Avec la des informations récentes sur des attentats à la bombe commis avec succès grâce à l'authentification multifactorielle (AMF) RSA a été de plus en plus sollicité pour des conseils sur la défense contre ces types d'attaques. Précédemment, nous avons partagé un article de blog détaillant comment les attaquants profitent de la fatigue du MFA et utilisent le bombardement rapide pour obtenir l'accès. Dans ce billet, nous nous concentrons sur des configurations spécifiques au sein de ID Plus qui peuvent être utilisés pour détecter et se défendre contre ces types d'attaques MFA Fatigue et Prompt Bombing.
Tous les facteurs d'authentification ne sont pas égaux. Bien que RSA soit surtout connue pour avoir été la pionnière de l'authentification par code de passe unique (OTP) basé sur le matériel, la technologie et RSA ont toutes deux évolué. La prolifération des smartphones a facilité l'adoption généralisée d'une AMF pratique. L'une des approches les plus répandues consiste à envoyer une notification push à une application smartphone, avec la possibilité pour l'utilisateur d'approuver ou de refuser.
Dans ce cas, l'utilisateur saisit son mot de passe et répond à cette notification push sur son smartphone ou sa montre intelligente. Si l'utilisateur choisit d'approuver, l'accès est accordé ; s'il choisit de refuser, l'accès est refusé. Cette méthode fonctionne bien car elle élimine la nécessité de fournir un authentifiant physique (jeton matériel). Elle est pratique pour l'utilisateur et n'est pas vulnérable aux Attaques par échange de cartes SIM comme l'est l'authentification par SMS.
Bien qu'elle soit plus pratique, l'authentification basée sur la technologie "push" repose sur l'identification et le refus par l'utilisateur de toute tentative d'authentification dont il n'est pas à l'origine, ce qui rend cette méthode susceptible de faire l'objet d'attaques par bombardement immédiat, ce qui n'est pas le cas des codes d'accès à usage unique.
Un utilisateur peut prouver qu'il est en possession d'un dispositif secondaire (par exemple, un téléphone portable ou une clé de sécurité) de différentes manières. Les codes d'accès à usage unique sont un moyen courant d'y parvenir, et les codes d'accès à usage unique sont un moyen de prouver la possession d'un dispositif secondaire. Norme FIDO, qui utilise la PKI, gagne rapidement en popularité. L'essentiel est de comprendre que les différentes méthodes d'authentification ont des forces et des faiblesses différentes. Dans certains cas, certaines méthodes d'authentification troquent la sécurité contre la commodité. Bien que cela puisse sembler un mauvais compromis, la commodité contribue à l'adoption de ces méthodes.
Prenons l'exemple de ma porte d'entrée. Je pourrais installer quatre pênes dormants sur ma porte pour rendre l'effraction plus difficile. Ce gain de sécurité vaut-il la peine d'être compensé par un gain de commodité ou un seul pêne dormant permet-il de trouver le bon équilibre entre sécurité et commodité ?
La clé d'une mise en œuvre réussie de l'AMF est de comprendre les forces et les faiblesses des différentes méthodes d'authentification et de trouver le bon équilibre en autorisant des méthodes d'authentification plus pratiques lorsque c'est nécessaire et en exigeant des méthodes plus robustes (qui peuvent être moins pratiques) lorsque le risque l'exige.
Dans le cadre de la ID Plus Chaque méthode d'authentification est assignée à une plate-forme niveau d'assurance. L'administrateur crée ensuite des politiques qui déterminent le niveau d'assurance requis. Ce moteur de politiques est extrêmement flexible (vous pouvez en savoir plus à ce sujet). ici). En fonction du niveau d'assurance requis par la politique, l'utilisateur se voit proposer une liste d'options d'authentification qui répondent au niveau d'assurance requis.
Outre l'utilisation de politiques statiques pour déterminer le niveau d'assurance requis, ID Plus a également la possibilité d'adopter une approche plus dynamique. Nous appelons cette fonction Identité Confiance. Le moteur de confiance de l'identité analyse chaque tentative d'authentification en temps réel en utilisant une variété de facteurs et renvoie un score de confiance élevé ou faible. Ce résultat peut également être utilisé dans les politiques pour exiger un niveau d'assurance spécifique. La note de confiance peut être utilisée seule ou en combinaison avec d'autres conditions de la politique.
Une application pratique de cette fonctionnalité pourrait consister à autoriser une notification push pratique lorsque le score de confiance est élevé, mais à exiger un facteur plus fort si le score de confiance est faible. Une tentative d'authentification malveillante à l'aide d'informations d'identification compromises provenant d'un appareil non reconnu et d'un lieu inconnu déclencherait un score de confiance faible. Sur la base de la politique, l'acteur se verrait demander un OTP ou une clé de sécurité et ne pourrait pas déclencher une notification push sur le téléphone de l'utilisateur légitime.
Une autre caractéristique de l'ID Plus est la liste des utilisateurs à haut risque. Cette fonction fournit une interface aux outils de sécurité pour marquer un utilisateur comme étant à haut risque. Des solutions telles que NetWitness ou Azure Sentinel peuvent être utilisées pour marquer un utilisateur comme présentant un risque élevé sur la base d'activités ou d'alertes observées en dehors de la plateforme ID Plus. En utilisant le moteur de politique, un utilisateur à haut risque peut se voir refuser l'accès à l'application ou être obligé de fournir une méthode d'authentification à haut niveau d'assurance pour obtenir l'accès.
Pour reprendre l'exemple de la porte d'entrée, supposons qu'au lieu d'ajouter des pênes dormants supplémentaires, j'installe une caméra. La caméra me permettrait de surveiller et d'être alerté en cas de tentative de contournement de mon pêne dormant. De même, la surveillance et l'alerte sur les activités d'authentification fournissent des informations précieuses. Dans le contexte des attaques par bombardement, les utilisateurs refusent souvent la ou les premières tentatives non reconnues, mais peuvent finir par en approuver une si l'attaquant envoie un nombre suffisant de tentatives. En surveillant les journaux d'événements et en créant des alertes sur les schémas suspects, vous pouvez gagner en visibilité et alerter votre équipe de sécurité pour qu'elle enquête sur les attaques potentielles ou réussies.
Chaque événement d'authentification dans ID Plus est enregistré avec des détails spécifiques pour chaque étape du processus (la liste complète se trouve à l'adresse suivante ici). Vous trouverez ci-dessous quelques identifiants d'événements spécifiques que nous recommandons de surveiller, car des occurrences répétées peuvent être le signe d'une attaque par bombardement d'invite :
| Événement Code | Description |
| 702 | L'authentification de l'approbation a échoué - La réponse de l'utilisateur a dépassé le temps imparti. |
| 703 | L'authentification de l'approbation a échoué - L'utilisateur a refusé l'approbation. |
| 802 | L'authentification biométrique du dispositif a échoué - La réponse de l'utilisateur a expiré. |
| 803 | L'authentification biométrique du dispositif a échoué. |
Après avoir réussi à obtenir un accès, que ce soit par le biais d'un prompt-bombing ou d'une autre méthode, une technique courante consiste à enregistrer un nouveau dispositif MFA. En plus de sécuriser le processus d'inscription en exigeant plus qu'un simple mot de passe pour l'inscription MFA, RSA recommande également d'activer les fonctions suivantes notifications par courrier électronique, qui permet de notifier à un utilisateur ayant approuvé une connexion malveillante qu'un nouvel authentificateur a été enregistré ou que l'authentificateur existant a été supprimé.
Pour se protéger contre les attaques de bombardement rapide et la fatigue de l'AMF :
- Sensibilisez les utilisateurs au danger que représente l'approbation d'une demande d'authentification non reconnue et encouragez-les à signaler ces cas à votre équipe de sécurité et à changer leur mot de passe si cela se produit.
- Envisagez d'utiliser d'autres méthodes d'authentification pour certaines applications ou situations. Identifier la confiance et la liste des utilisateurs à haut risque peut être d'une grande aide.
- Surveillez les journaux pour détecter les demandes de push refusées ou expirées dans le temps et générez des alertes lorsque ces demandes se succèdent.
- Sécuriser les Processus d'enrôlement des dispositifs MFA.
- Activer l'envoi d'alertes par courrier électronique en cas de modification de l'appareil.
