الحماية من هجمات القصف الموجه من MFA

نُشر هذا المنشور لأول مرة في عام 2022 وتم تحديثه. 

مع التقارير الأخيرة عن القصف الفوري الناجح لوزارة الخارجية, أو ما يُعرف أيضًا باسم هجمات الدفع بالقنابل أو هجمات إجهاد المصادقة MFA، تلقت RSA المزيد من الطلبات للحصول على إرشادات عملية حول كيفية الحد من المخاطر. لقد أوضحنا سابقاً كيف يستخدم المهاجمون مطالبات الموافقة المتكررة للضغط على المستخدمين لقبول محاولة تسجيل دخول احتيالية. يستند هذا المنشور إلى هذا الأساس ويركز على RSA ID Plus التكوينات التي يمكنك استخدامها لاكتشاف الأنماط المشبوهة، والحد من الموافقات المدفوعة عند ارتفاع المخاطر، وتقوية دفاعاتك ضد القصف الفوري لـ MFA.

القصف الفوري MFA، ويسمى أيضًا قصف الدفع أو نوبة إجهاد MFA, هو عندما يقوم أحد المهاجمين بتشغيل طلبات موافقة MFA بشكل متكرر على جهاز المستخدم. والهدف من ذلك هو إرباك المستخدم حتى يوافق على طلب واحد، وغالبًا ما يكون المهاجم قد حصل بالفعل على كلمة مرور المستخدم.

يعمل هذا لأن الدفع المستند إلى مصادقة متعددة العوامل تعتمد على رفض المستخدم للمطالبات المشبوهة في الوقت الحالي. أما العوامل التي تتطلب إدخال المستخدم بشكل متعمد، مثل إدخال رمز مرور لمرة واحدة أو استخدام مصادقة مقاومة للتصيد الاحتيالي، فهي أقل عرضة بشكل عام لأن المهاجم لا يمكنه ببساطة إرسال موافقات غير مرغوب فيها.

عادةً ما تبدأ هجمات المصادقة الأمنية المصغرة (MFA) وهجمات الدفع الفوري وهجمات التعب من المصادقة الأمنية المصغرة بعد حصول المهاجم على اسم مستخدم وكلمة مرور صالحين. ويحاول المهاجم تسجيل الدخول ويقوم بتشغيل طلبات المصادقة الأمنية التلقائية (MFA) بشكل متكرر إلى جهاز المستخدم المسجل. يطلب كل طلب من المستخدم الموافقة على محاولة تسجيل الدخول أو رفضه.

نظرًا لأن المصادقة الفورية مصممة للراحة، يمكن للمستخدمين الموافقة على الوصول بنقرة واحدة. إذا تم إرسال عدد كافٍ من المطالبات المتتالية، فقد يوافق المستخدم المشتت أو المرهق في النهاية على طلب واحد، مما يسمح للمهاجم بإكمال عملية المصادقة.

تعمل المصادقة المستندة إلى الدفع بشكل جيد في السيناريوهات المشروعة لأنها تلغي الحاجة إلى مصادقة مادية وتقلل من الاحتكاك مقارنةً برموز الأجهزة أو رموز المرور التي يتم إدخالها يدويًا لمرة واحدة. ومع ذلك، فإن نموذج الموافقة أو الرفض هذا يعتمد على المستخدم للتعرف على المحاولات المشبوهة ورفضها، مما يخلق فرصة لهجمات التفجير الفوري.

أنواع الهجمات التفجيرية السريعة

في حين أن معظم هجمات تفجيرات MFA تستهدف الإشعارات الفورية، إلا أن هناك اختلافات يجب أن تفهمها فرق الأمن:

• الدفع بالقصف بالقنابل (إجهاد MFA الكلاسيكي): يتم إرسال تنبيهات فورية متكررة حتى يوافق المستخدم على الطلب.
• هجمات الهندسة الاجتماعية الهجينة: بعد الشروع في تنفيذ عملية قصف الدفع، يتصل المهاجم بالمستخدم، منتحلاً شخصية دعم تكنولوجيا المعلومات، ويطلب منه الموافقة على الطلب. 
• محاولات إغراق OTP: في بعض الحالات، يقوم المهاجمون بتشغيل رموز المرور لمرة واحدة بشكل متكرر من خلال الرسائل النصية القصيرة أو قنوات التوصيل الأخرى، في محاولة لإرباك المستخدم أو الجمع بين التكتيك والتصيد الاحتيالي.

إن فهم هذه الاختلافات يساعد المؤسسات على تصميم دفاعات متعددة الطبقات بدلاً من الاعتماد على يقظة المستخدم وحدها.

تنجح هجمات القصف الموجه لأنها تستهدف السلوك البشري بقدر ما تستهدف التكنولوجيا. عندما يتلقى المستخدمون مطالبات المصادقة أو المكالمات الهاتفية أو الرسائل المتكررة، يهدف المهاجمون إلى خلق حالة من الارتباك والإلحاح وسلوك الموافقة الروتينية. لهذا السبب يبدأ الدفاع ضد إجهاد المصادقة الآلية بإعطاء المستخدمين توقعات واضحة، ومسارات إبلاغ بسيطة، وطرق موثوقة للتحقق من الطلبات المشبوهة.

يحتاج المستخدم إلى تدريب مستمر للحفاظ على الوعي

يجب أن يعلم المستخدمون أن أي طلب مصادقة لم يبادروا به يجب أن يتم التعامل معه على أنه مشبوه. يمكن للتدريب السنوي للتوعية الأمنية أن يدعم الامتثال، ولكنه نادراً ما يعد المستخدمين لمحاولات الهندسة الاجتماعية سريعة الحركة. يعد التوجيه القصير والمتكرر أكثر فعالية لأنه يعزز ما يبدو عليه السلوك المشبوه في المواقف الحقيقية.

يحتاج المستخدمون إلى طريقة واضحة للاستجابة 

عندما يتلقى المستخدمون إشعاراً غير متوقع أو رسالة متابعة غير متوقعة، يجب أن يعرفوا بالضبط ما يجب عليهم فعله بعد ذلك. ويعني ذلك توفير طريقة بسيطة ومعروفة للإبلاغ عن المشكلة والاتصال بمكتب الخدمة أو فريق الأمان. كلما كانت هذه العملية أسهل، زاد احتمال تصرف المستخدمين بسرعة.

يقلل التحقق من مخاطر الهندسة الاجتماعية

وغالباً ما يجمع المهاجمون بين الضغط على المستخدمين من خلال المكالمات أو الرسائل النصية أو رسائل البريد الإلكتروني أو رسائل الدردشة للضغط على المستخدمين للموافقة على الطلب. يجب على المؤسسات تحديد كيفية اتصال فرق الدعم بالمستخدمين بشكل شرعي ومنح الموظفين طريقة موثوقة للتحقق من الاتصالات قبل اتخاذ أي إجراء.

الأسئلة التي يجب طرحها

يجب على فرق الأمن أن تأخذ بعين الاعتبار الأسئلة التالية للدفاع ضد هجمات التفجيرات الفورية MFA:

• هل يعرف المستخدمون كيفية الاستجابة لطلب دفع غير متوقع؟
• هل يمكن للمستخدمين الإبلاغ بسرعة عن حدث مصادقة مشبوه؟
• هل يعرف الموظفون كيفية الاتصال بمكتب الخدمة أو فريق الأمن؟
• هل يفهم المستخدمون كيف يجب أن يحدث التواصل مع الدعم المشروع؟
• هل هناك عملية واضحة للتحقق مما إذا كانت الرسالة أو المكالمة أو المطالبة حقيقية؟

في سيناريوهات القصف الفوري، يقوم المهاجمون بإنشاء موافقات دفع متكررة في فترة زمنية قصيرة. غالباً ما يرفض المستخدمون المطالبات المبكرة أو يتجاهلونها، ولكن يمكن لموافقة عرضية واحدة أن تكمل عملية تسجيل الدخول. وهذا يجعل الكشف القائم على النمط أمراً ضرورياً.

ابحث عن مؤشرات مثل:

• الرفض المتكرر للدفع المتكرر أو المهلات لنفس المستخدم خلال فترة قصيرة
• مطالبات MFA المتعددة في تتابع سريع, ، خاصة خارج سلوك تسجيل الدخول العادي
• محاولات تسجيل الدخول من أجهزة أو عناوين IP أو مواقع غير مألوفة مرتبط بنفس الحساب
• ارتفاع في نشاط الدفع عبر العديد من المستخدمين, ، والتي يمكن أن تشير إلى حملة أوسع

لا تشير دفعة واحدة مرفوضة إلى وجود هجوم. يجب أن تؤدي حالات الرفض أو المهلات المتعددة المتجمعة معًا، خاصةً عندما تقترن بإشارات مخاطر أخرى، إلى إجراء تحقيق.

الكشف عن القصف الفوري في RSA ID Plus

يتم تسجيل كل حدث مصادقة في RSA ID Plus مع بيانات حدث مفصلة يمكن استخدامها لتحديد أنماط القصف الفوري. يجب على فرق الأمن أن تراقب وقوع أحداث متكررة أو غير طبيعية مثل:

• 702 - فشلت مصادقة الموافقة على المصادقة: انتهت مهلة استجابة المستخدم
• 703 - فشلت مصادقة الموافقة على المصادقة: تم رفض موافقة المستخدم
• 802 - فشلت مصادقة القياسات الحيوية للجهاز: انتهت المهلة
• 803 - فشل مصادقة القياسات الحيوية للجهاز

عندما تظهر هذه الأحداث على التوالي لنفس المستخدم، يمكن أن تشير إلى محاولة تفجير MFA نشطة. يؤدي إقران أنماط السجل هذه مع إشارات الجهاز والموقع والثقة إلى تحسين الدقة ومساعدة الفرق على الاستجابة قبل حدوث موافقة ناجحة.

يتطلب الدفاع الفعال أكثر من مجرد إخبار المستخدمين بعدم الموافقة على المطالبات غير المعروفة. يجب على المؤسسات الجمع بين تثقيف المستخدمين، وخيارات عوامل أقوى، والمراقبة للحد من فرص إساءة الاستخدام.

تعد المصادقة الآلية القائمة على الدفع (MFA) ضعيفة لأنها تعتمد على اتخاذ المستخدم القرار الصحيح في الوقت الحالي. أما العوامل التي تتطلب إجراءً متعمداً من المستخدم، مثل رموز المرور لمرة واحدة أو المصادقات المقاومة للتصيد الاحتيالي، فهي أقل عرضة بشكل عام لطلبات الموافقة المتكررة.

تشمل التدابير الدفاعية الرئيسية ما يلي:

• توعية المستخدمين برفض المطالبات غير المتوقعة والإبلاغ عنها فوراً وإعادة تعيين بيانات الاعتماد عند الاقتضاء.
• تفضيل العوامل الأقوى للتطبيقات والمستخدمين وسيناريوهات الوصول ذات المخاطر العالية.
• راقب المطالبات المتكررة المرفوضة أو التي انتهت مدتها الزمنية ونبه إلى الأنماط المشبوهة.
• تأمين تسجيل واسترداد MFA بحيث لا يمكن للمهاجمين تسجيل جهاز جديد بعد الحصول على حق الوصول.
• إعلام المستخدمين عند إضافة المصادقات أو إزالتها أو تغييرها.
• تحقق من علامات وجود بيانات اعتماد مخترقة وراجع ما إذا كانت سياسات المصادقة المصغرة تسمح بالوصول إلى الكثير من البيانات مع تحقق محدود.

عندما تعمل هذه الضوابط معًا، تحدّ المؤسسات من تعرضها لهجمات التفجيرات الفورية. 

داخل RSA ID Plus, ، يتم تعيين أساليب المصادقة إلى مستويات الضمان، ويمكن للمسؤولين إنشاء نُهج تحدد مستوى الضمان المطلوب بناءً على السياق. عندما تكون المخاطر مرتفعة، يمكن أن تتطلب النُهج أساليب مصادقة أقوى بدلاً من السماح بالموافقة على الدفع.

تدعم RSA ID Plus أيضًا نهجًا أكثر ديناميكية من خلال الثقة في الهوية. يقوم محرك الثقة بتقييم محاولات المصادقة في الوقت الفعلي ويعيد درجة ثقة عالية أو منخفضة. يمكن استخدام هذه الإشارة في قرارات السياسة للسماح بموافقات الدفع عندما تكون الثقة عالية وتتطلب مصادقة متدرجة عندما تكون الثقة منخفضة.

بالنسبة للمستخدمين الذين تم تصنيفهم على أنهم من ذوي المخاطر العالية، تتيح قائمة المستخدمين ذوي المخاطر العالية تشديد الضوابط. يمكن لأدوات الأمان وضع علامة على المستخدم كمستخدم عالي الخطورة بناءً على تنبيهات أو نشاط مشبوه، ويمكن للسياسات بعد ذلك رفض الوصول أو طلب عوامل ضمان أعلى للحد من التعرض لأساليب التعب من المصادقة المتعددة.