Dieser Beitrag wurde erstmals im Jahr 2023 veröffentlicht und wurde jetzt aktualisiert.
Einige der größten Datenschutzverletzungen der jüngeren Vergangenheit haben die Multi-Faktor-Authentifizierung umgangen (MFA). Das bedeutet nicht, dass MFA unwirksam ist. Es bedeutet, dass Angreifer MFA oft umgehen, indem sie auf die Lücken rund um die Authentifizierung abzielen und nicht auf den Faktor selbst.
Ob durch Angriffe auf die MFA-Konfiguration, Prompt-Bombardements von Benutzern oder Angriffe auf Subunternehmer - Bedrohungsakteure fanden Wege, Schwachstellen im Identitätslebenszyklus anzugreifen, Daten zu exfiltrieren und aufzuzeigen, warum MFA Ihre erste, aber nicht Ihre letzte Verteidigungslinie sein muss.
Das ist die zentrale Lektion für Sicherheitsteams. MFA ist immer noch wichtig, aber sie funktioniert am besten als Teil einer umfassenderen Strategie für die Identitätssicherheit.
Die Angreifer verwenden je nach Umgebung unterschiedliche Methoden, aber einige Muster tauchen immer wieder auf.
MFA-Müdigkeit und Souffleur-Bombardierung
Eine gängige Taktik ist MFA-Müdigkeit, auch Prompt Bombing genannt. Die Angreifer senden wiederholt Genehmigungsaufforderungen, bis ein Benutzer sie versehentlich oder aus Frustration annimmt. Dieser Ansatz funktioniert am besten, wenn Benutzer abgelenkt sind, in Eile sind oder unsicher sind, ob die Aufforderung legitim ist.
Das ist ein Grund, warum die Aufklärung der Benutzer immer noch wichtig ist. Die Menschen müssen wissen, dass eine unerwartete Eingabeaufforderung als Warnzeichen zu verstehen ist und nicht als Routineanmeldung.
Schwache MFA-Konfiguration
MFA ist nur so stark wie ihre Implementierung. Wenn Administratoren Lücken in den Richtlinien, bei der Registrierung, bei Ausweichmethoden, bei der Behandlung von Ausnahmen oder bei den Step-up-Anforderungen lassen, werden Angreifer nach ihnen suchen. In vielen Fällen ist die Schwachstelle nicht der Faktor selbst. Es ist die Art und Weise, wie der Faktor implementiert wurde.
Gefährdung durch Dritte und Auftragnehmer
Angreifer haben es auch auf Zulieferer, Auftragnehmer und Partner mit Zugang zu internen Systemen abgesehen. Eine starke Kontrolle kann immer noch versagen, wenn die Identität eines Drittanbieters übermäßig privilegiert ist, schlecht überwacht wird oder nur unzureichend geregelt ist. Das Identitätsrisiko hört nicht bei den Mitarbeitern auf.
Ausfallsichere Architektur
Ein “Fail-Open”-System ist ein System, das standardmäßig geöffnet wird, wenn die Standardbetriebskontrollen nicht funktionieren. Dieses Prinzip kann für die physische Sicherheit sinnvoll sein, aber es birgt ernsthafte Risiken, wenn es um die Sicherung des digitalen Zugangs geht.
Wenn ein System den Kontakt zu einem Cloud-basierten MFA-Dienst verliert und den Zugriff standardmäßig gewährt, können Angreifer diesen Zustand ausnutzen, um MFA vollständig zu umgehen.
Lücken im Identitätslebenszyklus
Die Authentifizierung ist nur ein Teil der Identitätssicherheit. Bedrohungsakteure wissen, dass es bei der Identität nicht nur um die Verwaltung der Identität geht. Sie suchen nach Schwachstellen bei der Bereitstellung, der Wiederherstellung, der delegierten Verwaltung, dem Zugriff Dritter und der Verwaltung von Berechtigungen.
Die wichtigste Lehre aus diesen Angriffen ist nicht, dass MFA versagt hat. Die Lektion ist, dass der Schutz der Identität über den Anmeldebildschirm hinausgehen muss.
Wenn sich Unternehmen nur auf das Authentifizierungsereignis konzentrieren, lassen sie andere hochwertige Bereiche ungeschützt. Wiederherstellungsworkflows, Richtlinienausnahmen, Offline-Zugriff, privilegierte Rollen und übermäßige Berechtigungen können zu Angriffspfaden werden.
So reicht es beispielsweise nicht aus, den Zugang zu gewähren: Unternehmen sollten sich zunächst fragen, ob der Benutzer Zugang benötigt. Wenn ja, für wie lange? Haben wir ihm zu viel Zugang gewährt oder gerade genug? Woher sollen wir das überhaupt wissen? Dies sind praktische Sicherheitsfragen, die sich direkt auf das Risiko von Sicherheitsverletzungen auswirken.
Unternehmen, die das Risiko einer MFA-Umgehung verringern möchten, benötigen einen besseren Überblick über den gesamten Identitätslebenszyklus. Das bedeutet nicht nur, dass sie wissen, wer sich anmelden kann, sondern auch, warum sie Zugriff haben, was sie erreichen können und wie sich diese Berechtigungen im Laufe der Zeit ändern.
Die beste Verteidigung ist nicht ein einzelner Faktor oder ein einzelnes Produkt. Es ist ein mehrschichtiger Ansatz, der die Lücken schließt, auf die sich Angreifer verlassen.
Stärkung der Authentifizierungsoptionen
Nicht alle Authentifizierungsmethoden bieten das gleiche Maß an Schutz. Mit Optionen wie Apple Face ID, die für mobile Benutzer nahezu allgegenwärtig sind, ist die Biometrie eine beliebte Form der passwortlosen Authentifizierung, aber sicherlich nicht die einzige. Unternehmen sollten stärkere Optionen evaluieren, die die Anfälligkeit für Phishing- und Replay-Angriffe verringern können. Bevorzugen Sie eine Reihe von passwortlosen Lösungen, die Folgendes unterstützen können jeder Nutzer, in jeder Umgebung, zu jeder Zeit.
Verringern Sie die Abhängigkeit von Vermutungen der Benutzer
Push-basierte MFA ist bequem, aber Bequemlichkeit kann zu Risiken führen, wenn von den Benutzern erwartet wird, dass sie unerwartete Aufforderungen in diesem Moment interpretieren. Je mehr ein Authentifizierungsablauf von der Einschätzung des Benutzers unter Druck abhängt, desto anfälliger kann er werden.
Aus diesem Grund sollten Unternehmen eine stärkere Authentifizierung mit Sicherheitsbewusstsein, adaptiven Richtlinienkontrollen und der Überwachung verdächtiger Genehmigungsmuster verbinden.
Planen Sie für Ausfallszenarien
Dies ist eine der klarsten Schlussfolgerungen aus diesen Sicherheitsverletzungen. Es gibt einige Möglichkeiten, wie diese Angriffe hätten vermieden werden können, ohne die Benutzer vom System auszusperren. Die erste ist der Einsatz eines hybrides Authentifizierungssystem die im Falle eines Internetausfalls auf einen lokalen Knoten vor Ort zurückgreifen kann. Die zweite Möglichkeit ist der Einsatz eines Authentifizierungssystems, das offline validiert werden kann.
In hochsicheren Umgebungen ist nicht nur die Ausfallsicherheit wichtig, sondern auch das Ausfallverhalten. Sicherheitsteams sollten genau wissen, was passiert, wenn vorgelagerte Dienste nicht mehr verfügbar sind.
Verbesserung der Sichtbarkeit der Identität
Identitätssicherheit erfordert mehr als die Verifizierung eines Faktors. Sie erfordert auch einen Einblick in den Zugriff, die Berechtigungen, Änderungen im Lebenszyklus und Risikosignale über Benutzer und Systeme hinweg. Ohne diesen Einblick können Unternehmen die Authentifizierung sichern und dennoch kritische Werte ungeschützt lassen.
Passwortlose Authentifizierung kann dazu beitragen, das Risiko der Umgehung von MFA zu verringern, indem Unternehmen von fälschbaren Anmeldedaten und anfälligen Anmeldeströmen wegkommen.
Ob es sich um biometrische Daten handelt, FIDO2, Ob QR-Codes, BLE, NFC oder andere passwortlose Formfaktoren, Unternehmen sollten Lösungen verwenden, die eine Reihe von gemischten Umgebungen, Anwendungen und Benutzergruppen unterstützen können.
Bei der passwortlosen Nutzung geht es nicht nur um Bequemlichkeit. Es kann auch die Abhängigkeit von Passwörtern verringern, die nach wie vor einer der am häufigsten genutzten Einstiegspunkte für Identitätsangriffe sind.
OTP- und FIDO-Authentifikatoren haben jeweils ihre eigenen Vorteile. Einige sind besser für die moderne browserbasierte Authentifizierung geeignet, während andere eine breitere Abdeckung in älteren und hybriden Umgebungen bieten. Beim Vergleich von OTP und FIDO ist die beste Antwort jedoch meist ein “UND”. Viele Unternehmen benötigen sowohl Flexibilität als auch mehr Sicherheit.
Die MFA muss Ihre erste Verteidigungslinie sein, aber nicht Ihre letzte. Um das Risiko einer MFA-Umgehung zu verringern, benötigen Unternehmen stärkere Authentifizierungsoptionen, eine robuste Architektur und eine bessere Transparenz über den gesamten Identitätslebenszyklus.
Mit RSA ID Plus können Unternehmen passwortlose und hybride Authentifizierung unterstützen, den Schutz für moderne und ältere Umgebungen verbessern und eine robustere Strategie für die Identitätssicherheit aufbauen. Erfahren Sie, wie RSA ID Plus kann helfen, die Lücken zu verteidigen, auf die Angreifer abzielen, wenn MFA allein steht.
MFA ist eine wichtige Sicherheitskontrolle, die am besten funktioniert, wenn sie als Teil einer umfassenderen Identitätssicherheitsstrategie eingesetzt wird. In unserem Webinar haben wir einige der häufigsten Möglichkeiten untersucht, wie Angreifer MFA umgehen können, darunter Prompt-Bombing, eine schwache Konfiguration, die Gefährdung durch Dritte und Lücken im gesamten Identitätslebenszyklus, Anatomie des Angriffs: Der Aufstieg und Fall von MFA, was zu aufmerksamen Nachfragen der Teilnehmer führte. Die folgenden FAQs behandeln einige der wichtigsten Fragen, die sich aus diesem Gespräch ergaben.
F: Würden Sie Microsoft zustimmen, dass die Windows Hello-PIN sicherer ist als ein Passwort, um Zugang zu Ihrem Arbeitsplatz zu erhalten?
A: Dies ist eine faszinierende Frage, über die noch viele Jahre lang diskutiert werden wird. Passwörter und PINs fallen beide in die Authentifizierungskategorie "etwas, das Sie wissen" und sind daher anfällig für Phishing-Angriffe. Im Vergleich zu Passwörtern sind PINs im Allgemeinen kürzer und verwenden einen begrenzten Zeichensatz. Aus einer entropischen Perspektive sind PINs also schwächer Je größer die Anzahl der möglichen Optionen, desto schwieriger ist es, ein Passwort oder eine PIN zu knacken.
Aber das ist nur ein Teil der Geschichte. Im Gegensatz zu Passwörtern sind PINs (oder zumindest PINs gemäß der Definition in NIST SP800-63) lokal validiert. Das bedeutet, dass sie niemals übertragen oder in einem zentralen Speicher abgelegt werden. Dadurch ist es sehr viel unwahrscheinlicher, dass PINs bei einem Raubüberfall abgefangen oder gestohlen werden.
Wie so oft haben die Umgebung, die Konfiguration und die Ausbildung der Benutzer einen größeren Einfluss auf Ihre allgemeine Cybersicherheit als Protokolle oder Technologien.
F: Können Sie etwas ausführlicher auf die Möglichkeiten der Offline-Authentifizierung eingehen, um das Problem des offenen Fehlers zu vermeiden? Beispiele für Architekturen oder Produktangebote?
A: Ein "Fail-Open"-System ist ein System, das standardmäßig geöffnet wird, wenn die Standardbetriebskontrollen nicht funktionieren. Dies ist zwar ein wichtiges Sicherheitsprinzip im Bereich der physischen Sicherheit (z. B. sollten im Falle eines Brandes alle Außentüren sofort entriegelt werden), aber es ist nicht so gut, wenn es um den Schutz des Zugangs zu Ihren kritischen Anlagen geht.
Im Anwendungsfall der NRO verschafften sich die Angreifer Zugang zu den Anlagen, indem sie das lokale System daran hinderten, mit dem Cloud-basierten MFA-Anbieter zu kommunizieren und so die MFA-Kontrolle zu umgehen. Dies war möglich, weil die eingesetzte Identitätslösung standardmäßig auf eine "nicht öffnenSicherheitsposition").
Es gibt mehrere Möglichkeiten, dies zu vermeiden, ohne die Benutzer aus dem System auszuschließen. Die erste ist der Einsatz eines hybriden Authentifizierungssystems, das bei einem Internetausfall auf einen lokalen (vor Ort befindlichen) Knoten zurückgreifen kann. Die zweite Möglichkeit ist der Einsatz eines Authentifizierungssystems, das offline validiert werden kann. RSA ID Plus unterstützt beide Optionen.
F: Welcher ist Ihrer Meinung nach der beste IDP (Identity Provider)?
A: Wenn ich etwas anderes antworte als 'RSA ID Plus', bin ich ziemlich sicher, dass ich meinen Job verliere.
Aber ganz im Ernst: Es gibt mehrere Dinge, auf die ich achten würde. Erstens: Hat der Anbieter eine nachweisliche Erfolgsbilanz? Zweitens: Ist Identität das Kernstück seines Geschäfts oder nur eines von vielen Dingen, die er tut? Drittens: Gibt der Anbieter bei seinen Designentscheidungen der Bequemlichkeit Vorrang vor der Sicherheit? Viertens: Bietet die Lösung die nötige Flexibilität, um eine breite Palette von Benutzern und Anwendungsfällen zu unterstützen, einschließlich der veralteten Anwendungen in den Eingeweiden Ihres Rechenzentrums? Und schließlich: Wenn etwas schief geht (und das wird es), steht der Anbieter dann mit voller Transparenz dazu, oder vernebelt er die Situation und schiebt die Schuld ab?
Sicherheit ist nicht einfach und Bedrohungsakteure Zielidentität mehr als jeder andere Teil der Angriffsfläche. Unternehmen brauchen IDPs, die das verstehen.
F: Wie zuverlässig sind die aktuellen ZTNA-Lösungen von Sicherheitsanbietern?
A: Zero Trust Network Access (ZTNA) ist ein Konzept, das auf dem Grundsatz beruht, dass Vertrauen niemals angenommen allein auf der Verbindung eines Benutzers mit dem lokalen Intranet basiert - die Benutzer müssen ständig authentifiziert werden, sie müssen die Erlaubnis haben, auf eine bestimmte Ressource zuzugreifen, und sie müssen auch einen gültigen Grund dafür haben, dies zu tun.
Obwohl es heute viele "Zero Trust"-Produkte auf dem Markt gibt, ist es wichtig zu wissen, dass ZTNA ein konzeptioneller Rahmen und eine Reihe von Best Practices ist. Wie Die Art und Weise, wie Sie die Technologie einsetzen, Ihre Richtlinien festlegen und Ihr Ökosystem verwalten, bestimmt Ihre ZTNA-Position. Technologie kann sicherlich helfen, aber wenn ein Anbieter Ihnen sagt, dass sein Produkt Sie ZTNA-konform macht, sollten Sie sich einen anderen suchen.
Wenn Sie mehr über Zero Trust erfahren möchten, empfehle ich Ihnen, mit den sieben Prinzipien von Zero Trust zu beginnen, die in NIST SP800-207 definiert sind.
F: Basiert die passwortlose Authentifizierung ausschließlich auf biometrischen Merkmalen? Welche anderen Methoden können verwendet werden, wie wird KI bei der Authentifizierung eingesetzt?
A: Mit Optionen wie Apple Face ID, die für mobile Nutzer nahezu allgegenwärtig sind, ist die Biometrie definitiv eine beliebte Form der passwortlosen Authentifizierung, aber sicherlich nicht die einzige. FIDO2 ist eine zunehmend verbreitete Wahl sowohl für Verbraucher als auch für Unternehmensanwendungen. Kontaktlose Methoden wie QR-Code, BLE und NFC werden ebenfalls verwendet, wenn auch in geringerem Umfang. Zunehmend werden KI-Prinzipien wie intelligente Regeln, maschinelles Lernen und Verhaltensanalysen eingesetzt, um das Vertrauen in die Identität als unsichtbare Authentifizierungsfaktoren zu stärken, die für den Endbenutzer wenig oder gar keine Reibungsverluste verursachen. RSA ID Plus unterstützt heute alle diese Optionen.
F: Was ist die Zukunft des Identitäts- und Zugangsmanagements?
A: Ich denke, diese drei Angriffe zeigen, dass “Identitäts- und Zugriffsmanagement”, wenn nicht ein veralteter, so doch ein unzureichender Begriff ist.
Diese Angriffe machen deutlich, dass wir Identitäten nicht nur verwalten, sondern auch sichern müssen. So reicht es beispielsweise nicht aus, den Zugang zu gewähren: Wir sollten uns zunächst fragen: "Braucht der Benutzer Zugang? Wenn ja, für wie lange? Haben wir ihm zu viel Zugang gewährt oder gerade genug? Woher sollen wir das überhaupt wissen? Ich glaube nicht, dass die Administratoren in vielen Fällen wissen, was sie tun sollen - oder wie sie es herausfinden können.
Bedrohungsakteure wissen, dass es bei der Identität um mehr geht als um die Verwaltung der Identität. Die Angriffe, die ich besprochen habe, zeigen, wie Cyberkriminelle die Lücken angreifen, die IAM nicht abdeckt. Ich denke, dass das Verständnis von Identität in Unternehmen erweitert werden muss, um den gesamten Identitätslebenszyklus zu berücksichtigen und zu sichern.
Auf technischer Ebene denke ich, dass KI eine große Rolle bei der Verarbeitung der enormen Mengen an Authentifizierungs-, Berechtigungs- und Nutzungsdaten spielen wird. Eine intelligente Plattform, die feinkörnige Daten schnell und in großem Umfang auswerten kann, ist ein echter Gewinn für die Sicherheit von Unternehmen.
F: Wie würden Sie SecurID mit YubiKey vergleichen?
A: SecurID und YubiKey sind jeweils die führenden Authentifizierungssysteme in ihren jeweiligen Kategorien. Und die gute Nachricht: RSA ID Plus unterstützt beide (neben vielen anderen Authentifizierungsoptionen).
Abgesehen von den Herstellerspezifika haben OTP- und FIDO-Authentifikatoren jeweils ihre eigenen Vorteile. Während FIDO als sichere und bequeme Option für webbasierte Anmeldungen immer beliebter wird, sind die softwarebasierten FIDO-Optionen nach wie vor nur begrenzt vielseitig, Hardwaregeräte erfordern oft eine physische Verbindung, und echte Unterstützung für FIDO über den Webbrowser hinaus gibt es so gut wie nicht. In der Zwischenzeit hat OTP den Vorteil, dass es fast überall funktioniert - auf Hardware oder Software - ohne dass eine spezielle Client-Software oder eine physische Verbindung erforderlich ist.
Beim Vergleich von OTP und FIDO ist die beste Antwort jedoch meist ein ‘UND’. Hybridgeräte wie das RSA DS100 Authentifikator kombinieren das Beste aus beiden Welten und bieten OTP und FIDO2 in einem einzigen Formfaktor, um maximale Flexibilität und breite Unterstützung zu bieten. RSA unterstützt auch die Serie iShield Key 2, die eine hardwaregestützte Authentifizierung bietet, die nach den höchsten Sicherheitsmaßstäben validiert wurde. Sie ist nach FIPS 140-3 und FIDO2 zertifiziert und entspricht Frameworks wie FedRAMP, NIST, DORA, NIS2, HIPAA und PCI DSS.
