلى اسم المستخدم وكلمة المرور الخاصة بالموظف، والتي يتم استخدامها بعد ذلك لمحاولة تسجيل الدخول. يؤدي ذلك إلى تشغيل إشعار دفع متعدد العوامل، والذي يميل إلى أن يكون الأكثر عرضة للإرهاق من MFA. وغالباً ما يكون الإشعار عبارة عن نافذة جديدة أو مربع منبثق يظهر على الهاتف الذكي، والذي يطلب من الموظف الموافقة على الطلب أو رفضه. شاشات "هل هذا أنت حقًا؟" هذه الشاشات شائعة جدًا لدرجة أن الأشخاص غالبًا ما ينقرون عليها فقط لإيقافها حتى يتمكنوا من متابعة يومهم.
ستقوم الجهات التخريبية بتقليد تلك التأكيدات التلقائية عدة مرات، على أمل أن تصطاد المستخدم في لحظة غفلة. إذا لم تنجح بعض الطلبات، سيزيد المخترقون من حدة الأمر. في بعض الأحيان يقومون بإغراق برنامج المصادقة الخاص بالمستخدم بإشعارات متعددة، مما يؤدي فعلياً إلى إغراق هاتف الشخص. وإذا لم يفلح ذلك، فقد يستخدمون أساليب هندسة اجتماعية أخرى مثل الاتصال أو إرسال رسائل نصية متظاهرين بأنهم موظفو تكنولوجيا المعلومات أو بعض السلطات الأخرى لإقناع المستخدم بقبول إشعار المصادقة متعددة المزايا.
تماماً مثل النقر على رابط في رسالة بريد إلكتروني تصيدية أو موقع برمجيات خبيثة، فإن الموافقة على إشعار MFA يمكن أن يؤدي إلى عواقب كارثية. بمجرد دخول أحد المخترقين إلى الشبكة، عادةً ما يبذلون قصارى جهدهم لإيجاد طرق للتنقل والوصول إلى أنظمة حرجة أخرى. إذا طبّقت الشركة العديد من التدابير الأمنية التي لا تتسم بالثقة مثل الوصول الأقل امتيازاً ومراقبة نقطة النهاية وحوكمة الهوية، فيمكنها تقليل احتمالية اختراق بيانات الاعتماد ومنع المهاجم من إحداث الكثير من الضرر. ولكن معظم الشركات لديها ثغرات أمنية يمكن استخدامها للوصول إلى البيانات. في حالة هجوم أوبر، تمكن المتسلل من العثور على برنامج نصي مكّنه من الوصول إلى منصة إدارة الوصول المميز (PAM) الخاصة بالشركة.
تثقيف
قد لا يكون حلاً تقنيًا مثيرًا عالي التقنية، ولكن تثقيف المستخدم هو العنصر الأهم في منع نجاح هذه الأنواع من هجمات "التفجير الفوري". الأمر يشبه إلى حد كبير شخصًا يطرق بابك أو يستخدم جرسًا للدخول إلى المبنى السكني الخاص بك. أنت لا تسمح له بالدخول دون أن تنظر من النافذة أو تسأل "من الطارق"؟ إذا تلقيت إشعارًا فوريًا، فكّر قبل أن تنقر عليه. لماذا توافق على طلب تسجيل الدخول عندما لا تقوم بتسجيل الدخول؟ الإجابة هي أنه لا يجب عليك ذلك على الإطلاق.
امتلاك التكنولوجيا المناسبة
على الرغم من أهمية تثقيف المستخدمين بشأن مخاطر المصادقة المصادقة المصغرة (MFA)، إلا أن التكنولوجيا يمكن أن تساعد أيضاً. من خلال توفير سياق إضافي ضمن إشعار المصادقة المصدق الشخصي، يمكن للمستخدمين اتخاذ قرار مستنير بشأن الموافقة أو عدمها. على سبيل المثال، تعرض بعض حلول المصادقة المصطنعة الطابع الزمني و/أو التطبيق و/أو الموقع ضمن الإشعار. يعرض البعض الآخر رمز تسجيل دخول فريد على صفحة تسجيل الدخول على الويب والذي يجب مطابقته مع نفس الرمز في الإشعار. أو فكر في استخدام رموز مرور OTP بدلاً من الدفع، والتي تميل إلى أن تكون أكثر مرونة في مواجهة هذه الهجمات. أيًا كان الحل الذي تختاره، فإن هذه التقنيات ستقلل من إمكانية موافقة المستخدمين النهائيين عن طريق الخطأ على طلبات لم يبدؤوها.
إشراك الوصول التكيفي
لا ينبغي أن تكون الحلول ذات مقاس واحد يناسب الجميع: يمكن أيضاً استخدام السياق للتخفيف من هجمات إجهاد المصادقة المصغرة من خلال الحد من قدرة المهاجم المحتمل على إرسال رسائل غير مرغوب فيها إلى المستخدمين المطمئنين. الوصول التكيفي و المصادقة القائمة على المخاطر الحد من طلبات تسجيل الدخول إلى مواقع محددة موثوق بها أو أجهزة معروفة، ويمكن أن تساعد التحليلات السلوكية في اكتشاف نشاط تسجيل الدخول غير الطبيعي، ويمكن أن يؤدي تحديد المعدل إلى خنق محاولات تسجيل الدخول غير الناجحة المتتالية.
استخدام كلمة مرور بدون كلمة مرور
عندما يكون ذلك ممكناً، ضع في اعتبارك الأساليب التي لا تحتوي على كلمة مرور كبديل عن المصادقة متعددة الأطراف القائمة على الإشعارات. على سبيل المثال، تم تصميم FIDO2 خصيصًا لمقاومة التصيد الاحتيالي وهجمات "الرجل في المنتصف" (MitM) أو "الخصم في المنتصف" (AitM) من خلال طلب اتصال تشفير مباشر بين المصادق وتطبيق الويب. ومع ذلك، حتى مع الأساليب المقاومة للتصيد الاحتيالي مثل FIDO، فإن المصادقة المصغرة لا تكون آمنة إلا بقدر دورة حياة بيانات الاعتماد. تبدأ دورة الحياة هذه ب التسجيل في برنامج MFA, ، ولكنها تشمل أيضًا أحداث مثل الجهاز الاستبدال وإعادة تعيين بيانات الاعتماد. هذه الأنشطة هي بعض الحالات الأكثر احتمالاً للمهاجمين للحصول على وصول غير مصرح به.
المراقبة المستمرة
وأخيراً، يجب أن تدرك المؤسسات أن الوقاية ليست سوى نصف الحل. يجب أن تساعد أنظمة الهوية أيضاً في الكشف عن الهجمات الجارية ومعالجتها. تعد حالات فشل تسجيل الدخول المتتالية أو محاولات تسجيل الدخول المفرطة مثالين على المؤشرات المحتملة للنشاط المشبوه. يمكن تغذية هذه المعلومات في حلول إدارة المعلومات الأمنية والأحداث (SIEM) لمزيد من التحقيق من قبل موظفي عمليات الأمن أو استخدامها لبدء مراجعة الحساب في حوكمة الهوية وإدارتها منصة (IGA).
من المهم أيضاً التأكد من أن الشركة التي تعمل معها لديها وسائل حماية على أنظمتها. لدى RSA ورقة بيضاء التي توفر لمحة عامة عن سياساتنا الأمنية مع معلومات حول تدابيرنا الأمنية، بما في ذلك ممارساتنا وعملياتنا وضوابطنا حول ID Plus. وللحصول على معلومات في الوقت الفعلي حول أداء نظامنا وإرشادات الأمان، يمكنك زيارة موقعنا صفحة الأمان.
يُعد نهج RSA أكثر مرونة في مواجهة إجهاد المصادقة متعددة الأطراف: ولهذا السبب تلجأ إلينا المؤسسات التي تعتمد على الأمان أولاً لمساعدتها في حماية أعمالها. لمزيد من المعلومات حول مخاطر المصادقة وكيف يمكن أن تساعدك RSA على الابتعاد عن الأمان الذي يعتمد على كلمات المرور، اطلع على موجز الحلول الخاص بنا: المصادقة بدون كلمة مرور: حان الوقت الآن، والمساعدة هنا.
###
جرِّب خدمة MFA السحابية الأكثر انتشاراً في العالم مجاناً.
