Cet article a été publié pour la première fois en 2023 et a été mis à jour.
Certaines des plus grandes violations de données récentes ont échappé à l'authentification multifactorielle (MFA). Cela ne signifie pas que l'AMF est inefficace. Cela signifie que les attaquants contournent souvent l'AMF en ciblant les lacunes autour de l'authentification plutôt que le facteur lui-même.
Que ce soit en attaquant la configuration du MFA, en bombardant les utilisateurs ou en attaquant les sous-traitants, les acteurs de la menace ont trouvé des moyens d'attaquer les points faibles du cycle de vie de l'identité, d'exfiltrer des données et de révéler pourquoi le MFA doit être votre première ligne de défense, mais pas la dernière.
C'est la principale leçon à tirer pour les équipes de sécurité. L'AFM reste importante, mais elle fonctionne mieux dans le cadre d'une stratégie plus large de sécurité de l'identité.
Les attaquants utilisent des méthodes différentes en fonction de l'environnement, mais plusieurs schémas se répètent.
Fatigue de l'AMF et bombardement rapide
Une tactique courante consiste à Fatigue du MAE, également appelé "prompt bombing". Les attaquants envoient à plusieurs reprises des demandes d'approbation jusqu'à ce qu'un utilisateur en accepte une par erreur ou par frustration. Cette approche fonctionne mieux lorsque les utilisateurs sont distraits, pressés ou incertains de la légitimité de l'invitation.
C'est l'une des raisons pour lesquelles l'éducation des utilisateurs reste importante. Les gens doivent savoir qu'une invite inattendue doit être considérée comme un signal d'alarme, et non comme une étape de connexion de routine.
Faible configuration de l'AMF
La solidité de l'AMF dépend de sa mise en œuvre. Si les administrateurs laissent des lacunes dans la politique, l'enrôlement, les méthodes de repli, la gestion des exceptions ou les exigences de progression, les attaquants les chercheront. Dans de nombreux cas, la faiblesse n'est pas le facteur lui-même, mais la manière dont il a été déployé. C'est la manière dont le facteur a été déployé.
Exposition des tiers et des entrepreneurs
Les attaquants ciblent également les fournisseurs, les sous-traitants et les partenaires ayant accès aux systèmes internes. Un contrôle solide peut toujours échouer si l'identité d'un tiers est surprivilégiée, mal surveillée ou mal gouvernée. Le risque lié à l'identité ne s'arrête pas aux employés.
Architecture ouverte en cas de défaillance
Un système “ouvert par défaut” est un système qui s'ouvre par défaut lorsque les commandes d'exploitation standard ne fonctionnent pas. Ce principe peut avoir du sens en matière de sécurité physique, mais il n'en est pas de même en matière de sécurité physique. elle présente des risques importants en matière de sécurisation de l'accès numérique.
Si un système perd le contact avec un service MFA basé sur le cloud et autorise par défaut l'accès, les attaquants peuvent exploiter cette situation pour contourner complètement le MFA.
Lacunes dans le cycle de vie de l'identité
L'authentification n'est qu'une partie de la sécurité de l'identité. Les acteurs de la menace savent que l'identité ne se limite pas à sa gestion. Ils recherchent des faiblesses dans le provisionnement, la récupération, l'administration déléguée, l'accès des tiers et la gouvernance des droits.
La plus grande leçon à tirer de ces attaques n'est pas que l'AMF a échoué. La leçon est que les défenses d'identité doivent s'étendre au-delà de l'écran de connexion.
Lorsque les organisations se concentrent uniquement sur l'événement d'authentification, elles laissent d'autres domaines de grande valeur exposés. Les flux de travail de récupération, les exceptions aux politiques, l'accès hors ligne, les rôles privilégiés et les droits excessifs peuvent tous devenir des voies d'attaque.
Par exemple, il ne suffit pas de fournir un accès : les organisations doivent commencer par se demander si l'utilisateur a besoin d'un accès. Si oui, pour combien de temps ? Lui avons-nous fourni trop d'accès ou juste assez ? Comment pouvons-nous le savoir ? Il s'agit là de questions de sécurité pratiques qui ont une incidence directe sur le risque de violation.
Les organisations qui souhaitent réduire les risques de contournement de l'AMF ont besoin d'une meilleure visibilité sur l'ensemble du cycle de vie de l'identité. Cela signifie qu'il faut comprendre non seulement qui peut se connecter, mais aussi pourquoi ils ont accès, ce qu'ils peuvent atteindre et comment ces permissions évoluent dans le temps.
La meilleure défense n'est pas un seul facteur ou un seul produit. Il s'agit d'une approche stratifiée qui comble les lacunes sur lesquelles s'appuient les attaquants.
Renforcer les options d'authentification
Toutes les méthodes d'authentification n'offrent pas le même niveau de protection. Avec des options comme Apple Face ID devenant presque omniprésentes pour les utilisateurs mobiles, la biométrie est une forme populaire d'authentification sans mot de passe, mais ce n'est certainement pas la seule. Les organisations doivent évaluer des options plus solides qui peuvent réduire l'exposition aux attaques par hameçonnage et par rejeu. Donner la priorité à une gamme de solutions sans mot de passe qui peuvent prendre en charge chaque utilisateur, dans chaque environnement, à tout moment.
Réduire la dépendance à l'égard des suppositions de l'utilisateur
Le MFA basé sur la pression est pratique, mais la commodité peut créer un risque lorsque les utilisateurs sont censés interpréter des invites inattendues dans l'instant. Plus un flux d'authentification dépend du jugement de l'utilisateur sous pression, plus il peut devenir vulnérable.
C'est pourquoi les entreprises doivent associer une authentification renforcée à une sensibilisation à la sécurité, à des contrôles adaptatifs de la politique et à une surveillance des modèles d'approbation suspects.
Prévoir des scénarios d'échec
C'est l'un des enseignements les plus clairs de ces violations. Il existe quelques moyens d'éviter ces attaques sans verrouiller l'accès des utilisateurs au système. La première consiste à utiliser un système d'authentification hybride qui peut se rabattre sur un nœud local dans le cas d'une panne d'Internet. La seconde consiste à utiliser un système d'authentification qui peut être validé hors ligne.
Dans les environnements à haut niveau d'assurance, la résilience est importante, mais le comportement en cas de défaillance l'est tout autant. Les équipes de sécurité doivent savoir exactement ce qui se passe lorsque les services en amont sont indisponibles.
Améliorer la visibilité de l'identité
La sécurité de l'identité ne se limite pas à la vérification d'un facteur. Elle nécessite également une vision de l'accès, des droits, des changements dans le cycle de vie et des signaux de risque parmi les utilisateurs et les systèmes. Sans cette visibilité, les entreprises peuvent sécuriser l'authentification tout en laissant des actifs critiques exposés.
Authentification sans mot de passe peut contribuer à réduire le risque de contournement de l'AMF en éloignant les organisations des identifiants piratables et des flux de connexion fragiles.
Qu'il s'agisse de biométrie, FIDO2, Qu'il s'agisse de codes QR, de BLE, de NFC ou d'autres facteurs de forme sans mot de passe, les organisations doivent utiliser des solutions capables de prendre en charge une gamme d'environnements, d'applications et de groupes d'utilisateurs mixtes.
L'absence de mot de passe n'est pas seulement une question de commodité. Elle peut également réduire la dépendance à l'égard des mots de passe, qui restent l'un des points d'entrée les plus couramment exploités dans les attaques d'identité.
Les authentificateurs OTP et FIDO présentent chacun des avantages uniques. Certains sont mieux adaptés à l'authentification moderne basée sur un navigateur, tandis que d'autres offrent une couverture plus large des environnements hérités et hybrides. Cependant, lorsqu'on compare OTP et FIDO, la meilleure réponse est généralement “ET”. De nombreuses organisations ont besoin à la fois de flexibilité et d'une assurance plus forte.
Le MAE doit être votre première ligne de défense, mais pas la dernière. Pour réduire le risque de contournement du MFA, les entreprises ont besoin d'options d'authentification plus solides, d'une architecture résiliente et d'une meilleure visibilité sur l'ensemble du cycle de vie de l'identité.
Avec RSA ID Plus, les entreprises peuvent prendre en charge l'authentification hybride et sans mot de passe, renforcer la protection des environnements modernes et anciens et élaborer une stratégie de sécurité des identités plus résiliente. Découvrez comment RSA ID Plus peut aider à combler les lacunes ciblées par les attaquants lorsque l'AMF est utilisée seule.
Le MFA est un contrôle de sécurité essentiel qui fonctionne mieux lorsqu'il est déployé dans le cadre d'une stratégie de sécurité de l'identité plus large. Dans notre webinaire, nous avons exploré plusieurs façons dont les attaquants contournent le MFA, y compris le bombardement rapide, la configuration faible, l'exposition à des tiers et les lacunes dans le cycle de vie de l'identité, Anatomie de l'attaque : L'ascension et la chute de l'AMF, qui a suscité des questions de suivi de la part des participants. Les FAQ ci-dessous répondent à certaines des questions les plus importantes qui sont ressorties de cette conversation.
Q : Seriez-vous d'accord avec Microsoft pour dire que le code PIN Windows Hello est plus sûr qu'un mot de passe pour accéder à votre poste de travail ?
R : C'est une question fascinante qui sera débattue pendant de nombreuses années. Les mots de passe et les codes PIN entrent tous deux dans la catégorie d'authentification "quelque chose que vous connaissez" et sont donc susceptibles de faire l'objet d'attaques par hameçonnage. Par rapport aux mots de passe, les codes PIN sont généralement plus courts et utilisent un jeu de caractères restreint. D'un point de vue entropique, les codes PIN sont donc plus faible que les mots de passe, c'est-à-dire que plus le nombre de choix possibles est élevé, plus il sera difficile de forcer un mot de passe ou un code PIN.
Mais ce n'est qu'une partie de l'histoire. Contrairement aux mots de passe, les codes PIN (ou du moins les codes PIN tels que définis par le NIST SP800-63) sont validé localement. Cela signifie qu'ils ne sont jamais transmis ou stockés dans un référentiel centralisé. Les PIN sont donc beaucoup moins susceptibles d'être interceptés ou volés dans le cadre d'une attaque de type "smash-and-grab".
Comme c'est souvent le cas, l'environnement, la configuration et la formation des utilisateurs tendent à avoir un impact plus important sur votre posture globale de cybersécurité que les protocoles ou les technologies.
Q : Pouvez-vous fournir un peu plus de détails sur les options d'authentification hors ligne afin d'éviter le problème de l'échec de l'ouverture. Exemples d'architecture ou d'offres de produits ?
R : Un système "ouvert par défaut" est un système qui s'ouvre par défaut lorsque les contrôles d'exploitation standard ne fonctionnent pas. S'il s'agit d'un principe de sécurité important en matière de sécurité physique (par exemple, en cas d'incendie, toutes les portes extérieures doivent se déverrouiller immédiatement), il n'est pas aussi efficace pour protéger l'accès à vos biens essentiels.
Dans le cas de l'ONG, les attaquants ont accédé au bien en empêchant le système local de communiquer avec le fournisseur d'AMF basé dans le nuage, contournant ainsi le contrôle de l'AMF. Cela a été possible parce que la solution d'identité en place utilisait par défaut un mot de passe "défaut d'ouverture"(posture de sécurité).
Il y a plusieurs façons d'éviter ce problème sans bloquer les utilisateurs hors du système. La première consiste à utiliser un système d'authentification hybride qui peut se rabattre sur un nœud local (sur site) en cas de panne d'Internet. La seconde consiste à utiliser un système d'authentification qui peut être validé hors ligne. RSA ID Plus prend en charge les deux options.
Q : Quel est le meilleur IDP (Identity Provider) selon vous ?
R : Si je réponds autre chose que "RSA ID Plus", je suis presque sûr de perdre mon emploi.
Mais très sérieusement, il y a plusieurs choses que je chercherais à savoir. Premièrement, le fournisseur a-t-il fait ses preuves ? Deuxièmement, l'identité est-elle au cœur de ses activités ou n'est-elle qu'une activité parmi d'autres ? Troisièmement, le fournisseur donne-t-il la priorité à la commodité plutôt qu'à la sécurité dans ses décisions de conception ? Quatrièmement, la solution offre-t-elle la flexibilité nécessaire pour prendre en charge un large éventail d'utilisateurs et de cas d'utilisation, y compris les applications héritées dans les entrailles de votre centre de données ? Enfin, lorsque les choses tournent mal (et elles tournent mal), le fournisseur assume-t-il ses responsabilités en toute transparence ou cherche-t-il à brouiller les pistes et à rejeter la responsabilité sur autrui ?
La sécurité n'est pas facile et les acteurs de la menace identité de la cible plus que toute autre partie de la surface d'attaque. Les organisations ont besoin d'IDP qui comprennent cela.
Q : Quelle est la fiabilité des solutions ZTNA actuellement proposées par les fournisseurs de solutions de sécurité ?
R : L'accès au réseau sans confiance (ZTNA) est un concept basé sur le principe que la confiance ne devrait jamais être accordée. supposé basé uniquement sur la connexion d'un utilisateur à l'intranet local - les utilisateurs doivent être authentifiés en permanence, ils doivent avoir la permission d'accéder à une ressource spécifique et ils doivent également avoir une raison valable de le faire.
Bien qu'il existe aujourd'hui de nombreux produits "Zero Trust" sur le marché, il est important de noter que ZTNA est un cadre conceptuel et un ensemble de bonnes pratiques. Comment La façon dont vous utilisez la technologie, définissez vos politiques et gérez votre écosystème déterminera votre position ZTNA. La technologie peut certainement vous aider, mais si un fournisseur vous dit que son produit vous permettra de vous conformer aux normes ZTNA, trouvez quelqu'un d'autre.
Si vous souhaitez en savoir plus sur la confiance zéro, je vous recommande de commencer par les sept principes de la confiance zéro définis dans le document NIST SP800-207.
Q : L'authentification sans mot de passe repose-t-elle entièrement sur la biométrie ? Quelles autres méthodes peuvent être utilisées ? Comment l'IA est-elle utilisée dans l'authentification ?
R : Avec des options comme Apple Face ID devenant presque omniprésentes pour les utilisateurs mobiles, la biométrie est sans aucun doute une forme populaire d'authentification sans mot de passe, mais certainement pas la seule. FIDO2 est un choix de plus en plus courant, tant pour les consommateurs que pour les entreprises. Les méthodes sans contact telles que le code QR, le BLE et le NFC sont également utilisées, mais dans une moindre mesure. De plus en plus, les principes de l'IA tels que les règles intelligentes, l'apprentissage automatique et l'analyse comportementale sont utilisés pour renforcer la confiance dans l'identité en tant que facteurs d'authentification invisibles qui n'introduisent que peu ou pas de friction pour l'utilisateur final. RSA ID Plus prend en charge toutes ces options aujourd'hui.
Q : Quel est l'avenir de la gestion des identités et des accès ?
R : Je pense que ces trois attaques démontrent que l'expression “gestion de l'identité et de l'accès” est, sinon dépassée, du moins insuffisante.
Ces attaques soulignent que nous devons sécuriser les identités, et pas seulement les gérer. Par exemple, il ne suffit pas de fournir un accès : il faut commencer par se demander si l'utilisateur a besoin d'un accès. Si oui, pour combien de temps ? Lui avons-nous donné trop d'accès ou juste assez ? Comment pouvons-nous le savoir ? Dans de trop nombreux cas, je ne pense pas que les administrateurs le sachent d'une manière ou d'une autre, ni même qu'ils sachent comment le savoir.
Les acteurs de la menace savent que l'identité ne se limite pas à la gestion de l'identité. Les attaques que j'ai examinées montrent comment les cybercriminels s'attaquent aux lacunes que l'IAM ne prend pas en compte. Je pense que la compréhension de l'identité par les organisations doit être élargie pour prendre en compte et sécuriser l'ensemble du cycle de vie de l'identité.
D'un point de vue plus technique, je pense que l'IA aura un rôle important à jouer dans le traitement des énormes quantités de données d'authentification, d'habilitation et d'utilisation. Disposer d'une plateforme intelligente capable d'évaluer rapidement et à grande échelle des données très fines peut constituer un véritable atout pour assurer la sécurité des organisations.
Q : Comment compareriez-vous SecurID et YubiKey ?
R : SecurID et YubiKey sont des authentificateurs de premier plan dans leurs catégories respectives. Et la bonne nouvelle, c'est que RSA ID Plus prend en charge les deux (parmi de nombreuses autres options d'authentification).
Si l'on s'éloigne des spécificités des fournisseurs, les authentificateurs OTP et FIDO présentent chacun des avantages uniques. Alors que FIDO gagne en popularité en tant qu'option sûre et pratique pour les connexions basées sur le web, les options FIDO basées sur des logiciels ont encore une polyvalence limitée, les dispositifs matériels nécessitent souvent une connexion physique et une véritable prise en charge de FIDO au-delà du navigateur web est pratiquement inexistante. En revanche, l'OTP a l'avantage de fonctionner à peu près n'importe où, que ce soit sur du matériel ou du logiciel, sans nécessiter de logiciel client spécialisé ni de connexion physique.
Cependant, lorsque l'on compare OTP et FIDO, la meilleure réponse est généralement ‘ET’. Les dispositifs hybrides tels que le RSA DS100 combinent le meilleur des deux mondes, offrant OTP et FIDO2 dans un seul facteur de forme pour fournir une flexibilité maximale et une large gamme de support. RSA prend également en charge l'authentificateur iShield Key 2 séries, qui offre une authentification matérielle validée par rapport aux normes de sécurité les plus strictes. Certifié FIPS 140-3 et FIDO2, il s'aligne sur des cadres tels que FedRAMP, NIST, DORA, NIS2, HIPAA et PCI DSS.
