مع الأخبار الأخيرة عن نجاح عمليات المصادقة متعددة العوامل (MFA) في تنفيذ هجمات تفجيرية سريعة يتزايد الطلب على RSA للحصول على إرشادات حول الدفاع ضد هذه الأنواع من الهجمات. في السابق، شاركنا سابقًا منشور المدونة بالتفصيل كيف يستفيد المهاجمون من إرهاق MFA ويستخدمون القصف الفوري للوصول. في هذا المنشور، نركز في هذا المنشور على تكوينات محددة داخل آي دي بلس التي يمكن استخدامها للكشف عن هذه الأنواع من هجمات MFA التعب MFA وهجمات القصف الموجه والدفاع ضدها.
ليست كل عوامل المصادقة متساوية. على الرغم من أن RSA قد تكون مشهورة بريادتها في مجال المصادقة برمز المرور لمرة واحدة (OTP) القائم على الأجهزة، إلا أن التكنولوجيا و RSA قد تطورت. وقد سهّل انتشار الهواتف الذكية انتشار استخدام المصادقة المريحة لمرة واحدة على نطاق واسع. ويتمثل أحد الأساليب التي اكتسبت انتشارًا واسعًا في إرسال إشعار فوري إلى تطبيق الهاتف الذكي مع إتاحة الخيار للمستخدم للموافقة أو الرفض.
في هذه الحالة، يقوم المستخدم بإدخال كلمة المرور الخاصة به والرد على هذا الإشعار على هاتفه الذكي أو ساعته الذكية. إذا اختار المستخدم الموافقة، يتم منحه حق الدخول، وإذا اختار المستخدم الرفض، يتم رفض الدخول. تعمل هذه الطريقة بشكل جيد لأنها تلغي الحاجة إلى توفير مصدق مادي (رمز مميز للأجهزة). كما أنها مريحة للمستخدم وليست عرضة للتأثر ب هجمات تبديل شرائح SIM طريقة المصادقة المستندة إلى الرسائل النصية القصيرة
على الرغم من أنها أكثر ملاءمة، إلا أن المصادقة المستندة إلى الدفع تعتمد على المستخدم لتحديد ورفض أي محاولة مصادقة لم يبدأها، مما يجعل هذه الطريقة عرضة لهجمات التفجير الفوري بطريقة لا تكون فيها رموز المرور لمرة واحدة.
يمكن للمستخدم إثبات حيازة جهاز ثانوي (مثل الهاتف المحمول أو مفتاح الأمان) بعدة طرق مختلفة. رموز المرور لمرة واحدة هي طريقة شائعة لتحقيق ذلك، و معيار FIDO, التي تستخدم PKI، والتي تكتسب شعبية بسرعة. المفتاح هنا هو فهم أن طرق المصادقة المختلفة لها نقاط قوة وضعف مختلفة. في بعض الحالات، تستبدل بعض طرق المصادقة الأمان بالراحة. على الرغم من أن ذلك قد يبدو وكأنه مقايضة سيئة، إلا أن الملاءمة تساعد على زيادة الاعتماد.
لنستخدم بابي الأمامي كمثال. يمكنني تركيب أربعة أقفال على باب منزلي لأصعب على أي شخص اقتحامه. هل هذه الزيادة في الأمان تستحق المفاضلة في الراحة أم أن قفل واحد يحقق التوازن الصحيح بين الأمان والراحة؟
إن مفتاح نجاح تطبيق المصادقة الآلية هو فهم نقاط القوة والضعف في أساليب المصادقة المختلفة وتحقيق التوازن الصحيح من خلال تمكين أساليب مصادقة أكثر ملاءمة عندما يكون ذلك مناسبًا وطلب أساليب أقوى (والتي قد تكون أقل ملاءمة) عندما تفرض المخاطر ذلك.
ضمن آي دي بلس النظام الأساسي، يتم تعيين كل طريقة مصادقة إلى مستوى الضمان. يقوم المسؤول بعد ذلك بإنشاء نُهج تحدد مستوى الضمان المطلوب. محرك النهج هذا مرن للغاية (يمكنك قراءة المزيد حول هذا الموضوع هنا). استناداً إلى مستوى الضمان الذي تتطلبه السياسة، يتم تقديم قائمة بخيارات المصادقة التي تلبي مستوى الضمان المطلوب إلى المستخدم.
بالإضافة إلى استخدام النُهج الثابتة لتحديد مستوى الضمان المطلوب، يمتلك ID Plus أيضًا القدرة على اتباع نهج أكثر ديناميكية. نسمي هذه الميزة الثقة في الهوية. يقوم محرك الثقة في الهوية بتحليل كل محاولة مصادقة في الوقت الفعلي باستخدام مجموعة متنوعة من العوامل وإرجاع درجة ثقة عالية أو منخفضة. يمكن أيضاً استخدام هذه النتيجة ضمن النُهج لطلب مستوى ضمان محدد. يمكن استخدام درجة الثقة وحدها أو بالاشتراك مع شروط أخرى ضمن النهج.
يمكن أن يكون التطبيق العملي لهذه الميزة هو السماح بإشعار دفع ملائم عندما تكون درجة الثقة عالية ولكن تتطلب عاملاً أقوى إذا كانت درجة الثقة منخفضة. قد تؤدي محاولة المصادقة الخبيثة باستخدام بيانات اعتماد مخترقة صادرة من جهاز غير معروف وموقع غير مألوف إلى درجة ثقة منخفضة. استناداً إلى السياسة، سيُطلب من الجهة الفاعلة الحصول على كلمة مرور لمرة واحدة أو مفتاح أمان ولن تتمكن من تشغيل تنبيه فوري إلى هاتف المستخدم الشرعي.
ميزة أخرى من ميزات ID Plus هي قائمة المستخدمين ذوي الخطورة العالية. توفر هذه الميزة واجهة لأدوات الأمان لتمييز المستخدم على أنه عالي الخطورة. يمكن استخدام حلول مثل NetWitness أو Azure Sentinel لتمييز المستخدم كمستخدم عالي الخطورة استناداً إلى نشاط أو تنبيهات تظهر خارج منصة ID Plus. باستخدام محرك السياسة، يمكن منع المستخدم عالي الخطورة من الوصول إلى التطبيق أو مطالبته بتوفير طريقة مصادقة عالية الضمان للوصول إلى التطبيق.
وبالعودة إلى مثال الباب الأمامي، لنفترض أنني بدلاً من إضافة أقفال إضافية قمت بتركيب كاميرا. ستسمح لي الكاميرا بمراقبة أي محاولات للتغلب على القفل والتنبيه إلى أي محاولات للتغلب على القفل. وبالمثل، توفر المراقبة والتنبيه بشأن نشاط المصادقة رؤية قيمة. في سياق هجمات التفجيرات الفورية، غالباً ما يرفض المستخدمون أول محاولة (محاولات) غير معترف بها ولكن يمكن أن يوافقوا في النهاية على محاولة واحدة إذا أرسل المهاجم محاولات كافية. من خلال مراقبة سجلات الأحداث وإنشاء تنبيهات حول الأنماط المشبوهة، يمكنك الحصول على رؤية واضحة وتنبيه فريق الأمن لديك للتحقيق في الهجمات المحتملة أو الناجحة.
يتم تسجيل كل حدث مصادقة في ID Plus مع تفاصيل محددة لكل خطوة في العملية (توجد القائمة الكاملة هنا). فيما يلي بعض معرّفات الأحداث المحددة التي نوصي بمراقبتها، حيث أن تكرار حدوثها قد يكون علامة على هجوم قصف موجه:
| الحدث الكود | الوصف |
| 702 | فشل اعتماد المصادقة - انتهت مهلة استجابة المستخدم. |
| 703 | فشلت المصادقة على المصادقة - تم رفض موافقة المستخدم. |
| 802 | فشلت مصادقة القياسات الحيوية للجهاز - انتهت مهلة استجابة المستخدم. |
| 803 | فشلت مصادقة القياسات الحيوية للجهاز. |
بعد الحصول على إمكانية الوصول بنجاح، سواء من خلال القصف الفوري أو أي طريقة أخرى، فإن الأسلوب الشائع هو تسجيل جهاز MFA جديد. بالإضافة إلى تأمين عملية التسجيل من خلال طلب أكثر من مجرد كلمة مرور لتسجيل MFA، توصي RSA أيضًا بتمكين إشعارات البريد الإلكتروني, ، والذي يوفر إشعارًا إضافيًا للمستخدم الذي ربما يكون قد وافق على تسجيل دخول ضار بأنه قد تم تسجيل مصدق جديد أو أنه قد تم حذف المصادقة الحالية.
للحماية من هجمات القصف الفوري وإرهاق MFA:
- قم بتثقيف المستخدمين حول خطورة الموافقة على مطالبة مصادقة غير معترف بها وشجعهم على إبلاغ فريق الأمان لديك وتغيير كلمة المرور الخاصة بهم في حالة حدوث ذلك.
- ضع في اعتبارك استخدام طرق مصادقة بديلة لتطبيقات أو مواقف معينة. يمكن أن يكون تحديد الثقة وقائمة المستخدمين ذوي الخطورة العالية عوناً كبيراً.
- راقب السجلات بحثًا عن طلبات الدفع المرفوضة أو طلبات الدفع التي انتهت مدتها الزمنية وأنشئ تنبيهات عند رصدها على التوالي.
- قم بتأمين عملية تسجيل جهاز MFA.
- تمكين التنبيه عبر البريد الإلكتروني للتغييرات التي تطرأ على الجهاز.
