Ogni giorno le persone sono bombardate da notifiche. Fare clic su questo, premere quello, bip, allarmi, ding, l'elenco continua. A volte c'è da chiedersi come si faccia a fare qualcosa.
Quando si fa qualcosa ripetutamente, diventa routinario al punto che non ci si fa più caso. Pensate a quante volte avete sentito qualcuno dire di fare qualcosa "senza pensare". E ogni criminale informatico sa che ogni volta che le persone sono distratte o sopraffatte, è un'opportunità. Le azioni che si compiono automaticamente senza alcuna emozione o deliberazione consapevole sono facili da sfruttare.
Autenticazione a più fattori (MFA) è ampiamente considerato un passo fondamentale per migliorare la sicurezza. Invece di richiedere solo un nome utente e una password per accedere a una risorsa, l'MFA aggiunge un altro "fattore" per identificare l'utente, come passepartout, push-to-approve, one-time password (OTP), biometria o un token hardware. L'MFA migliora la sicurezza perché anche se una credenziale è compromessa, in teoria un utente non autorizzato non sarebbe in grado di soddisfare il secondo requisito di autenticazione.
Il problema dell'MFA è che può essere fastidioso. Come ogni altro tipo di notifica, se si ricevono molte notifiche MFA, si rischia di non prestare la dovuta attenzione. Ed è su questo che gli attori delle minacce contano. Sperano che, erodendo l'attenzione degli utenti, questi ultimi, distratti, forniscano loro le credenziali MFA di cui hanno bisogno per autenticarsi in un ambiente protetto. Questa tattica viene definita "affaticamento da MFA" e ha ricevuto maggiore attenzione a causa di violazioni di alto profilo ai danni di aziende quali Uber, Cisco, Twitter, Robinhood, Okta, e Utenti di Office 365.
L'affaticamento da MFA è un tipo di attacco di phishing. Nel Quadro MITRE ATT&CK, È definito come un modo per "aggirare i meccanismi di autenticazione a più fattori (MFA) e ottenere l'accesso agli account generando richieste MFA inviate agli utenti".
Il modo in cui l'attacco funziona è che un hacker ottiene l'accesso al nome utente e alla password di un dipendente, che viene poi utilizzato per tentare un login. Ciò innesca una notifica push multi-fattore, che tende a essere la più vulnerabile all'affaticamento dell'MFA. Spesso la notifica è una nuova finestra o un riquadro pop-up che appare sullo smartphone e che chiede al dipendente di approvare o negare la richiesta. Queste schermate del tipo "Sei davvero tu?" sono così comuni che spesso le persone si limitano a cliccare per farle sparire e continuare la loro giornata.
Gli attori delle minacce imiteranno queste conferme di routine più volte, sperando di cogliere l'utente in un momento di disattenzione. Se alcune richieste non funzionano, gli hacker alzano la posta. A volte inondano il programma di autenticazione dell'utente con più notifiche, in pratica spammando il telefono della persona. E se questo non funziona, possono utilizzare altre tattiche di social engineering, come telefonare o inviare messaggi spacciandosi per personale IT o altre autorità per convincere l'utente ad accettare la notifica MFA.
Proprio come fare clic su un link in un'e-mail di phishing o in un sito di malware, l'approvazione di una notifica MFA può portare a conseguenze catastrofiche. Una volta che un hacker entra nella rete, di solito fa del suo meglio per trovare il modo di muoversi e accedere ad altri sistemi critici. Se un'azienda ha implementato diverse misure di sicurezza a fiducia zero, come l'accesso con privilegi minimi, il monitoraggio degli endpoint e la governance delle identità, può ridurre la probabilità di compromissione delle credenziali e impedire a un aggressore di fare molti danni. Ma la maggior parte delle aziende presenta lacune nella sicurezza che possono essere sfruttate per ottenere l'accesso. Nel caso dell'attacco a Uber, l'intruso è riuscito a trovare uno script che gli ha permesso di accedere alla piattaforma di gestione degli accessi privilegiati (PAM) dell'azienda.
Educare
Forse non si tratta di una soluzione high-tech entusiasmante, ma l'educazione degli utenti è l'elemento più importante per evitare che questi tipi di attacchi "prompt bombing" abbiano successo. È come se qualcuno bussasse alla vostra porta o usasse un citofono per entrare nel vostro condominio. Non lo si lascia entrare senza guardare fuori dalla finestra o senza chiedersi "chi è?". Se ricevete una notifica push, pensate prima di cliccare. Perché mai dovreste approvare una richiesta di accesso se non state effettuando il login? La risposta è che non dovreste assolutamente farlo.
Avere la tecnologia giusta
Sebbene sia fondamentale educare gli utenti sui rischi dell'MFA, anche la tecnologia può essere d'aiuto. Fornendo un contesto aggiuntivo all'interno della notifica MFA, gli utenti possono decidere con cognizione di causa se approvare o meno. Ad esempio, alcune soluzioni MFA visualizzano il timestamp, l'applicazione e/o la posizione all'interno della notifica. Altre visualizzano un codice di accesso univoco sulla pagina web di accesso che deve essere abbinato allo stesso codice nella notifica. Oppure, considerate l'utilizzo di passcode OTP invece di quelli push, che tendono a essere più resistenti di fronte a questi attacchi. Qualunque sia la soluzione scelta, queste tecniche ridurranno la possibilità che gli utenti finali approvino accidentalmente richieste che non hanno avviato.
Impegnarsi nell'accesso adattivo
Le soluzioni non dovrebbero essere uguali per tutti: il contesto può essere utilizzato anche per mitigare gli attacchi MFA fatigue, limitando la capacità del potenziale aggressore di spammare utenti ignari. Accesso adattivo e autenticazione basata sul rischio possono limitare le richieste di accesso a specifiche postazioni affidabili o a dispositivi noti, l'analisi comportamentale può aiutare a rilevare attività di accesso anomale e il rate limiting può limitare i tentativi di accesso consecutivi non andati a buon fine.
Passare senza password
Quando possibile, considerate i metodi senza password come alternativa all'MFA basato sulle notifiche. FIDO2, ad esempio, è specificamente progettato per resistere al phishing e agli attacchi "man in the middle" (MitM) o "adversary in the middle" (AitM), richiedendo una connessione crittografica diretta tra l'autenticatore e l'applicazione web. Tuttavia, anche con metodi resistenti al phishing come FIDO, l'MFA è sicuro solo quanto il ciclo di vita delle credenziali. Questo ciclo di vita inizia con Iscrizione all'MFA, ma comprende anche eventi come il dispositivo sostituzione e ripristino delle credenziali. Queste attività sono tra i casi più probabili per gli aggressori di ottenere un accesso non autorizzato.
Monitoraggio costante
Infine, le organizzazioni devono riconoscere che la prevenzione è solo metà della soluzione. I sistemi di identità devono anche aiutare a rilevare e correggere gli attacchi in corso. Fallimenti di login consecutivi o tentativi di login eccessivi sono due esempi di potenziali indicatori di attività sospette. Queste informazioni possono essere inserite nelle soluzioni di gestione degli eventi e delle informazioni di sicurezza (SIEM) per ulteriori indagini da parte del personale delle operazioni di sicurezza o utilizzate per attivare una revisione dell'account in un sistema di sicurezza. governance e amministrazione dell'identità (IGA).
Educando gli utenti e implementando controlli più solidi sui processi MFA, le organizzazioni possono ridurre il rischio di affaticamento da MFA. È anche importante assicurarsi che l'azienda con cui si collabora disponga di protezioni sui propri sistemi. RSA ha un carta bianca che fornisce una panoramica delle nostre politiche di sicurezza con informazioni sulle nostre misure di sicurezza, comprese le pratiche, le operazioni e i controlli relativi a ID Plus. Per informazioni in tempo reale sulle prestazioni del nostro sistema e sugli avvisi di sicurezza, è possibile visitare il sito pagina di sicurezza.
L'approccio di RSA è più resistente all'affaticamento da MFA: ecco perché le organizzazioni orientate alla sicurezza si rivolgono a noi per essere aiutate a proteggere le loro aziende. Per ulteriori informazioni sui rischi dell'autenticazione e su come RSA può aiutarvi ad abbandonare la sicurezza basata sulle password, consultate il nostro solution brief: Autenticazione senza password: Il momento è adesso e l'aiuto è qui.
###
Provate gratuitamente l'MFA in cloud più diffuso al mondo.
