Dengan berita terbaru tentang serangan bom cepat otentikasi multi-faktor (MFA) yang berhasil RSA semakin sering diminta untuk memberikan panduan dalam mempertahankan diri dari serangan jenis ini. Sebelumnya, kami telah membagikan sebuah posting blog merinci bagaimana penyerang mengambil keuntungan dari kelelahan MFA dan menggunakan pengeboman yang cepat untuk mendapatkan akses. Dalam artikel ini, kami fokus pada konfigurasi spesifik di dalam ID Plus yang dapat digunakan untuk mendeteksi dan bertahan dari jenis serangan MFA Fatigue dan Prompt Bombing.
Tidak semua faktor autentikasi diciptakan sama. Meskipun RSA mungkin paling dikenal sebagai perintis otentikasi kode sandi sekali pakai (OTP) berbasis perangkat keras, baik teknologi maupun RSA telah berevolusi. Berkembangnya ponsel pintar telah memfasilitasi adopsi MFA yang nyaman secara luas. Salah satu pendekatan yang telah diadopsi secara luas adalah dengan mengirimkan notifikasi push ke aplikasi ponsel pintar dengan opsi bagi pengguna untuk menyetujui atau menolak.
Dalam hal ini, pengguna memasukkan kata sandi mereka dan merespons notifikasi push ini pada ponsel cerdas atau jam tangan pintar mereka. Jika pengguna memilih setujui, akses diberikan; jika pengguna memilih tolak, akses ditolak. Metode ini bekerja dengan baik karena menghilangkan kebutuhan untuk menyediakan autentikator fisik (token perangkat keras). Metode ini nyaman bagi pengguna dan tidak rentan terhadap Serangan penukaran SIM cara otentikasi berbasis SMS.
Meskipun lebih nyaman, autentikasi berbasis push bergantung pada pengguna untuk mengidentifikasi dan menolak upaya autentikasi apa pun yang tidak mereka lakukan, yang membuat metode ini rentan terhadap serangan bom dengan cara yang tidak dimiliki oleh kode sandi sekali pakai.
Seorang pengguna dapat membuktikan kepemilikan perangkat sekunder (misalnya ponsel atau kunci keamanan) dengan beberapa cara berbeda. Kode sandi sekali pakai adalah cara yang umum digunakan untuk melakukan hal ini, dan Standar FIDO, yang menggunakan PKI, dengan cepat mendapatkan popularitas. Kuncinya di sini adalah memahami bahwa metode autentikasi yang berbeda memiliki kekuatan dan kelemahan yang berbeda. Dalam beberapa kasus, metode autentikasi tertentu menukar keamanan dengan kenyamanan. Meskipun mungkin terdengar seperti pertukaran yang buruk, kenyamanan membantu mendorong adopsi.
Mari kita gunakan pintu depan rumah saya sebagai analogi. Saya bisa memasang empat gerendel di pintu saya untuk mempersulit seseorang mendobrak masuk. Apakah peningkatan keamanan tersebut sepadan dengan pengorbanan dalam hal kenyamanan, atau apakah satu gerendel memberikan keseimbangan yang tepat antara keamanan dan kenyamanan?
Kunci keberhasilan penerapan MFA adalah memahami kekuatan dan kelemahan metode autentikasi yang berbeda dan mencapai keseimbangan yang tepat dengan mengaktifkan metode autentikasi yang lebih nyaman jika diperlukan dan membutuhkan metode yang lebih kuat (yang mungkin kurang nyaman) jika risiko menentukan.
Di dalam ID Plus platform, setiap metode otentikasi ditetapkan ke sebuah tingkat jaminan. Administrator kemudian membuat kebijakan yang menentukan tingkat jaminan yang diperlukan. Mesin kebijakan ini sangat fleksibel (Anda dapat membaca lebih lanjut tentangnya di sini). Berdasarkan tingkat jaminan yang disyaratkan oleh kebijakan, pengguna akan disajikan dengan daftar opsi autentikasi yang memenuhi tingkat jaminan yang diperlukan.
Selain menggunakan kebijakan statis untuk menentukan tingkat jaminan yang diperlukan, ID Plus juga memiliki kemampuan untuk melakukan pendekatan yang lebih dinamis. Kami menyebut fitur ini sebagai Keyakinan Identitas. Mesin kepercayaan identitas menganalisis setiap upaya autentikasi secara real time menggunakan berbagai faktor dan mengembalikan skor kepercayaan yang tinggi atau rendah. Hasil ini juga dapat digunakan dalam kebijakan untuk menetapkan tingkat jaminan tertentu. Skor kepercayaan dapat digunakan sendiri atau dikombinasikan dengan kondisi lain dalam kebijakan.
Aplikasi praktis dari fitur ini dapat berupa notifikasi push yang mudah digunakan ketika skor kepercayaan tinggi, tetapi membutuhkan faktor yang lebih kuat jika skor kepercayaan rendah. Upaya otentikasi berbahaya menggunakan kredensial yang disusupi yang berasal dari perangkat yang tidak dikenal dan lokasi yang tidak dikenal akan memicu skor kepercayaan yang rendah. Berdasarkan kebijakan tersebut, pelaku akan dimintai OTP atau kunci keamanan dan tidak akan dapat memicu notifikasi push ke ponsel pengguna yang sah.
Fitur lain dari ID Plus adalah daftar pengguna berisiko tinggi. Fitur ini menyediakan antarmuka untuk alat keamanan untuk menandai pengguna sebagai berisiko tinggi. Solusi seperti NetWitness atau Azure Sentinel dapat digunakan untuk menandai pengguna sebagai berisiko tinggi berdasarkan aktivitas atau peringatan yang terlihat di luar platform ID Plus. Dengan menggunakan mesin kebijakan, pengguna berisiko tinggi dapat ditolak aksesnya ke aplikasi atau diharuskan menyediakan metode otentikasi dengan jaminan tinggi untuk mendapatkan akses.
Kembali ke contoh pintu depan, seandainya alih-alih menambahkan gerendel tambahan, saya memasang kamera. Kamera akan memungkinkan saya untuk memantau dan memperingatkan setiap upaya untuk mengalahkan gerendel saya. Demikian pula, pemantauan dan peringatan pada aktivitas otentikasi memberikan wawasan yang berharga. Dalam konteks serangan bom yang cepat, pengguna akan sering menolak usaha pertama yang tidak dikenali tetapi pada akhirnya bisa menyetujui jika penyerang mengirimkan cukup banyak usaha. Dengan memantau log peristiwa dan membuat peringatan pada pola yang mencurigakan, Anda dapat memperoleh visibilitas dan memperingatkan tim keamanan Anda untuk menyelidiki potensi atau serangan yang berhasil.
Setiap peristiwa autentikasi di ID Plus dicatat dengan detail spesifik untuk setiap langkah dalam prosesnya (daftar lengkapnya ada di di sini). Di bawah ini adalah beberapa ID peristiwa tertentu yang kami sarankan untuk dipantau, karena kejadian yang berulang dapat menjadi tanda serangan bom yang cepat:
| Acara Kode | Deskripsi |
| 702 | Menyetujui autentikasi gagal - Respons pengguna habis. |
| 703 | Menyetujui otentikasi gagal - Pengguna menolak persetujuan. |
| 802 | Otentikasi biometrik perangkat gagal - Respons pengguna habis. |
| 803 | Autentikasi Biometrik Perangkat gagal. |
Setelah berhasil mendapatkan akses, baik melalui prompt-bombing atau metode lainnya, teknik yang umum dilakukan adalah mendaftarkan perangkat MFA baru. Selain mengamankan proses pendaftaran dengan meminta lebih dari sekadar kata sandi untuk pendaftaran MFA, RSA juga merekomendasikan untuk mengaktifkan pemberitahuan email, yang memberikan notifikasi tambahan kepada pengguna yang mungkin telah menyetujui login berbahaya bahwa pengautentikasi baru telah didaftarkan atau pengautentikasi yang sudah ada telah dihapus.
Untuk melindungi dari serangan bom yang cepat dan kelelahan MFA:
- Edukasi pengguna tentang bahaya menyetujui permintaan autentikasi yang tidak dikenali dan dorong mereka untuk melaporkan hal ini kepada tim keamanan Anda dan mengganti kata sandi mereka jika hal ini terjadi.
- Pertimbangkan untuk menggunakan metode autentikasi alternatif untuk aplikasi atau situasi tertentu. Identifikasi kepercayaan dan daftar pengguna berisiko tinggi bisa sangat membantu.
- Pantau log untuk permintaan push yang ditolak atau habis waktunya dan hasilkan peringatan ketika permintaan tersebut ditemukan secara berurutan.
- Mengamankan Proses pendaftaran perangkat MFA.
- Mengaktifkan peringatan email untuk perubahan perangkat.
