Autor: Steven Hope, direktor proizvoda MFA u Intercedeu
Ako vas imena kao što su Conficker, Sasser i MyDoom bacaju u očaj, niste sami. U ne tako davnoj prošlosti računalni virusi, jednostavni ili sofisticirani, imali su moć osakatiti velike i male organizacije, jer su kibernetički kriminalci nastojali izazvati pustoš, steći slavu i bogatstvo. Zaštita krajnjih točaka/perimetra stručnjaka za sigurnost bila je glavna stvar, s vatrozidima i antivirusnim softverom koji su pružali prvu liniju obrane. Iako ova vrsta zlonamjernog softvera i dalje postoji, više nije glavni vektor napada, međutim, krajolik prijetnji stalno se razvija i, s rastom man-in-the-middle (otmice sesije), hakiranja SIM-a i ciljanih phishing napada, plijen o ranjivoj autentifikaciji, uključujući Multi-Factor Authentication (MFA).
Na isti način na koji antivirus nikada nije mogao sto posto zaštititi sustave od trojanaca, crva, botneta, ransomwarea itd., za sada ne postoji ništa poput rješenja otpornog na krađu identiteta, osim PKI-ja i FIDO-a koji se temelje na hardveru. Međutim, postoje načini da budete otporniji na phishing napade. Nažalost, najslabiji oblik otpora je i najobičniji – lozinke. Pogodite, kupite ili društveno izradite lozinku i odmah ćete imati pristup svemu što ona 'štiti', bilo da je to račun na društvenim mrežama ili sustav kritičan za misiju. Ako se smatralo dovoljno važnim da ispred sebe ima lozinku, onda su šanse da ima određenu vrijednost, financijsku ili neku drugu za organizaciju koja se može iskoristiti.
Stoga je očigledan izbor dodati još jedan sloj sigurnosti, pa ako se lozinka probije, postoji još jedna prepreka koju treba prevladati. Ovo je uobičajeno poznato kao provjera autentičnosti s više faktora (MFA), ali to može biti pogrešan naziv ako je, na primjer, jedan od tih čimbenika loše upravljan program za zaporke (nepridržavanje smjernica NIST-a i nepostojanje rješenja za upravljanje sigurnošću zaporke) . S obzirom na slabost lozinki, MFA ove vrste obično je siguran koliko i drugi faktor. Dakle, iako je potencijalno sigurnija od samostalne lozinke, daleko je od toga da bude otporna na krađu identiteta i neki bi mogli raspravljati je li ovo doista MFA.
Mnogi kiberkriminalci manje će se fokusirati na probijanje računala, a više na inženjering zaposlenika pomoću tehnika kao što su spear phishing, BEC (Business Email Compromise) i phishing pristanka. Ovdje je cilj potaknuti identificiranu metu da nesvjesno preda informacije koje su im potrebne.
Savršen primjer za to je iskorištavanje samozadovoljstva koje okružuje push obavijesti (općenito poznato kao "push fatigue"). Push obavijesti se sve više koriste kao drugi faktor prilikom prijave na sustav ili kupnje. Poruka od vlasnika računa traži da prihvati, unese jednokratni kod (OTC) ili upotrijebi biometriju (putem čitača otiska prsta na mobilnom uređaju).
Cyberkriminalci su naučili da bombardiranje vlasnika računa push obavijestima, stvarajući umor, može rezultirati time da vlasnik udovolji njihovom zahtjevu; na kraju krajeva, ako pritiskom na Odbij nekoliko puta ne prestane pojavljivanje skočnih prozora, možda će pritiskom na Prihvati. Ako već imaju korisničko ime i lozinku (koje su lako dostupne i kojima se trguje po vrlo niskoj cijeni na mračnom webu), mogu raditi što žele, bilo da se radi o transakciji, pražnjenju računa, preuzimanju ili brisanju podataka. Da pojam 'trojanski konj' nije već pripisan u svijetu kibernetičke sigurnosti, to bi bio prikladan opis onoga što kibernetički kriminalci rade s push obavijestima.
Dakle, ako su loše upravljane lozinke slabe i 2FA ih je lako zaobići, opravdano je postaviti pitanje gdje to ostavlja autentifikaciju, posebno s obzirom na nedostatak priznatih standarda (iako bih svakoga potaknuo da pogleda FIPS 201, koji je objavio NIST). Stvarnost je takva da višestrani i višefaktorski pristup autentifikaciji (MFA) mora biti otporan na krađu identiteta. Što je osoblje bolje obučeno (CUJO AI je u siječnju izvijestio da 56% korisnika interneta pokušava otvoriti barem jednu phishing vezu svaki mjesec), što je više faktora, to ste sigurniji. Koliko daleko idete na ljestvici od lozinki (koje nisu otporne na krađu identiteta) do PKI-ja (najviša razina osiguranja autentifikacije) uvelike će ovisiti o tome gdje se nalazite u prehrambenom lancu i može li se organizacija smatrati metom visoke vrijednosti, bilo za sebe ili za svoju ulogu u širem i bogatijem opskrbnom lancu.
Stvarnost za većinu organizacija bilo koje veličine jest da će različiti ljudi i zadaci zahtijevati različite razine jamstva, tako da svako korišteno MFA rješenje mora imati mogućnost skaliranja načina na koji se vjerodajnice primjenjuju na odgovarajući način. Authlogics Push MFA napravljen je imajući na umu krajnjeg korisnika, dajući mu korisne informacije pomoću kojih može donijeti informiraniju odluku o prihvaćanju/odbijanju. Nadalje, nakon odbijanja lomogu jednostavno dodirnuti razlog zašto i pritisnuti zaštitu od umora koja će se automatski aktivirati.
U trećem tromjesečju 2022. Radna skupina za borbu protiv krađe identiteta (APWG) izvijestila je o 1.270.883 phishing napada, što je najgore što je grupa ikada zabilježila. Razlog je jednostavan – phishing radi. Sva očekivanja su da će 2023. broj nastaviti rasti. Međutim, korištenje pravog MFA-a kao dijela cjelokupne sigurnosne strategije može pružiti otpor potreban za odbijanje sve sofisticiranijih, upornijih i uvjerljivijih napada.