Con il recenti notizie di attacchi dinamitardi condotti con successo con l'autenticazione multi-fattore (MFA) RSA ha ricevuto sempre più richieste di indicazioni sulla difesa da questi tipi di attacchi. In precedenza, abbiamo condiviso un post sul blog che illustra come gli aggressori sfruttano l'affaticamento dell'MFA e utilizzano il prompt bombing per ottenere l'accesso. In questo post, ci concentriamo su configurazioni specifiche all'interno di ID Plus che possono essere utilizzati per rilevare e difendere da questi tipi di attacchi MFA Fatigue e Prompt Bombing.
Non tutti i fattori di autenticazione sono uguali. Sebbene RSA sia nota per essere stata la pioniera dell'autenticazione con codice di accesso unico (OTP) basato su hardware, sia la tecnologia che RSA si sono evolute. La proliferazione degli smartphone ha facilitato l'adozione diffusa di una comoda MFA. Un approccio che si è diffuso è l'invio di una notifica push a un'applicazione per smartphone con la possibilità per l'utente di approvare o rifiutare.
In questo caso, l'utente inserisce la propria password e risponde alla notifica push sul proprio smartphone o smart watch. Se l'utente sceglie di approvare, l'accesso è consentito; se sceglie di negare, l'accesso è negato. Questo metodo funziona bene perché elimina la necessità di fornire un autenticatore fisico (token hardware). È comodo per l'utente e non è vulnerabile a Attacchi con scambio di SIM come lo è l'autenticazione via SMS.
Sebbene sia più comoda, l'autenticazione basata su push si basa sull'identificazione e sul rifiuto da parte dell'utente di qualsiasi tentativo di autenticazione non avviato, il che rende questo metodo suscettibile di attacchi di tipo prompt bombing, come non lo sono i codici di accesso monouso.
Un utente può dimostrare il possesso di un dispositivo secondario (ad esempio un telefono cellulare o una chiave di sicurezza) in diversi modi. I codici di accesso unici sono un modo comune per ottenere questo risultato, e il Standard FIDO, che utilizza la PKI, sta rapidamente guadagnando popolarità. La chiave è capire che i diversi metodi di autenticazione hanno punti di forza e di debolezza diversi. In alcuni casi, alcuni metodi di autenticazione scambiano la sicurezza con la comodità. Anche se può sembrare un cattivo compromesso, la convenienza aiuta a promuovere l'adozione.
Usiamo la mia porta d'ingresso come analogia. Potrei installare quattro catenacci sulla mia porta per rendere più difficile l'effrazione. L'aumento della sicurezza vale il compromesso della comodità o un solo catenaccio rappresenta il giusto equilibrio tra sicurezza e comodità?
La chiave per un'implementazione MFA di successo è comprendere i punti di forza e di debolezza dei diversi metodi di autenticazione e trovare il giusto equilibrio, consentendo metodi di autenticazione più convenienti quando è opportuno e richiedendo metodi più forti (che potrebbero essere meno convenienti) quando il rischio lo impone.
All'interno del ID Plus piattaforma, ogni metodo di autenticazione è assegnato a un metodo livello di garanzia. L'amministratore crea quindi dei criteri che determinano il livello di garanzia richiesto. Questo motore di policy è estremamente flessibile (per saperne di più qui). In base al livello di sicurezza richiesto dal criterio, all'utente viene presentato un elenco di opzioni di autenticazione che soddisfano il livello di sicurezza richiesto.
Oltre all'utilizzo di criteri statici per determinare il livello di garanzia richiesto, ID Plus ha anche la possibilità di adottare un approccio più dinamico. Questa caratteristica viene chiamata Fiducia nell'identità. Il motore di fiducia dell'identità analizza ogni tentativo di autenticazione in tempo reale utilizzando una serie di fattori e restituisce un punteggio di fiducia alto o basso. Questo risultato può essere utilizzato anche all'interno dei criteri per richiedere un livello di sicurezza specifico. Il punteggio di fiducia può essere utilizzato da solo o in combinazione con altre condizioni all'interno della policy.
Un'applicazione pratica di questa funzione potrebbe essere quella di consentire una comoda notifica push quando il punteggio di fiducia è alto, ma richiedere un fattore più forte se il punteggio di fiducia è basso. Un tentativo di autenticazione dannoso che utilizza credenziali compromesse provenienti da un dispositivo non riconosciuto e da un luogo sconosciuto farebbe scattare un punteggio di fiducia basso. In base alla politica, all'attore verrebbe richiesto un OTP o una chiave di sicurezza e non sarebbe in grado di attivare una notifica push sul telefono dell'utente legittimo.
Un'altra caratteristica di ID Plus è la elenco degli utenti ad alto rischio. Questa funzione fornisce un'interfaccia per gli strumenti di sicurezza per contrassegnare un utente come ad alto rischio. Soluzioni come NetWitness o Azure Sentinel possono essere utilizzate per contrassegnare un utente come ad alto rischio in base ad attività o avvisi visti al di fuori della piattaforma ID Plus. Utilizzando il motore dei criteri, a un utente ad alto rischio può essere negato l'accesso all'applicazione o richiesto di fornire un metodo di autenticazione ad alta sicurezza per ottenere l'accesso.
Tornando all'esempio della porta d'ingresso, supponiamo che invece di aggiungere altri catenacci, io abbia installato una telecamera. La telecamera mi permetterebbe di monitorare e di essere avvisato di eventuali tentativi di eludere il mio catenaccio. Allo stesso modo, il monitoraggio e gli avvisi sulle attività di autenticazione forniscono informazioni preziose. Nel contesto degli attacchi di tipo prompt bombing, gli utenti spesso negano il primo o i primi tentativi non riconosciuti, ma alla fine potrebbero approvarne uno se l'aggressore invia un numero sufficiente di tentativi. Monitorando i registri degli eventi e creando avvisi su schemi sospetti, è possibile ottenere visibilità e avvisare il team di sicurezza per indagare su attacchi potenziali o riusciti.
Ogni evento di autenticazione in ID Plus viene registrato con dettagli specifici per ogni fase del processo (l'elenco completo si trova in qui). Di seguito sono riportati alcuni ID di eventi specifici che si consiglia di monitorare, poiché il ripetersi di tali eventi potrebbe essere il segno di un attacco di tipo prompt-bombing:
| Evento Codice | Descrizione |
| 702 | Approvazione dell'autenticazione non riuscita - La risposta dell'utente è scaduta. |
| 703 | Autenticazione di approvazione fallita - L'utente ha negato l'approvazione. |
| 802 | Autenticazione biometrica del dispositivo non riuscita - La risposta dell'utente è scaduta. |
| 803 | Autenticazione biometrica del dispositivo non riuscita. |
Dopo aver ottenuto l'accesso, sia tramite prompt-bombing che con altri metodi, una tecnica comune è quella di registrare un nuovo dispositivo MFA. Oltre a proteggere il processo di iscrizione richiedendo qualcosa di più di una semplice password per l'iscrizione MFA, RSA consiglia anche di abilitare notifiche via e-mail, che fornisce un'ulteriore notifica a un utente che potrebbe aver approvato un accesso dannoso che è stato registrato un nuovo autenticatore o che l'autenticatore esistente è stato eliminato.
Per proteggere da attacchi di tipo prompt bombing e dall'affaticamento dell'MFA:
- Istruite gli utenti sul pericolo di approvare una richiesta di autenticazione non riconosciuta e incoraggiateli a segnalarla al vostro team di sicurezza e a cambiare la password se ciò si verifica.
- Considerare l'utilizzo di metodi di autenticazione alternativi per determinate applicazioni o situazioni. Identificare la fiducia e l'elenco degli utenti ad alto rischio può essere di grande aiuto.
- Monitorare i registri per le richieste push negate o scadute e generare avvisi quando vengono individuate in successione.
- Assicurare il Processo di registrazione del dispositivo MFA.
- Abilitare l'avviso via e-mail per le modifiche al dispositivo.
