Setiap hari, orang dibombardir dengan pemberitahuan. Klik ini, tekan itu, bunyi bip, alarm, bunyi benturan, daftarnya terus berlanjut. Terkadang Anda bertanya-tanya bagaimana orang bisa menyelesaikan sesuatu.
Ketika Anda melakukan sesuatu secara berulang-ulang, maka hal tersebut akan menjadi hafalan sampai-sampai Anda tidak memperhatikannya lagi. Pikirkan berapa kali Anda mendengar seseorang mengatakan bahwa mereka melakukan sesuatu "tanpa berpikir." Dan setiap penjahat siber tahu bahwa setiap kali orang terganggu atau kewalahan, itu adalah sebuah kesempatan. Tindakan yang Anda lakukan secara otomatis tanpa emosi atau kesengajaan yang disadari akan mudah dieksploitasi.
Autentikasi multi-faktor (MFA) secara luas dianggap sebagai langkah penting untuk meningkatkan keamanan. Alih-alih hanya membutuhkan nama pengguna dan kata sandi untuk mengakses sumber daya, MFA menambahkan "faktor" lain untuk mengidentifikasi siapa Anda seperti kunci sandi, push-to-approve, kata sandi sekali pakai (OTP), biometrik, atau token perangkat keras. MFA meningkatkan keamanan karena meskipun satu kredensial dibobol, secara teori, pengguna yang tidak sah tidak akan bisa memenuhi persyaratan autentikasi kedua.
Masalah dengan MFA adalah bahwa hal ini dapat mengganggu. Seperti jenis pemberitahuan lainnya, jika Anda mendapatkan banyak pemberitahuan MFA, Anda mungkin tidak memperhatikan dengan seksama sebagaimana mestinya. Dan itulah yang diandalkan oleh para pelaku ancaman. Mereka berharap dengan mengikis perhatian pengguna Anda, para pengguna yang teralihkan perhatiannya itu akan memberikan kredensial MFA yang mereka perlukan untuk mengautentikasi ke dalam lingkungan yang aman. Taktik ini disebut sebagai "kelelahan MFA," dan telah menerima lebih banyak perhatian karena pelanggaran profil tinggi terhadap perusahaan-perusahaan seperti Uber, Cisco, Twitter, Robinhood, Okta, dan Pengguna Office 365.
Kelelahan MFA adalah salah satu jenis serangan phishing. Di dalam Kerangka kerja MITRE ATT&CK, didefinisikan sebagai cara untuk "mem-bypass mekanisme otentikasi multi-faktor (MFA) dan mendapatkan akses ke akun dengan membuat permintaan MFA yang dikirim ke pengguna."
Cara kerja serangan ini adalah peretas mendapatkan akses ke nama pengguna dan kata sandi karyawan, yang kemudian digunakan untuk mencoba login. Hal itu memicu notifikasi push multi-faktor, yang cenderung paling rentan terhadap kelelahan MFA. Sering kali notifikasi ini berupa jendela baru atau kotak pop-up yang muncul di ponsel pintar, yang meminta karyawan untuk menyetujui atau menolak permintaan tersebut. Layar "Apakah ini benar-benar Anda?" ini sangat umum sehingga sering kali orang hanya mengklik untuk menghilangkannya, sehingga mereka bisa melanjutkan hari mereka.
Pelaku ancaman akan meniru konfirmasi hafalan tersebut beberapa kali, berharap untuk menangkap pengguna pada saat lengah. Jika beberapa permintaan tidak berhasil, peretas akan meningkatkan taruhannya. Kadang-kadang mereka membanjiri program autentikasi pengguna dengan banyak pemberitahuan, yang secara efektif mengirim spam ke ponsel orang tersebut. Dan jika itu tidak berhasil, mereka mungkin menggunakan taktik rekayasa sosial lainnya seperti menelepon atau mengirim teks yang menyamar sebagai staf TI atau otoritas lain untuk meyakinkan pengguna agar menerima notifikasi MFA.
Sama seperti mengklik tautan dalam email phishing atau situs malware, menyetujui pemberitahuan MFA dapat menyebabkan konsekuensi yang sangat besar. Setelah peretas masuk ke dalam jaringan, mereka biasanya melakukan yang terbaik untuk menemukan cara agar dapat bergerak dan mengakses sistem penting lainnya. Jika sebuah perusahaan telah menerapkan berbagai langkah keamanan zero-trust seperti akses tanpa hak istimewa, pemantauan titik akhir, dan tata kelola identitas, keduanya dapat mengurangi kemungkinan kompromi kredensial dan mencegah penyerang melakukan banyak kerusakan. Tetapi sebagian besar perusahaan memiliki celah keamanan yang dapat digunakan untuk mendapatkan akses. Dalam kasus serangan Uber, penyusup dapat menemukan skrip yang memungkinkan mereka untuk mengakses platform manajemen akses istimewa (PAM) perusahaan.
Mendidik
Ini mungkin bukan solusi teknologi tinggi yang menarik, tetapi pendidikan pengguna adalah elemen yang paling penting dalam mencegah jenis serangan "pengeboman yang cepat" agar tidak berhasil. Ini seperti seseorang yang mengetuk pintu Anda atau menggunakan bel untuk masuk ke gedung apartemen Anda. Jangan biarkan mereka masuk tanpa melihat ke luar jendela atau bertanya, "siapa itu?" Jika Anda mendapatkan notifikasi push, pikirkan dulu sebelum mengklik. Mengapa Anda harus menyetujui permintaan login ketika Anda tidak sedang login? Jawabannya adalah Anda seharusnya tidak melakukannya.
Memiliki teknologi yang tepat
Meskipun mengedukasi pengguna tentang risiko MFA sangat penting, teknologi juga dapat membantu. Dengan memberikan konteks tambahan dalam notifikasi MFA, pengguna dapat membuat keputusan yang tepat untuk menyetujui atau tidak. Sebagai contoh, beberapa solusi MFA menampilkan stempel waktu, aplikasi, dan/atau lokasi di dalam notifikasi. Solusi lainnya menampilkan kode login unik pada halaman login web yang harus dicocokkan dengan kode yang sama dalam notifikasi. Atau, pertimbangkan untuk menggunakan kode sandi OTP daripada push, yang cenderung lebih tangguh dalam menghadapi serangan ini. Apa pun solusi yang Anda pilih, teknik-teknik ini akan mengurangi kemungkinan pengguna akhir secara tidak sengaja menyetujui permintaan yang tidak mereka lakukan.
Menggunakan akses adaptif
Solusi seharusnya tidak hanya satu ukuran untuk semua: konteks juga dapat digunakan untuk mengurangi serangan kelelahan MFA dengan membatasi kemampuan calon penyerang untuk mengirim spam ke pengguna yang tidak menaruh curiga. Akses adaptif dan autentikasi berbasis risiko dapat membatasi permintaan masuk ke lokasi tepercaya tertentu atau perangkat yang dikenal, analisis perilaku dapat membantu mendeteksi aktivitas masuk yang tidak normal, dan pembatasan laju dapat membatasi upaya masuk yang gagal secara berurutan.
Pergi tanpa kata sandi
Jika memungkinkan, pertimbangkan metode tanpa kata sandi sebagai alternatif untuk MFA berbasis notifikasi. FIDO2, misalnya, secara khusus dirancang untuk melawan phishing dan serangan "man in the middle" (MitM) atau "adversary in the middle" (AitM) dengan membutuhkan koneksi kriptografi langsung antara pengautentikasi dan aplikasi web. Bahkan dengan metode yang tahan terhadap phishing seperti FIDO, bagaimanapun juga, MFA hanya seaman siklus hidup kredensial. Siklus hidup ini dimulai dengan Pendaftaran MFA, tetapi juga mencakup acara seperti perangkat penggantian dan pengaturan ulang kredensial. Aktivitas-aktivitas ini adalah beberapa contoh yang paling mungkin dilakukan oleh penyerang untuk mendapatkan akses yang tidak sah.
Pantau terus menerus
Terakhir, organisasi harus menyadari bahwa pencegahan hanyalah setengah dari solusi. Sistem identitas juga harus membantu dalam mendeteksi dan memperbaiki serangan yang sedang berlangsung. Kegagalan login yang beruntun atau upaya login yang berlebihan adalah dua contoh indikator potensial dari aktivitas yang mencurigakan. Informasi ini dapat dimasukkan ke dalam solusi informasi keamanan dan manajemen peristiwa (SIEM) untuk penyelidikan lebih lanjut oleh staf Operasi Keamanan atau digunakan untuk memicu peninjauan akun dalam tata kelola dan administrasi identitas (IGA).
Dengan mengedukasi pengguna dan menerapkan kontrol yang lebih kuat di sekitar proses MFA mereka, organisasi dapat menurunkan risiko kelelahan MFA. Penting juga untuk memastikan perusahaan tempat Anda bekerja memiliki perlindungan pada sistem mereka. RSA memiliki kertas putih yang memberikan gambaran umum tentang kebijakan keamanan kami dengan informasi tentang langkah-langkah keamanan kami, termasuk praktik, operasi, dan kontrol kami di sekitar ID Plus. Dan untuk informasi real-time tentang kinerja sistem dan saran keamanan kami, Anda dapat mengunjungi halaman halaman keamanan.
Pendekatan RSA lebih tangguh terhadap kelelahan MFA: itulah mengapa organisasi yang mengutamakan keamanan berpaling kepada kami untuk membantu mereka melindungi bisnis mereka. Untuk informasi lebih lanjut tentang risiko autentikasi dan bagaimana RSA dapat membantu Anda beralih dari keamanan yang mengandalkan kata sandi, lihat ringkasan solusi kami: Autentikasi Tanpa Kata Sandi: Saatnya Sekarang, dan Bantuan Telah Tiba.
###
Cobalah MFA cloud yang paling banyak digunakan di dunia secara gratis.
