Com o notícias recentes de ataques bem-sucedidos de bombardeio com autenticação multifator (MFA) A RSA tem recebido cada vez mais pedidos de orientação sobre como se defender contra esses tipos de ataques. Anteriormente, compartilhamos um postagem no blog detalhando como os invasores se aproveitam da fadiga da MFA e usam o bombardeio imediato para obter acesso. Nesta postagem, vamos nos concentrar em configurações específicas dentro de ID Plus que podem ser usados para detectar e se defender contra esses tipos de ataques MFA Fatigue e Prompt Bombing.
Nem todos os fatores de autenticação são criados da mesma forma. Embora a RSA seja mais conhecida por ser pioneira na autenticação por senha de uso único (OTP) baseada em hardware, tanto a tecnologia quanto a RSA evoluíram. A proliferação de smartphones facilitou a adoção generalizada da MFA conveniente. Uma abordagem que ganhou ampla adoção é o envio de uma notificação push para um aplicativo de smartphone com a opção de o usuário aprovar ou negar.
Nesse caso, o usuário digita sua senha e responde a essa notificação por push em seu smartphone ou relógio inteligente. Se o usuário optar por aprovar, o acesso será concedido; se optar por negar, o acesso será negado. Esse método funciona bem, pois elimina a necessidade de fornecer um autenticador físico (token de hardware). É conveniente para o usuário e não é vulnerável a Ataques de troca de SIM da mesma forma que a autenticação baseada em SMS.
Embora seja mais conveniente, a autenticação baseada em push depende do usuário para identificar e negar qualquer tentativa de autenticação que não tenha sido iniciada por ele, o que torna esse método suscetível a ataques de bombardeio imediato de uma forma que os códigos de acesso de uso único não são.
Um usuário pode comprovar a posse de um dispositivo secundário (por exemplo, um telefone celular ou uma chave de segurança) de várias maneiras diferentes. As senhas de uso único são uma forma comum de fazer isso, e o Padrão FIDO, que usa PKI, está ganhando popularidade rapidamente. A chave aqui é entender que diferentes métodos de autenticação têm diferentes pontos fortes e fracos. Em alguns casos, certos métodos de autenticação trocam a segurança pela conveniência. Embora possa parecer uma troca ruim, a conveniência ajuda a impulsionar a adoção.
Vamos usar minha porta da frente como analogia. Eu poderia instalar quatro travas na minha porta para dificultar a entrada de alguém. Esse aumento na segurança vale a pena em termos de conveniência ou uma única trava de segurança é o equilíbrio certo entre segurança e conveniência?
A chave para uma implementação bem-sucedida da MFA é entender os pontos fortes e fracos dos diferentes métodos de autenticação e encontrar o equilíbrio certo, permitindo métodos de autenticação mais convenientes quando apropriado e exigindo métodos mais fortes (que podem ser menos convenientes) quando o risco assim o exigir.
Dentro do ID Plus plataforma, cada método de autenticação é atribuído a um nível de garantia. Em seguida, o administrador cria políticas que determinam qual nível de garantia é necessário. Esse mecanismo de políticas é extremamente flexível (você pode ler mais sobre ele aqui). Com base no nível de garantia exigido pela política, é apresentada ao usuário uma lista de opções de autenticação que atendem ao nível de garantia exigido.
Além de usar políticas estáticas para determinar o nível de garantia necessário, o ID Plus também pode adotar uma abordagem mais dinâmica. Chamamos esse recurso de Confiança na identidade. O mecanismo de confiança de identidade analisa cada tentativa de autenticação em tempo real usando uma variedade de fatores e retorna uma pontuação de confiança alta ou baixa. Esse resultado também pode ser usado nas políticas para exigir um nível de garantia específico. A pontuação de confiança pode ser usada sozinha ou em combinação com outras condições dentro da política.
Uma aplicação prática desse recurso poderia ser permitir uma notificação por push conveniente quando a pontuação de confiança for alta, mas exigir um fator mais forte se a pontuação de confiança for baixa. Uma tentativa de autenticação mal-intencionada usando credenciais comprometidas originadas de um dispositivo não reconhecido e de um local desconhecido acionaria uma pontuação de confiança baixa. Com base na política, o agente seria solicitado a fornecer uma OTP ou uma chave de segurança e não poderia acionar uma notificação por push para o telefone do usuário legítimo.
Outro recurso do ID Plus é o lista de usuários de alto risco. Esse recurso fornece uma interface para que as ferramentas de segurança marquem um usuário como de alto risco. Soluções como o NetWitness ou o Azure Sentinel podem ser usadas para marcar um usuário como de alto risco com base em atividades ou alertas vistos fora da plataforma ID Plus. Usando o mecanismo de políticas, um usuário de alto risco pode ter o acesso negado ao aplicativo ou ser obrigado a fornecer um método de autenticação de alta garantia para obter acesso.
Voltando ao exemplo da porta da frente, suponha que, em vez de adicionar mais trancas, eu instalasse uma câmera. A câmera me permitiria monitorar e ser alertado sobre qualquer tentativa de burlar a fechadura. Da mesma forma, o monitoramento e o alerta sobre a atividade de autenticação fornecem informações valiosas. No contexto de ataques de prompt bombing, os usuários geralmente negam a(s) primeira(s) tentativa(s) não reconhecida(s), mas podem acabar aprovando uma se o invasor enviar tentativas suficientes. Ao monitorar os logs de eventos e criar alertas sobre padrões suspeitos, é possível obter visibilidade e alertar a equipe de segurança para investigar ataques potenciais ou bem-sucedidos.
Cada evento de autenticação no ID Plus é registrado com detalhes específicos para cada etapa do processo (a lista completa está localizada aqui). Abaixo estão alguns IDs de eventos específicos que recomendamos monitorar, pois ocorrências repetidas podem ser o sinal de um ataque de prompt-bombing:
| Evento Código | Descrição |
| 702 | Falha na autenticação de aprovação - A resposta do usuário expirou. |
| 703 | Falha na autenticação de aprovação - Aprovação negada pelo usuário. |
| 802 | Falha na autenticação biométrica do dispositivo - A resposta do usuário expirou. |
| 803 | Falha na autenticação biométrica do dispositivo. |
Depois de obter acesso com sucesso, seja por meio de prompt-bombing ou outro método, uma técnica comum é registrar um novo dispositivo MFA. Além de proteger o processo de registro exigindo mais do que uma simples senha para o registro de MFA, a RSA também recomenda habilitar notificações por e-mail, que fornece uma notificação adicional a um usuário que pode ter aprovado um login malicioso de que um novo autenticador foi registrado ou que o autenticador existente foi excluído.
Para proteger contra ataques de bombardeio imediato e fadiga de MFA:
- Eduque os usuários sobre o perigo de aprovar uma solicitação de autenticação não reconhecida e incentive-os a informar à equipe de segurança e alterar a senha caso isso ocorra.
- Considere o uso de métodos de autenticação alternativos para determinados aplicativos ou situações. Identifique a confiança e a lista de usuários de alto risco pode ser de grande ajuda.
- Monitore os registros em busca de solicitações push negadas ou com tempo esgotado e gere alertas quando elas forem detectadas em sequência.
- Proteger o Processo de registro de dispositivo MFA.
- Ative o alerta por e-mail para alterações no dispositivo.
