Переосмысление MFA
Надо отдать должное киберпреступникам: они оказались чрезвычайно искусными в преодолении мер безопасности, которые когда-то считались надежными. В качестве примера можно привести многофакторную аутентификацию (MFA). Хотя двухфакторная аутентификация (2FA) с использованием текстовых уведомлений стала стандартом де-факто для безопасности входа в систему, злоумышленники нашли множество способов ее обойти.
Фактически, существует целая индустрия, направленная на то, чтобы обойти 2FA. Компания Akamai недавно опубликовала в блоге сообщение, описывающее фишинговую кампанию, направленную на банковских клиентов в Великобритании, которые обходили 2FA. Исследователи из группы глобальной разведки угроз WMC недавно сообщили, что они отслеживают угрожающего субъекта под псевдонимом "Kr3pto", который создает и продает фишинговые наборы, предназначенные для получения кодов безопасности в реальном времени и данных 2FA, предназначенных для финансовых учреждений Великобритании.
Также прошлым летом были арестованы двое мужчин, которым были предъявлены обвинения в использовании учетных данных сотрудников Twitter для завладения аккаунтами нескольких известных людей в Twitter, которые они использовали для мошенничества с биткоинами. В отчете, опубликованном Департаментом финансовых услуг штата Нью-Йорк, говорится, что злоумышленники легко обошли фактор аутентификации push-уведомлений. В отчете рекомендуется использовать физические ключи безопасности для блокирования подобных атак.
Аппаратный подход
Физические ключи безопасности привносят новый подход в 2FA. Вместо того чтобы использовать код, присылаемый на телефон, аппаратный ключ представляет собой «флешку», который вставляется в ноутбук компании или другое зарегистрированное устройство доступа. Он генерирует уникальный код при нажатии на кнопку или биометрический считыватель, удостоверяя подлинность пользователя.
Хотя некоторые решения push-MFA могут быть уязвимы для обхода, последнее поколение биометрических ключей использует стандарты FIDO2 и WebAuthn, разработанные соответственно FIDO Alliance и World Wide Web Consortium. FIDO2 основан на криптографических учетных данных для входа, которые уникальны для каждого веб-сайта. Закрытый ключ остается на устройстве, а открытый ключ отправляется на сайт, на котором он зарегистрирован. Если использовать аналогию, то это похоже на безопасность в ракетной шахте, где две разные стороны должны одновременно повернуть пару уникальных ключей для авторизации запуска (сценарий, который, мы надеемся, никогда не произойдет!).
Стандарты FIDO2 и WebAuthn представляют собой интеллектуальные решения для аутентификации, эффективно предотвращающие большинство форм фишинга и других атак . Это включает в себя сложные атаки, такие типа "человек посередине" (MiTM), когда злоумышленник перехватывает учетные данные, манипулируя или перенаправляя сетевой трафик на поддельный портал для входа в систему.
Стоимость, сложность и человеческий фактор
Однако у физических ключей есть и отрицательные стороны. Развертывание тысяч таких устройств на предприятии - дорогостоящее и сложное занятие. Когда требуются обновления безопасности, нет возможности выпустить патч - вам придется заменить ключи новыми. Даже если поставщик ключей поставляет новые ключи бесплатно, их распространение - это головная боль с точки зрения логистики. Кроме того, список услуг, поддерживаемых физическими ключами, растет, но все еще ограничен.
Наконец, существует человеческий фактор: кто хоть раз не терял свои ключи? В этом случае ключ аутентификации необходимо будет аннулировать и заказать новый. Пользователь может ждать несколько дней до получения замены, блокируя тем временем доступ к корпоративным ресурсам. На предприятии с десятками тысяч сотрудников потерянные ключи могут оказать реальное влияние на производительность.
Превращение телефона в ключ
Есть и другой способ обеспечить надежную аутентификацию - тот, который сочетает в себе простоту и привычность 2FA на базе смартфона с надежной защитой, предлагаемой стандартами FIDO2 и WebAuthn. Почему бы не использовать устройство, с которым все знакомы и которое постоянно носят с собой - смартфон - для обеспечения надежной криптографической аутентификации, схожей с физическим ключом, за вычетом высокой стоимости и сложности?
Чтобы понять, как это может работать, важно узнать немного больше о FIDO2. В стандарте взаимодействуют три участника: веб-сайт (известный как полагающаяся сторона), браузер и аутентификатор (ключ). WebAuthn - это протокол между RP и браузером; между браузером и аутентификатором существует отдельный протокол Client to Authenticator Protocol (CTAP), также определенный FIDO2. Действия строгой аутентификации (зарегистрировать этот ключ, аутентифицировать этот вызов) выполняются между ключом и RP, при этом браузер передает сообщения и добавляет контекст.
CTAP определяет три транспортных уровня для роуминговых аутентификаторов: USB, Bluetooth low energy (BLE) и коммуникация ближнего поля (NFC). Однако использование транспортного уровня, не предусмотренного CTAP, необходимо для того, чтобы браузер мог передавать сообщения FIDO2 по криптографически защищенному каналу на смартфон. Эта инновация позволяет "сопрягать" смартфон с браузером по этому каналу так же, как физический ключ "сопрягается" с браузером по USB.
В результате получается защищенное от фишинга решение, использующее смартфон в качестве ключа. Таким образом, это "ракетная шахта" безопасна. Но как насчет другой стороны уравнения - простоты?
Пользовательский опыт
Прелесть этого подхода заключается в том, что корпоративные пользователи уже используют свои телефоны в процессе аутентификации. Таким образом, это не требует особых усилий. В некотором смысле, это просто добавляет защиту FIDO2 к уже знакомому и простому процессу. И это исключает ошибку пользователя из уравнения. При использовании существующих MFA push-уведомлений злоумышленник может отправить ложное уведомление, которое может способствовать захвату учетной записи сотрудника. Аутентификация FIDO2 с использованием смартфона, описанная выше, предотвращает это.
Хотя подход предлагает значительные преимущества по сравнению с традиционными MFA push-уведомлениями и физическими ключами безопасности, он не отменяет необходимости целостного подхода к безопасности. Он включает в себя управление мобильными устройствами. Компании должны уделять пристальное внимание любым потенциальным уязвимостям в самих смартфонах, включая все программное обеспечение, установленное на них. Важно постоянно проверять каждое звено в цепи безопасности, чтобы выявить потенциальные уязвимости. В конце концов, киберпреступники проводят дни и ночи в поисках крошечных брешей в защите предприятия.
При правильном развертывании стратегия аутентификации, которая заменяет аппаратные ключи подходом на базе смартфонов с использованием стандарта FIDO2, может устранить риск, связанный с методами обхода MFA, без ущерба для удобства пользователей. В условиях растущего числа кибератак сочетание надежности и может стать лучшим решением.
