Con el noticias recientes sobre el éxito de la autenticación multifactor (AMF) provocan atentados RSA ha recibido cada vez más peticiones de orientación para defenderse de este tipo de ataques. Anteriormente, compartimos un entrada del blog detallando cómo los atacantes se aprovechan de la fatiga de MFA y utilizan bombardeos rápidos para obtener acceso. En este post, nos centramos en configuraciones específicas dentro de ID Plus que pueden utilizarse para detectar y defenderse contra estos tipos de ataques MFA Fatigue y Prompt Bombing.
No todos los factores de autenticación son iguales. Aunque RSA sea más conocida por ser pionera en la autenticación por código de un solo uso (OTP) basada en hardware, tanto la tecnología como RSA han evolucionado. La proliferación de los smartphones ha facilitado la adopción generalizada de una AMF cómoda. Un método que se ha generalizado es el envío de una notificación push a una aplicación de smartphone con la opción de que el usuario apruebe o rechace la solicitud.
En este caso, el usuario introduce su contraseña y responde a esta notificación push en su smartphone o reloj inteligente. Si el usuario elige aprobar, se le concede el acceso; si elige denegar, se le deniega el acceso. Este método funciona bien porque elimina la necesidad de proporcionar un autentificador físico (token de hardware). Es cómodo para el usuario y no es vulnerable a Ataques de intercambio de SIM como lo es la autenticación basada en SMS.
Aunque es más cómoda, la autenticación basada en pulsaciones depende de que el usuario identifique y rechace cualquier intento de autenticación que no haya iniciado, lo que hace que este método sea susceptible de ataques de bombardeo inmediato de una forma en que no lo son las contraseñas de un solo uso.
Un usuario puede demostrar la posesión de un dispositivo secundario (por ejemplo, un teléfono móvil o una llave de seguridad) de varias maneras diferentes. Las contraseñas de un solo uso son una forma habitual de conseguirlo, y la Norma FIDO, que utiliza PKI, está ganando popularidad rápidamente. La clave está en comprender que los distintos métodos de autenticación tienen puntos fuertes y débiles diferentes. En algunos casos, algunos métodos de autenticación cambian la seguridad por la comodidad. Aunque pueda parecer una mala compensación, la comodidad ayuda a impulsar la adopción.
Utilicemos la puerta de mi casa como analogía. Podría instalar cuatro cerrojos para dificultar la entrada. ¿Merece la pena ese aumento de la seguridad a cambio de una mayor comodidad, o es un único cerrojo el que consigue el equilibrio perfecto entre seguridad y comodidad?
La clave del éxito de la implantación de la AMF es comprender los puntos fuertes y débiles de los distintos métodos de autenticación y encontrar el equilibrio adecuado, permitiendo métodos de autenticación más cómodos cuando proceda y exigiendo métodos más potentes (que pueden ser menos cómodos) cuando el riesgo así lo exija.
Dentro del ID Plus cada método de autenticación se asigna a un nivel de garantía. A continuación, el administrador crea políticas que determinan qué nivel de seguridad se requiere. Este motor de políticas es extremadamente flexible (puede leer más sobre él aquí). En función del nivel de seguridad requerido por la política, se presenta al usuario una lista de opciones de autenticación que cumplen el nivel de seguridad requerido.
Además de utilizar políticas estáticas para determinar el nivel de seguridad requerido, ID Plus también tiene la capacidad de adoptar un enfoque más dinámico. Esta función se denomina Identidad Confianza. El motor de confianza de identidad analiza cada intento de autenticación en tiempo real utilizando una variedad de factores y devuelve una puntuación de confianza alta o baja. Este resultado también puede utilizarse dentro de las políticas para exigir un nivel de confianza específico. La puntuación de confianza puede utilizarse sola o en combinación con otras condiciones dentro de la política.
Una aplicación práctica de esta función podría ser permitir una notificación push conveniente cuando la puntuación de confianza es alta, pero exigir un factor más fuerte si la puntuación de confianza es baja. Un intento de autenticación malicioso con credenciales comprometidas procedente de un dispositivo no reconocido y una ubicación desconocida activaría una puntuación de confianza baja. Según esta política, se pediría al actor una OTP o una clave de seguridad y no podría enviar una notificación push al teléfono del usuario legítimo.
Otra característica de ID Plus es el lista de usuarios de alto riesgo. Esta función proporciona una interfaz para que las herramientas de seguridad marquen a un usuario como de alto riesgo. Se pueden utilizar soluciones como NetWitness o Azure Sentinel para marcar a un usuario como de alto riesgo en función de la actividad o las alertas observadas fuera de la plataforma ID Plus. Utilizando el motor de políticas, se podría denegar el acceso a la aplicación a un usuario de alto riesgo o exigirle que proporcione un método de autenticación de alta seguridad para obtener acceso.
Volviendo al ejemplo de la puerta principal, supongamos que, en lugar de añadir cerrojos adicionales, instalo una cámara. La cámara me permitiría vigilar y recibir alertas de cualquier intento de forzar el cerrojo. Del mismo modo, vigilar y alertar sobre la actividad de autenticación proporciona información valiosa. En el contexto de los ataques de bombardeo, los usuarios a menudo rechazarán el primer intento no reconocido, pero podrían llegar a aprobar uno si el atacante envía suficientes intentos. Al supervisar los registros de eventos y crear alertas sobre patrones sospechosos, puede ganar visibilidad y alertar a su equipo de seguridad para que investigue ataques potenciales o exitosos.
Cada evento de autenticación en ID Plus se registra con detalles específicos para cada paso del proceso (la lista completa se encuentra en aquí). A continuación se muestran algunos ID de eventos específicos que recomendamos supervisar, ya que la repetición de los mismos podría ser el signo de un ataque de prompt-bombing:
| Evento Código | Descripción |
| 702 | No se ha podido aprobar la autenticación - Se ha agotado el tiempo de respuesta del usuario. |
| 703 | Aprobación de autenticación fallida - Usuario denegada la aprobación. |
| 802 | Fallo en la autenticación biométrica del dispositivo: se ha agotado el tiempo de respuesta del usuario. |
| 803 | Ha fallado la autenticación biométrica del dispositivo. |
Después de obtener acceso con éxito, ya sea a través del bombardeo de avisos o algún otro método, una técnica común es registrar un nuevo dispositivo MFA. Además de asegurar el proceso de registro exigiendo algo más que una simple contraseña para el registro MFA, RSA también recomienda habilitar notificaciones por correo electrónico, que proporciona una notificación adicional a un usuario que puede haber aprobado un inicio de sesión malicioso de que se ha registrado un nuevo autenticador o de que se ha eliminado su autenticador existente.
Para protegerse contra ataques de bombardeo rápido y fatiga MFA:
- Eduque a los usuarios sobre el peligro de aprobar una solicitud de autenticación no reconocida y anímelos a informar de ello a su equipo de seguridad y a cambiar su contraseña si esto ocurre.
- Considere la posibilidad de utilizar métodos de autenticación alternativos para determinadas aplicaciones o situaciones. Identifica la confianza y la lista de usuarios de alto riesgo puede ser de gran ayuda.
- Supervise los registros en busca de solicitudes push denegadas o caducadas y genere alertas cuando se detecten de forma sucesiva.
- Asegure el Proceso de inscripción de dispositivos MFA.
- Activar la alerta por correo electrónico para los cambios de dispositivo.
