Jeden Tag werden die Menschen mit Benachrichtigungen bombardiert. Klicken Sie dies, drücken Sie das, Pieptöne, Alarme, Klingeln, die Liste geht weiter und weiter. Manchmal muss man sich fragen, wie jemand überhaupt etwas zustande bringt.
Wenn man etwas wiederholt tut, wird es so routiniert, dass man gar nicht mehr darauf achtet. Denken Sie daran, wie oft Sie schon gehört haben, dass jemand etwas "ohne nachzudenken" tut. Und jeder Cyberkriminelle weiß, dass jede Ablenkung oder Überforderung der Menschen eine Gelegenheit ist. Handlungen, die man automatisch und ohne bewusste Emotionen oder Überlegungen vornimmt, lassen sich leicht ausnutzen.
Multi-Faktor-Authentifizierung (MFA) wird weithin als entscheidender Schritt zur Verbesserung der Sicherheit angesehen. Anstatt nur einen Benutzernamen und ein Kennwort für den Zugriff auf eine Ressource zu verlangen, fügt MFA einen weiteren "Faktor" zur Identifizierung Ihrer Person hinzu, z. B. Passkeys, Push-to-Approval, One-Time-Passwort (OTP), biometrische Daten oder ein Hardware-Token. MFA verbessert die Sicherheit, denn selbst wenn ein Berechtigungsnachweis kompromittiert wird, ist theoretisch kein unbefugter Benutzer in der Lage, die zweite Authentifizierungsanforderung zu erfüllen.
Das Problem mit MFA ist, dass sie lästig sein kann. Wenn Sie viele MFA-Benachrichtigungen erhalten, werden Sie, wie bei jeder anderen Art von Benachrichtigung auch, möglicherweise nicht so aufmerksam sein, wie Sie es sein sollten. Und genau darauf zählen die Bedrohungsakteure. Sie hoffen, dass diese abgelenkten Benutzer ihnen die MFA-Zugangsdaten geben, die sie für die Authentifizierung in einer sicheren Umgebung benötigen, indem sie die Aufmerksamkeit Ihrer Benutzer untergraben. Diese Taktik wird als "MFA-Müdigkeit" bezeichnet, und sie hat aufgrund von aufsehenerregenden Sicherheitsverletzungen bei Unternehmen wie Uber, Cisco, Twitter, Robinhood, Okta, und Office 365-Benutzer.
MFA-Müdigkeit ist eine Art von Phishing-Angriff. In der MITRE ATT&CK-Rahmenwerk, Es wird definiert als eine Möglichkeit, "Multi-Faktor-Authentifizierungsmechanismen (MFA) zu umgehen und Zugang zu Konten zu erhalten, indem MFA-Anfragen an Benutzer gesendet werden".
Die Funktionsweise des Angriffs besteht darin, dass ein Hacker Zugriff auf den Benutzernamen und das Kennwort eines Mitarbeiters erhält, die dann für einen Anmeldeversuch verwendet werden. Dies löst eine Multi-Faktor-Push-Benachrichtigung aus, die in der Regel am anfälligsten für MFA-Müdigkeit ist. Oft handelt es sich bei der Benachrichtigung um ein neues Fenster oder ein Pop-up-Fenster, das auf dem Smartphone erscheint und den Mitarbeiter auffordert, die Anfrage zu bestätigen oder abzulehnen. Diese Bildschirme mit der Frage "Sind Sie das wirklich?" sind so häufig, dass die Mitarbeiter oft nur darauf klicken, um sie zu ignorieren, damit sie ihren Tag fortsetzen können.
Bedrohungsakteure imitieren diese routinemäßigen Bestätigungen ein paar Mal, in der Hoffnung, den Benutzer in einem Moment der Unaufmerksamkeit zu erwischen. Wenn ein paar Anfragen nicht funktionieren, erhöhen die Hacker den Einsatz. Manchmal überschwemmen sie das Authentifizierungsprogramm des Nutzers mit mehreren Benachrichtigungen, so dass das Telefon des Nutzers regelrecht zugemüllt wird. Und wenn das nicht funktioniert, können sie andere Social-Engineering-Taktiken anwenden, wie z. B. Anrufe oder SMS, in denen sie sich als IT-Mitarbeiter oder eine andere Autorität ausgeben, um den Benutzer zu überzeugen, die MFA-Benachrichtigung zu akzeptieren.
Ähnlich wie das Klicken auf einen Link in einer Phishing-E-Mail oder auf einer Malware-Website kann das Bestätigen einer MFA-Benachrichtigung katastrophale Folgen haben. Sobald ein Hacker in das Netzwerk eingedrungen ist, versucht er in der Regel, Wege zu finden, um auf andere wichtige Systeme zuzugreifen. Wenn ein Unternehmen verschiedene Zero-Trust-Sicherheitsmaßnahmen wie Least-Privilege-Zugriff, Endpunktüberwachung und Identity Governance implementiert hat, kann es sowohl die Wahrscheinlichkeit einer Kompromittierung von Anmeldeinformationen verringern als auch einen Angreifer daran hindern, großen Schaden anzurichten. Die meisten Unternehmen weisen jedoch Sicherheitslücken auf, die genutzt werden können, um sich Zugang zu verschaffen. Im Fall des Uber-Angriffs gelang es dem Angreifer, ein Skript zu finden, das ihm den Zugriff auf die PAM-Plattform (Privileged Access Management) des Unternehmens ermöglichte.
Informieren Sie
Es mag keine aufregende High-Tech-Lösung sein, aber die Aufklärung der Benutzer ist das wichtigste Element, um zu verhindern, dass diese Art von "Prompt-Bombing"-Angriffen erfolgreich ist. Es ist so, als würde jemand an Ihre Tür klopfen oder einen Summer benutzen, um in Ihr Wohnhaus zu gelangen. Sie lassen ihn nicht herein, ohne aus dem Fenster zu schauen oder sich zu fragen: "Wer ist es?" Wenn Sie eine Push-Benachrichtigung erhalten, denken Sie nach, bevor Sie klicken. Warum sollten Sie jemals eine Anmeldeanfrage genehmigen, wenn Sie sich nicht anmelden? Die Antwort ist, dass Sie das auf keinen Fall tun sollten.
Die richtige Technologie haben
Obwohl die Aufklärung der Nutzer über die MFA-Risiken von entscheidender Bedeutung ist, kann auch die Technologie helfen. Durch die Bereitstellung von zusätzlichem Kontext innerhalb der MFA-Benachrichtigung können die Benutzer eine fundierte Entscheidung über die Genehmigung treffen. Einige MFA-Lösungen zeigen zum Beispiel den Zeitstempel, die Anwendung und/oder den Standort in der Benachrichtigung an. Andere zeigen auf der Web-Anmeldeseite einen eindeutigen Anmeldecode an, der mit dem gleichen Code in der Benachrichtigung abgeglichen werden muss. Sie können auch die Verwendung von OTP-Passcodes anstelle von Push-Verfahren in Erwägung ziehen, die in der Regel widerstandsfähiger gegen solche Angriffe sind. Unabhängig davon, für welche Lösung Sie sich entscheiden, werden diese Techniken die Möglichkeit verringern, dass Endbenutzer versehentlich Anfragen genehmigen, die sie nicht initiiert haben.
Adaptiven Zugang einrichten
Es sollte keine Einheitslösung geben: Kontext kann auch eingesetzt werden, um MFA-Ermüdungsangriffe abzuschwächen, indem die Möglichkeiten des potenziellen Angreifers, ahnungslose Benutzer zu spammen, eingeschränkt werden. Adaptiver Zugang und risikobasierte Authentifizierung kann Anmeldeanfragen auf bestimmte vertrauenswürdige Standorte oder bekannte Geräte beschränken, Verhaltensanalysen können helfen, anormale Anmeldeaktivitäten zu erkennen, und die Ratenbegrenzung kann aufeinanderfolgende erfolglose Anmeldeversuche drosseln.
Passwortlos gehen
Wenn möglich, sollten Sie passwortlose Methoden als Alternative zur benachrichtigungsbasierten MFA in Betracht ziehen. FIDO2 zum Beispiel wurde speziell entwickelt, um Phishing und "Man in the Middle" (MitM) oder "Adversary in the Middle" (AitM) Angriffen zu widerstehen, indem es eine direkte kryptographische Verbindung zwischen dem Authentifikator und der Webanwendung erfordert. Selbst mit phishing-resistenten Methoden wie FIDO ist MFA jedoch nur so sicher wie der Lebenszyklus der Anmeldeinformationen. Dieser Lebenszyklus beginnt mit MFA Immatrikulation, sondern umfasst auch Ereignisse wie Geräte Austausch und Zurücksetzen von Zugangsdaten. Diese Aktivitäten gehören zu den wahrscheinlichsten Fällen, in denen sich Angreifer unbefugten Zugang verschaffen.
Ständig überwachen
Schließlich müssen Unternehmen erkennen, dass Prävention nur die Hälfte der Lösung ist. Identitätssysteme müssen auch bei der Erkennung und Behebung laufender Angriffe helfen. Zwei Beispiele für potenzielle Indikatoren für verdächtige Aktivitäten sind aufeinanderfolgende Anmeldefehler oder übermäßige Anmeldeversuche. Diese Informationen können in Sicherheitsinformations- und Ereignisverwaltungslösungen (SIEM) eingespeist werden, um von den Mitarbeitern der Sicherheitsabteilung weiter untersucht zu werden, oder sie können dazu verwendet werden, eine Kontenüberprüfung in einer Identitätsmanagement und -verwaltung (IGA) Plattform.
Durch die Schulung der Benutzer und die Implementierung robusterer Kontrollen rund um ihre MFA-Prozesse können Unternehmen das Risiko einer MFA-Müdigkeit verringern. Es ist auch wichtig, sicherzustellen, dass das Unternehmen, mit dem Sie zusammenarbeiten, über Schutzmechanismen in seinen Systemen verfügt. RSA hat eine weißes Papier die einen Überblick über unsere Sicherheitsrichtlinien mit Informationen über unsere Sicherheitsmaßnahmen, einschließlich unserer Praktiken, Abläufe und Kontrollen rund um ID Plus bietet. Und für Echtzeit-Informationen über unsere Systemleistung und Sicherheitshinweise können Sie unsere Website besuchen Sicherheitsseite.
Der RSA-Ansatz ist widerstandsfähiger gegen MFA-Müdigkeit: Aus diesem Grund wenden sich sicherheitsorientierte Unternehmen an uns, um ihr Unternehmen zu schützen. Weitere Informationen über Authentifizierungsrisiken und darüber, wie RSA Ihnen dabei helfen kann, von der Sicherheit, die sich auf Passwörter verlässt, wegzukommen, finden Sie in unserer Lösungsübersicht: Passwortlose Authentifizierung: Die Zeit ist reif, und die Hilfe ist da.
###
Testen Sie die weltweit am häufigsten eingesetzte Cloud MFA kostenlos.
