نُشر هذا المنشور لأول مرة في عام 2023 وتم تحديثه.
تهربت بعض أكبر اختراقات البيانات في الذاكرة الحديثة من المصادقة متعددة العوامل (وزارة الخارجية). هذا لا يعني أن المصادقة المصغرة غير فعالة. بل يعني أن المهاجمين غالباً ما يتجاوزون MFA من خلال استهداف الثغرات المحيطة بالمصادقة بدلاً من العامل نفسه.
وسواء كان ذلك من خلال مهاجمة كيفية تكوين المصادقة المصادقة المصغرة، أو من خلال مهاجمة المستخدمين الذين يقومون بقصف سريع، أو مهاجمة المتعاقدين من الباطن، فقد وجدت الجهات الفاعلة في مجال التهديد طرقاً لمهاجمة نقاط الضعف في دورة حياة الهوية، واستخراج البيانات، وكشف لماذا يجب أن تكون المصادقة المصغرة خط الدفاع الأول وليس الأخير.
هذا هو الدرس الأساسي لفرق الأمن. لا تزال المصادقة المصغّرة مهمة، ولكنها تعمل بشكل أفضل كجزء من استراتيجية أمن هوية أوسع نطاقاً.
يستخدم المهاجمون أساليب مختلفة اعتمادًا على البيئة، ولكن هناك عدة أنماط تظهر مرارًا وتكرارًا.
إرهاق وزارة الخارجية والقصف الفوري
أحد التكتيكات الشائعة إرهاق وزارة الخارجية, ، وتسمى أيضًا القصف الفوري. يقوم المهاجمون بإرسال طلبات الموافقة بشكل متكرر إلى أن يقبل المستخدم أحدها عن طريق الخطأ أو بدافع الإحباط. يعمل هذا الأسلوب بشكل أفضل عندما يكون المستخدمون مشتتين، أو متسرعين، أو غير متأكدين مما إذا كانت المطالبة شرعية.
هذا هو أحد أسباب استمرار أهمية تثقيف المستخدم. يحتاج الناس إلى معرفة أنه يجب التعامل مع المطالبة غير المتوقعة كعلامة تحذير، وليس كخطوة روتينية لتسجيل الدخول.
تكوين MFA ضعيف
تكون MFA قوية بقدر قوة تنفيذها. إذا ترك المسؤولون ثغرات في السياسة أو التسجيل أو الطرق الاحتياطية أو التعامل مع الاستثناءات أو متطلبات التصعيد، فإن المهاجمين سيبحثون عنها. في كثير من الحالات، لا يكون الضعف في العامل نفسه. إنها الطريقة التي تم بها نشر العامل.
تعرض الطرف الثالث والمقاول
يستهدف المهاجمون أيضًا الموردين والمتعاقدين والشركاء الذين لديهم إمكانية الوصول إلى الأنظمة الداخلية. ومع ذلك يمكن أن تفشل الرقابة القوية إذا كانت هوية الطرف الثالث ذات امتيازات مفرطة أو مراقبة ضعيفة أو محكومة بشكل ضعيف. لا تتوقف مخاطر الهوية على الموظفين.
بنية مفتوحة على الفشل
النظام “المفتوح في حالة الفشل” هو النظام الذي يتم فتحه افتراضيًا عندما تكون عناصر التحكم في التشغيل القياسية غير فعالة. يمكن أن يكون هذا المبدأ منطقيًا في الأمن المادي، ولكن يقدم مخاطر جسيمة عندما يتعلق الأمر بتأمين الوصول الرقمي.
إذا فقد نظام ما الاتصال بخدمة المصادقة المصادقة الآلية المستندة إلى السحابة وتخلّف عن منح الوصول، يمكن للمهاجمين استغلال هذه الحالة لتجاوز المصادقة الآلية بالكامل.
ثغرات دورة حياة الهوية
المصادقة هي جزء واحد فقط من أمن الهوية. تعرف الجهات الفاعلة في مجال التهديدات أن هناك ما هو أكثر من إدارة الهوية. فهم يبحثون عن نقاط الضعف في التزويد والاسترداد والإدارة المفوضة والوصول من طرف ثالث وحوكمة الاستحقاقات.
الدرس الأكبر المستفاد من هذه الهجمات ليس فشل المصادقة المصغرة. الدرس هو أن دفاعات الهوية يجب أن تمتد إلى ما وراء شاشة تسجيل الدخول.
عندما تركز المؤسسات على حدث المصادقة فقط، فإنها تترك مجالات أخرى عالية القيمة مكشوفة. يمكن أن تصبح عمليات سير عمل الاسترداد واستثناءات السياسة والوصول دون اتصال بالإنترنت والأدوار المميزة والاستحقاقات المفرطة مسارات للهجوم.
على سبيل المثال، لا يكفي توفير الوصول: يجب أن تبدأ المؤسسات بالسؤال هل يحتاج المستخدم إلى الوصول؟ إذا كان الأمر كذلك، فإلى متى؟ هل زودناهم بوصول أكثر من اللازم أم بما يكفي؟ كيف لنا أن نعرف ذلك؟ هذه أسئلة أمنية عملية تؤثر بشكل مباشر على مخاطر الاختراق.
تحتاج المؤسسات التي ترغب في تقليل مخاطر تجاوز MFA إلى رؤية أقوى عبر دورة حياة الهوية الكاملة. وهذا يعني فهم ليس فقط من يمكنه تسجيل الدخول، ولكن أيضاً فهم سبب تمتعه بإمكانية الوصول، وما الذي يمكنه الوصول إليه، وكيف تتغير هذه الأذونات بمرور الوقت.
أفضل دفاع ليس عاملاً واحداً أو منتجاً واحداً. إنه نهج متعدد الطبقات يسد الثغرات التي يعتمد عليها المهاجمون.
تعزيز خيارات المصادقة
لا توفر جميع طرق المصادقة نفس مستوى الحماية. مع انتشار خيارات مثل مُعرّف الوجه من Apple Face ID في كل مكان تقريباً لمستخدمي الهواتف المحمولة، أصبحت القياسات الحيوية شكلاً شائعاً من أشكال المصادقة بدون كلمة مرور، ولكنها بالتأكيد ليست الوحيدة. يجب على المؤسسات تقييم الخيارات الأقوى التي يمكن أن تقلل من التعرض لهجمات التصيد الاحتيالي والهجمات القائمة على إعادة التشغيل. إعطاء الأولوية لمجموعة من الحلول الخالية من كلمات المرور التي يمكنها دعم كل مستخدم، في كل بيئة، في كل مرة.
تقليل الاعتماد على تخمين المستخدم
تعتبر المصادقة الآلية القائمة على الدفع (MFA) مريحة، ولكن يمكن أن تؤدي الملاءمة إلى مخاطر عندما يُتوقع من المستخدمين تفسير المطالبات غير المتوقعة في الوقت الحالي. كلما زاد اعتماد تدفق المصادقة على حكم المستخدم تحت الضغط، كلما أصبح أكثر عرضة للخطر.
ولهذا السبب يجب على المؤسسات أن تقرن المصادقة الأقوى بالتوعية الأمنية، وضوابط السياسة التكيفية، ومراقبة أنماط الموافقة المشبوهة.
التخطيط لسيناريوهات الفشل
هذه واحدة من أوضح النتائج المستخلصة من هذه الاختراقات. هناك بعض الطرق التي كان يمكن من خلالها تجنب هذه الهجمات دون حجب المستخدمين عن النظام. الطريقة الأولى هي استخدام نظام المصادقة الهجين التي يمكن أن تعود إلى عقدة محلية داخل الشركة في حالة تعطل الإنترنت. والثاني هو استخدام نظام مصادقة يمكن التحقق من صحته دون اتصال بالإنترنت.
في البيئات عالية التأمين، المرونة مهمة، وكذلك سلوك الفشل. يجب أن تعرف فرق الأمن ما يحدث بالضبط عندما تكون خدمات المنبع غير متوفرة.
تحسين وضوح الهوية
يتطلب أمن الهوية أكثر من مجرد التحقق من العامل. فهو يتطلب أيضاً رؤية ثاقبة للوصول والاستحقاقات وتغييرات دورة الحياة وإشارات المخاطر عبر المستخدمين والأنظمة. وبدون هذه الرؤية، قد تقوم المؤسسات بتأمين المصادقة مع ترك الأصول الهامة مكشوفة.
مصادقة بدون كلمة مرور المساعدة في تقليل مخاطر تجاوز MFA من خلال إبعاد المؤسسات عن بيانات الاعتماد القابلة للاختراق وتدفقات تسجيل الدخول الهشة.
سواء كان الأمر يتعلق بالقياسات الحيوية, FIDO2, أو رموز QR، أو BLE، أو NFC، أو غيرها من عوامل الشكل بدون كلمة مرور، يجب على المؤسسات استخدام حلول يمكنها دعم مجموعة من البيئات والتطبيقات ومجموعات المستخدمين المختلطة.
لا يقتصر استخدام كلمات المرور بدون كلمة مرور على الراحة فقط. بل يمكن أن يقلل أيضاً من الاعتماد على كلمات المرور، التي تظل واحدة من أكثر نقاط الدخول التي يتم استغلالها في هجمات الهوية.
تتمتع كل من مصادقات OTP وFIDO بمزايا فريدة من نوعها. فبعضها أكثر ملاءمة للمصادقة الحديثة المستندة إلى المتصفح، في حين أن البعض الآخر يوفر تغطية أوسع عبر البيئات القديمة والهجينة. ومع ذلك، عند المقارنة بين OTP وFIDO، فإن أفضل إجابة هي عادةً “و”. تحتاج العديد من المؤسسات إلى كل من المرونة والضمان الأقوى.
يجب أن تكون MFA خط دفاعك الأول، ولكن ليس الأخير. وللحد من مخاطر تجاوز المصادقة المصادقة المصغّرة (MFA)، تحتاج المؤسسات إلى خيارات مصادقة أقوى، وبنية مرنة، ورؤية أفضل عبر دورة حياة الهوية الكاملة.
مع RSA ID Plus، يمكن للمؤسسات دعم المصادقة بدون كلمة مرور والمصادقة المختلطة، وتعزيز الحماية للبيئات الحديثة والقديمة، وبناء استراتيجية أمن هوية أكثر مرونة. تعرف على كيفية عمل RSA ID Plus يمكن أن تساعد في الدفاع ضد الثغرات التي يستهدفها المهاجمون عندما تكون MFA قائمة بذاتها.
تُعد المصادقة المصادقة المصغّرة (MFA) عنصر تحكم أمني بالغ الأهمية يعمل بشكل أفضل عندما يتم نشره كجزء من استراتيجية أمنية أوسع للهوية. لقد استكشفنا في ندوتنا على الويب العديد من الطرق الشائعة التي يستخدمها المهاجمون لتجاوز المصادقة المصغّرة MFA، بما في ذلك القصف الفوري والتكوين الضعيف والتعرض للجهات الخارجية والثغرات عبر دورة حياة الهوية, تشريح الهجوم: صعود وسقوط MFA, مما أثار أسئلة متابعة مدروسة من الحضور. وتتناول الأسئلة الشائعة أدناه بعض أهم الأسئلة التي انبثقت عن تلك المحادثة.
سؤال: هل تتفق مع Microsoft على أن رقم التعريف الشخصي لـ Windows Hello أكثر أمانًا من كلمة المرور للوصول إلى محطة العمل الخاصة بك؟
ج: هذا سؤال رائع سيتم مناقشته لسنوات عديدة قادمة. تندرج كل من كلمات المرور وأرقام التعريف الشخصية ضمن فئة المصادقة "شيء تعرفه" وبالتالي فهي عرضة لهجمات التصيد الاحتيالي. بالمقارنة مع كلمات المرور، تكون أرقام التعريف الشخصية بشكل عام أقصر في الطول وتستخدم مجموعة أحرف مقيدة. لذلك من من منظور إنتروبي، فإن أرقام التعريف الشخصية هي أضعف من كلمات المرور - أي أنه كلما زاد عدد الخيارات المحتملة، كلما كان من الصعب فرض كلمة مرور أو رقم تعريف شخصي بالقوة الغاشمة.
ولكن هذا جزء فقط من القصة. على عكس كلمات المرور، فإن أرقام التعريف الشخصية (أو على الأقل أرقام التعريف الشخصية كما حددها NIST SP800-63) هي معتمد محلياً. وهذا يعني أنه لا يتم نقلها أو تخزينها في مستودع مركزي. وهذا يقلل من احتمالية اعتراض أرقام التعريف الشخصية أو سرقتها في هجوم التحطيم والاستيلاء.
كما هو الحال في كثير من الأحيان، يكون للبيئة والتكوين وتعليم المستخدم تأثير أكبر على وضع الأمن السيبراني العام من البروتوكولات أو التقنيات.
سؤال: هل يمكنك تقديم المزيد من التفاصيل حول خيارات المصادقة دون اتصال بالإنترنت لتجنب مشكلة فشل فتح الحساب. أمثلة على البنية أو عروض المنتجات؟
ج: نظام "عدم الفتح" هو النظام الذي يتم فتحه افتراضيًا عندما تكون عناصر التحكم في التشغيل القياسية غير فعالة. في حين أن هذا مبدأ سلامة مهم في الأمن المادي (على سبيل المثال، في حالة نشوب حريق، يجب فتح جميع الأبواب الخارجية على الفور)، إلا أنه ليس رائعًا عند حماية الوصول إلى أصولك المهمة.
في حالة استخدام المنظمات غير الحكومية، تمكن المهاجمون من الوصول إلى الأصل عن طريق منع النظام المحلي من التواصل مع مزود خدمة المصادقة متعددة الأطراف المستندة إلى السحابة، متجاوزين بذلك التحكم في المصادقة متعددة الأطراف. كان هذا ممكناً لأن حل الهوية المعمول به كان افتراضياً إلى "فشل مفتوح" الوضع الأمني).
هناك عدة طرق يمكن من خلالها تجنب هذا الأمر دون حجب المستخدمين عن النظام. الطريقة الأولى هي استخدام نظام مصادقة هجين يمكن أن يعود إلى عقدة محلية (داخل الشركة) في حالة تعطل الإنترنت. والثاني هو استخدام نظام مصادقة يمكن التحقق من صحته دون اتصال بالإنترنت. يدعم RSA ID Plus كلا الخيارين.
س: ما هو أفضل مزود للهوية (IDP) من وجهة نظرك؟
ج: إذا أجبت بأي شيء آخر غير "RSA ID Plus"، فأنا متأكد تمامًا من أنني سأفقد وظيفتي.
ولكن بكل جدية، هناك العديد من الأشياء التي سأبحث عنها. أولاً، هل لدى البائع سجل حافل؟ ثانياً، هل الهوية هي جوهر أعمالهم أم أنها مجرد واحدة من بين العديد من الأشياء التي يقومون بها؟ ثالثاً، هل يعطي البائع الأولوية للراحة على الأمان في اتخاذ قرارات التصميم؟ رابعاً، هل يوفر الحل المرونة اللازمة لدعم مجموعة واسعة من المستخدمين وحالات الاستخدام، بما في ذلك تلك التطبيقات القديمة المشعرة في أحشاء مركز البيانات الخاص بك؟ وأخيراً، عندما تسوء الأمور (وستحدث)، هل يتحمل البائع المسؤولية بشفافية كاملة أم أنه يقوم بالتعتيم وإلقاء اللوم على الآخرين؟
الأمن ليس بالأمر السهل، والتهديدات الهوية المستهدفة أكثر من أي جزء آخر من سطح الهجوم. تحتاج المؤسسات إلى نازحين داخليين يفهمون ذلك.
س: ما مدى موثوقية حلول ZTNA الحالية التي يقدمها بائعو خدمات الأمن؟
ج: الوصول إلى شبكة الثقة الصفرية (ZTNA) هو مفهوم يستند إلى مبدأ أن الثقة يجب ألا تكون افترض استنادًا فقط إلى اتصال المستخدم بالشبكة الداخلية المحلية - يجب أن تتم مصادقة المستخدمين بشكل مستمر، ويجب أن يكون لديهم إذن للوصول إلى مورد معين، ويجب أن يكون لديهم أيضًا سبب وجيه للقيام بذلك.
في حين أن هناك العديد من منتجات "الثقة الصفرية" في السوق اليوم، من المهم ملاحظة أن ZTNA هو إطار مفاهيمي ومجموعة من أفضل الممارسات. كيف أنت توظف التكنولوجيا، وتحدد سياساتك، وتدير نظامك البيئي الذي سيحدد وضعك في ZTNA. يمكن للتكنولوجيا أن تساعدك بالتأكيد، ولكن إذا أخبرك أي بائع أن منتجه سيجعلك متوافقًا مع ZTNA، فابحث عن شخص آخر.
إذا كنت ترغب في معرفة المزيد عن الثقة الصفرية، فإنني أوصي بالبدء بالمبادئ السبعة للثقة الصفرية المحددة في NIST SP800-207.
سؤال: هل تعتمد المصادقة بدون كلمة مرور بالكامل على القياسات الحيوية؟ وما هي الطرق الأخرى التي يمكن استخدامها، وكيف يتم استخدام الذكاء الاصطناعي في المصادقة؟
ج: مع انتشار خيارات مثل معرّف الوجه من Apple Face ID في كل مكان تقريبًا لمستخدمي الأجهزة المحمولة، فإن القياسات الحيوية هي بالتأكيد شكل شائع من أشكال المصادقة بدون كلمة مرور، ولكنها بالتأكيد ليست الوحيدة. يعد FIDO2 خيارًا شائعًا بشكل متزايد لكل من حالات استخدام المستهلكين والمؤسسات. كما يتم استخدام طرق عدم التلامس مثل رمز الاستجابة السريعة و BLE و NFC، وإن كان ذلك بدرجة أقل. على نحو متزايد، يتم استخدام مبادئ الذكاء الاصطناعي مثل القواعد الذكية والتعلم الآلي والتحليلات السلوكية لزيادة الثقة في الهوية كعوامل غير مرئية للمصادقة التي لا تسبب احتكاكًا كبيرًا أو لا تسبب أي احتكاك للمستخدم النهائي. تدعم RSA ID Plus جميع هذه الخيارات اليوم.
سؤال: ما هو مستقبل إدارة الهوية والوصول؟
ج: أعتقد أن هذه الهجمات الثلاث تُظهر جميعًا أن “إدارة الهوية والوصول” إن لم يكن مصطلحًا قديمًا، فربما يكون مصطلحًا غير كافٍ.
تؤكد هذه الهجمات على أننا بحاجة إلى تأمين الهويات، وليس فقط إدارتها. على سبيل المثال، لا يكفي توفير الوصول: يجب أن نبدأ بالسؤال "هل يحتاج المستخدم إلى الوصول؟ إذا كان الأمر كذلك، فإلى متى؟ هل زودناهم بوصول أكثر من اللازم أم بما يكفي؟ كيف لنا أن نعرف ذلك؟ في الكثير من الحالات، لا أعتقد أن المسؤولين سيعرفون بطريقة أو بأخرى - أو حتى كيف يكتشفون ذلك.
تدرك الجهات الفاعلة في مجال التهديدات أن هناك ما هو أكثر من مجرد إدارة الهوية. توضح الهجمات التي استعرضتها كيف أن مجرمي الإنترنت يهاجمون الثغرات التي لا تأخذها إدارة الهوية في الحسبان. أعتقد أن فهم المؤسسات للهوية يجب أن يتوسع ليأخذ في الحسبان و تأمين دورة حياة الهوية الكاملة.
على مستوى أكثر تقنية، أعتقد أن الذكاء الاصطناعي سيكون له دور كبير في معالجة الكميات الهائلة من بيانات المصادقة والاستحقاق والاستخدام. إن وجود نظام أساسي ذكي يمكنه تقييم البيانات الدقيقة بسرعة وعلى نطاق واسع يمكن أن يكون رصيدًا حقيقيًا في الحفاظ على أمان المؤسسات.
س: كيف تقارن بين SecurID و YubiKey؟
ج: يعد كل من SecurID و YubiKey من المصادقات الرائدة في فئتها. والخبر السار - يدعم RSA ID Plus كلاهما (من بين العديد من خيارات المصادقة الأخرى).
بالابتعاد عن تفاصيل البائعين، فإن لكل من مصادقة OTP و FIDO مزايا فريدة من نوعها. فبينما تزداد شعبية FIDO كخيار آمن وملائم لتسجيل الدخول على الويب، لا تزال خيارات FIDO القائمة على البرامج محدودة الاستخدام، وغالباً ما تتطلب الأجهزة اتصالاً فعلياً، والدعم الحقيقي ل FIDO خارج متصفح الويب غير موجود تقريباً. وفي الوقت نفسه، يتمتع OTP بميزة العمل في أي مكان تقريبًا - على الأجهزة أو على البرامج - دون الحاجة إلى أي برنامج عميل متخصص أو اتصال مادي.
ولكن عند المقارنة بين OTP وFIDO، فإن أفضل إجابة عادةً ما تكون ‘و’. الأجهزة الهجينة مثل RSA DS100 تجمع أداة المصادقة بين أفضل ما في العالمين، حيث تقدم OTP وFIDO2 في عامل شكل واحد لتوفير أقصى قدر من المرونة واتساع نطاق الدعم. تدعم RSA أيضًا سلسلة iShield Key 2, الذي يوفر مصادقة مدعومة بالأجهزة تم التحقق من صحتها وفقاً لأعلى معايير الأمان. وهو معتمد بموجب FIPS 140-3 وFIDO2، ويتوافق مع أطر العمل بما في ذلك FedRAMP وNIST وDORA وNIS2 وHIPAA وPCI DSS.
