Schutz vor MFA-Prompt-Bombenangriffen

Mit dem Jüngste Nachrichten über erfolgreiche Angriffe mit Multi-Faktor-Authentifizierung (MFA) RSA wird zunehmend um Ratschläge zur Abwehr dieser Arten von Angriffen gebeten. Zuvor hatten wir eine Blogbeitrag wie Angreifer die MFA-Müdigkeit ausnutzen und sich mit Prompt-Bombing Zugang verschaffen. In diesem Beitrag konzentrieren wir uns auf bestimmte Konfigurationen innerhalb ID Plus die zur Erkennung und Abwehr dieser Arten von MFA-Müdigkeit und Prompt-Bombing-Angriffen verwendet werden können.

Nicht alle Authentifizierungsfaktoren sind gleich. Obwohl RSA als Pionier der hardwarebasierten One-Time-Passcode-Authentifizierung (OTP) bekannt sein dürfte, haben sich sowohl die Technologie als auch RSA weiterentwickelt. Die Verbreitung von Smartphones hat die weit verbreitete Annahme von bequemer MFA erleichtert. Ein Ansatz, der sich durchgesetzt hat, ist das Senden einer Push-Benachrichtigung an eine Smartphone-Anwendung mit der Option, dass der Benutzer die Authentifizierung zulassen oder verweigern kann.

In diesem Fall gibt der Nutzer sein Passwort ein und reagiert auf diese Push-Benachrichtigung auf seinem Smartphone oder seiner Smartwatch. Wählt der Nutzer die Option "Genehmigen", wird der Zugang gewährt, wählt er "Verweigern", wird der Zugang verweigert. Diese Methode funktioniert gut, da kein physischer Authentifikator (Hardware-Token) mehr benötigt wird. Sie ist bequem für den Benutzer und nicht anfällig für SIM-Swapping-Angriffe wie bei der SMS-basierten Authentifizierung.

Obwohl die Push-Authentifizierung bequemer ist, muss der Benutzer jeden Authentifizierungsversuch, den er nicht selbst initiiert hat, identifizieren und verweigern, was diese Methode in einer Weise anfällig für Prompt-Bombing-Angriffe macht, wie es bei Einmal-Passcodes nicht der Fall ist.

Ein Benutzer kann den Besitz eines zweiten Geräts (z. B. eines Mobiltelefons oder eines Sicherheitsschlüssels) auf verschiedene Weise nachweisen. Einmalige Passcodes sind ein gängiger Weg, dies zu erreichen, und die FIDO-Standard, die PKI verwendet, gewinnt schnell an Popularität. Dabei ist es wichtig zu verstehen, dass verschiedene Authentifizierungsmethoden unterschiedliche Stärken und Schwächen haben. In einigen Fällen wird bei bestimmten Authentifizierungsmethoden Sicherheit gegen Bequemlichkeit eingetauscht. Auch wenn es nach einem schlechten Kompromiss klingt, trägt die Bequemlichkeit dazu bei, die Akzeptanz zu erhöhen.

Nehmen wir meine Haustür als Vergleich. Ich könnte vier Riegel an meiner Tür anbringen, um es jemandem zu erschweren, einzubrechen. Ist dieser Zugewinn an Sicherheit die Einbußen an Komfort wert, oder bietet ein einziger Riegel das richtige Gleichgewicht zwischen Sicherheit und Komfort?

Der Schlüssel zu einer erfolgreichen MFA-Implementierung liegt darin, die Stärken und Schwächen der verschiedenen Authentifizierungsmethoden zu verstehen und das richtige Gleichgewicht zu finden, indem man bequemere Authentifizierungsmethoden zulässt, wenn es angebracht ist, und stärkere Methoden (die möglicherweise weniger bequem sind) verlangt, wenn das Risiko dies erfordert.

Innerhalb der ID Plus Plattform wird jede Authentifizierungsmethode einem Sicherheitsebene. Der Administrator erstellt dann Richtlinien, die festlegen, welche Sicherheitsstufe erforderlich ist. Diese Richtlinien-Engine ist äußerst flexibel (Sie können mehr darüber lesen hier). Auf der Grundlage des von der Richtlinie geforderten Sicherheitsniveaus wird dem Benutzer eine Liste von Authentifizierungsoptionen angezeigt, die dem erforderlichen Sicherheitsniveau entsprechen.

Neben der Verwendung statischer Richtlinien zur Bestimmung des erforderlichen Sicherheitsniveaus bietet ID Plus auch die Möglichkeit, einen dynamischeren Ansatz zu verfolgen. Wir nennen diese Funktion Identität Vertrauen. Das Identitätsvertrauensmodul analysiert jeden Authentifizierungsversuch in Echtzeit anhand einer Vielzahl von Faktoren und gibt eine hohe oder niedrige Vertrauensbewertung ab. Dieses Ergebnis kann auch in Richtlinien verwendet werden, um ein bestimmtes Sicherheitsniveau zu verlangen. Der Vertrauenswert kann allein oder in Kombination mit anderen Bedingungen innerhalb der Richtlinie verwendet werden.

Eine praktische Anwendung dieser Funktion könnte darin bestehen, eine bequeme Push-Benachrichtigung zuzulassen, wenn der Vertrauenswert hoch ist, aber einen stärkeren Faktor zu verlangen, wenn der Vertrauenswert niedrig ist. Ein böswilliger Authentifizierungsversuch mit kompromittierten Anmeldedaten, der von einem unbekannten Gerät und einem unbekannten Ort ausgeht, würde einen niedrigen Vertrauenswert auslösen. Basierend auf der Richtlinie würde der Akteur nach einem OTP oder einem Sicherheitsschlüssel gefragt werden und wäre nicht in der Lage, eine Push-Benachrichtigung an das Telefon des legitimen Benutzers zu senden.

Ein weiteres Merkmal von ID Plus ist die Liste der Benutzer mit hohem Risiko. Diese Funktion bietet eine Schnittstelle für Sicherheitstools, um einen Benutzer als hohes Risiko zu kennzeichnen. Lösungen wie NetWitness oder Azure Sentinel können verwendet werden, um einen Benutzer auf der Grundlage von Aktivitäten oder Warnungen, die außerhalb der ID Plus-Plattform festgestellt wurden, als hohes Risiko einzustufen. Mithilfe der Richtlinien-Engine kann einem Benutzer mit hohem Risiko der Zugriff auf die Anwendung verweigert werden oder er muss eine Authentifizierungsmethode mit hohem Sicherheitsgrad bereitstellen, um Zugriff zu erhalten.

Um auf das Beispiel mit der Haustür zurückzukommen: Angenommen, ich würde keine zusätzlichen Riegel anbringen, sondern eine Kamera installieren. Die Kamera würde es mir ermöglichen, jeden Versuch, meinen Riegel zu überwinden, zu überwachen und alarmiert zu werden. In ähnlicher Weise bietet die Überwachung und Alarmierung bei Authentifizierungsaktivitäten wertvolle Einblicke. Bei Prompt-Bombing-Angriffen verweigern die Benutzer oft den ersten unerkannten Versuch, könnten ihn aber schließlich zulassen, wenn der Angreifer genügend Versuche schickt. Durch die Überwachung von Ereignisprotokollen und die Erstellung von Warnmeldungen zu verdächtigen Mustern können Sie sich einen Überblick verschaffen und Ihr Sicherheitsteam alarmieren, um potenzielle oder erfolgreiche Angriffe zu untersuchen.

Jedes Authentifizierungsereignis in ID Plus wird mit spezifischen Details für jeden Schritt des Prozesses protokolliert (die vollständige Liste finden Sie unter hier). Nachfolgend sind einige spezifische Ereignis-IDs aufgeführt, deren Überwachung wir empfehlen, da wiederholtes Auftreten ein Anzeichen für einen Prompt-Bombing-Angriff sein könnte:

Nachdem man sich erfolgreich Zugang verschafft hat, sei es durch Prompt-Bombing oder eine andere Methode, besteht eine gängige Methode darin, ein neues MFA-Gerät zu registrieren. Zusätzlich zur Sicherung des Registrierungsprozesses durch die Anforderung von mehr als nur einem Passwort für die MFA-Registrierung empfiehlt RSA auch die Aktivierung E-Mail-Benachrichtigungen, die einen Benutzer, der eine böswillige Anmeldung genehmigt hat, zusätzlich darüber informiert, dass ein neuer Authentifikator registriert wurde oder dass sein bestehender Authentifikator gelöscht wurde.

Zum Schutz vor prompten Bombenangriffen und MFA-Müdigkeit:

• Klären Sie die Benutzer über die Gefahr auf, eine nicht erkannte Authentifizierungsaufforderung zu akzeptieren, und ermutigen Sie sie, dies Ihrem Sicherheitsteam zu melden und ihr Passwort zu ändern, wenn dies geschieht.
• Erwägen Sie die Verwendung alternativer Authentifizierungsmethoden für bestimmte Anwendungen oder Situationen. Identifizieren Sie das Vertrauen und die Liste der Benutzer mit hohem Risiko kann eine große Hilfe sein.
• Überwachen Sie die Protokolle auf verweigerte oder zeitlich begrenzte Push-Anfragen und generieren Sie Warnungen, wenn diese nacheinander entdeckt werden.
• Sichern Sie die MFA-Geräte-Registrierungsprozess.
• Aktivieren Sie die E-Mail-Benachrichtigung bei Geräteänderungen.