Запобігання атакам типу ATO. Частина 2: багатофакторна автентифікація
Запобігання атакам типу ATO. Частина 2: багатофакторна автентифікація
07.08.2023
За матеріалами Спирос Псарріс (Spiros Psarris), reblaze.com/blog
У попередній статті, що присвячена запобіганню атак типу ATO (Account Takeover — захоплення облікового запису), ми розглядали різні аспекти, як от етапи атаки, поширені методи, якими злочинці користуються для ATO, а також певні типи аномалій, які можуть вказувати на захоплення облікового запису. Хоча стандартні інструменти веббезпеки, наприклад, хмарний міжмережний екран вебзастосунків (WAF), здатні захистити від різних видів атак, сучасне середовище загроз також вимагає спеціалізованих технологій для запобігання ATO.
У цій статті ми розглянемо методи та найкращі практики протидії атакам типу ATO, а також способи розв’язання проблем, якщо такі атаки все ж трапилися. Наша увага спрямується на практику, яка є досить ефективною та добре відомою, але, на жаль, ще недостатньо поширеною: багатофакторна автентифікація (Multi-Factor Authentication, MFA).
Методи авентифікації для MFA можна поділити на три категорії:
Щоб максимально використати переваги MFA, важливо використовувати принаймні два чинника з різних категорій. Наприклад, якщо користувач має ввести пароль і надати код із ключа безпеки, ймовірність того, що злочинник зможе обійти обидва цих методи одночасно, дуже мала. Навіть якщо пароль буде зламано, злочиннику однаково буде складно дістати доступ до облікового запису, оскільки він не зможе надати правильний код.
Код надсилається через SMS
SMS — це старий, але все ще популярний спосіб багатофакторної автентифікації (MFA). Коли користувач вводить правильний пароль, служба надсилає текстове повідомлення із числовим одноразовим паролем (OTP), який необхідно ввести для завершення процесу автентифікації.
MFA на основі SMS є поширеним у галузі, але цей механізм не є надійним. Наприклад, злочинник, що виконує атаку типу ATO, може використати підміну SIM-карти, щоб дістати доступ до номера телефону користувача і отримувати коди підтвердження, призначені для законного користувача.
Тому організаціям рекомендується використовувати SMS MFA лише тоді, коли немає кращих альтернативних методів автентифікації
Програми для генерації TOTP
Застосунки для генерації TOTP (Time-based One-Time Password) паролів, такі як Google Authenticator, Microsoft Authenticator і Authy, створюють унікальні одноразові паролі, які дійсні лише упродовж короткого періоду часу. Щоби пройти автентифікацію та дістати доступ до сервера, який підтримує ці служби, користувач має використати програму для генерації дійсного одноразового пароля та передати його на сервер.
TOTP є більш безпечним методом проти SMS, оскільки злочинці не мають можливості перехопити коди. Кожен TOTP пароль дійсний лише упродовж обмеженого проміжку часу, і коди не можуть бути згенеровані без доступу до спільного секретного ключа, який був наданий під час налаштування. Для того, щоб скомпрометувати процес TOTP, потрібен фізичний доступ до пристрою користувача, атака типу MitM або проникнення в серверне середовище.
Мобільні push-повідомлення
Push-сповіщення використовуються деякими провайдерами, наприклад, Google, для автентифікації на пристроях з операційною системою Android. Під час спроби входу в обліковий запис на телефоні користувача надсилається push-повідомлення. Натискання на відповідну кнопку в сповіщенні підтверджує особу користувача, не потребуючи ручного введення коду.
Ключі U2F
Універсальні апаратні ключі двофакторної автентифікації (Universal 2nd Factor, U2F), такі як YubiKeys, являють собою спеціальні USB-пристрої, які використовуються для перевірки особи користувача. Апаратний ключ генерує безпечні коди, не потребуючи використання SMS або TOTP. Користувачі можуть пройти автентифікацію в службах, які підтримують U2F, через натискання кнопки на бічній панелі пристрою. Це фізичний процес, який неможливо здійснити для віддаленого злочинця. Тому U2F є зручним і безпечним рішенням.
Стандарт FIDO2
FIDO2 є галузевим стандартом, який використовує криптографію з відкритим ключем для заміни паролів. Це уможливлює створення безпечного та послідовного входу на вебсайти та застосунки. Хоча FIDO («Fast IDentity Online») насамперед спрямований на безпарольний доступ, його також можна використовувати як метод MFA.
Традиційні методи MFA можуть значно підвищити безпеку, але багато з них залишаються вразливими до складних фішингових атак. Мета FIDO полягає в підтриманні методів MFA, що стійкі до фішингу.
FIDO2 використовує функції автентифікації операційної системи, які вже знайомі користувачам, такі як Apple Touch ID та Windows Hello. Користувачі підтверджують запити автентифікації з використанням чинників, які вже налаштовані на їхніх пристроях. Розробники можуть використовувати специфічні для платформи інтерфейси для запиту автентифікації в нативних програмах або використовувати WebAuthn API на вебсайтах.
Apple, Google і Microsoft прагнуть інтегрувати підтримання FIDO у свої відповідні платформи. Це дасть змогу організаціям замінити SMS-коди та автономні ключі безпеки простими підказками автентифікації на пристроях.
MFA або Passwordless
Автентифікація без пароля (Passwordless) є темою, пов’язаною з багатофакторною аутентифікацією (MFA). У системах безпарольної автентифікації використовується метод, відмінний від традиційних «секретів», як от паролі. Натомість використовується щось унікальне, що злочинник не може легко дістати або перехопити. Наприклад, це може бути одноразовий код, просканований відбиток пальця або магічне повідомлення, надіслане на електронну адресу.
Метод безпарольної автентифікації (Passwordless) був розроблений, щоб уникнути проблем, пов’язаних із використанням паролів. Часто користувачі забувають свої паролі, використовують однакові паролі для різних сервісів або обирають слабкі комбінації, що може зробити їхні облікові записи вразливими до атак. Хоча безпарольна автентифікація і розглядається як унікальний підхід до процесу автентифікації, на практиці вона часто використовує ті самі механізми, що й багатофакторна аутентифікація (MFA), за винятком паролів.
Згідно з дослідженням Microsoft, використання MFA блокує 99,9% спроб атак на облікові записи. Аналогічно, звіт від Google показує, що двоетапна перевірка з використанням сповіщень на пристрої блокує 100% автоматизованих бот-атак, 99% фішингових кампаній і 90% націлених атак на облікові записи конкретних користувачів.
Не всі методи багатофакторної автентифікації (MFA) мають однакову ефективність.
Зокрема, деякі методи генерації кодів, такі як SMS, можуть бути небезпечними, оскільки є ризик перехоплення секретних даних. Крім того, передача доказів автентифікації через мережу пов’язана з неминучими внутрішніми ризиками. Також важливо зазначити, що перехоплення великої кількості запитів автентифікації теоретично може дозволити дістати корисну інформацію.
Однак використання будь-якої із цих вразливостей MFA вимагає від злочинців більшої технічної складності, як порівняти з базовими атаками, як от підміна облікових даних чи фішингові кампанії. Застосування MFA надає вашій організації потужну основу для захисту від ATO.
Впровадження MFA для облікових записів клієнтів може бути складним завданням, бо воно призводить до певного ускладнення процесу входу, що своєю чергою сповільнює роботу користувачів та створює відчуття незручності.
Добра новина полягає в тому, що все більше компаній, спрямованих на споживачів, впроваджують і вимагають багатофакторну автентифікацію для своїх клієнтів. Оскільки ця тенденція стає все більш поширеною і значущою, з кожним днем усе більше людей звикають до MFA. На сьогодні, завдяки зусиллям у галузі спрощення та стандартизації MFA, ми маємо вагомі результати в цій сфері. Зокрема, розповсюдження підтримання FIDO на основних платформах дає змогу користувачам незабаром використовувати знайомі механізми автентифікації своїх пристроїв для входу на вебсайт та в застосунки. Це сприятиме швидкому та зручному процесу входу, усуваючи ручні аспекти, які були присутні в попередніх рішеннях MFA.
Погана новина полягає в тому, що рівень прийняття MFA залишається низьким. Згідно зі звітом Агентства з кібербезпеки та безпеки інфраструктури США (CISA) за жовтень 2022 року, лише чверть клієнтів «провідного постачальника» використовують MFA. Ще більш тривожно те, що лише третина системних адміністраторів активували його на своїх системах.
Звичайно, це не є належною причиною для відкладання впровадження MFA у вашій організації. Оскільки переваги MFA щодо захисту облікових записів користувачів очевидні, питання має полягати не в тому, чи приймати багатофакторну автентифікацію, а в тому, як ефективно її реалізувати та як швидко можна зробити впровадження.
Шкода, що виникає внаслідок шахрайства з використанням облікових записів клієнтів або, ще гірше, компрометації внутрішніх систем, може мати серйозні наслідки, як от витік даних або інсталяція програм-вимагачів, які призводять до катастрофічних наслідків.
Виявлення таких випадків може бути складним, а подальший аналіз стикається з викликами через забруднені журнали аудиту та сумнівну цілісність даних. Це створює серйозні труднощі в роботі та призводить до значних проблем.
MFA є одним із найефективніших способів захисту від АТО. Впровадження другого методу автентифікації для користувачів створює додатковий бар’єр, який ускладнює заволодіння обліковим записом і майже повністю знижує кількість успішних АТО практично до нуля.
Власне MFA не є повністю непроникним захистом і не може запобігти перехопленню облікових даних. MFA не має бути єдиним захистом для запобігання АТО, особливо у ваших публічних системах.
У наступних статтях серії «Запобігання атакам типу ATO» ми і далі розповідатимемо про способи протидії ATO-атакам.
Фахівці Мегатрейд, що є офіційним дистриб’ютором Reblaze в Україні, проконсультують та допоможуть ознайомитися із демонстраційною версією Reblaze — рішенням із вебзахисту нового покоління. Надішліть запит (soft@megatrade.ua) та отримайте консультацію!
У попередній статті, що присвячена запобіганню атак типу ATO (Account Takeover — захоплення облікового запису), ми розглядали різні аспекти, як от етапи атаки, поширені методи, якими злочинці користуються для ATO, а також певні типи аномалій, які можуть вказувати на захоплення облікового запису. Хоча стандартні інструменти веббезпеки, наприклад, хмарний міжмережний екран вебзастосунків (WAF), здатні захистити від різних видів атак, сучасне середовище загроз також вимагає спеціалізованих технологій для запобігання ATO.
У цій статті ми розглянемо методи та найкращі практики протидії атакам типу ATO, а також способи розв’язання проблем, якщо такі атаки все ж трапилися. Наша увага спрямується на практику, яка є досить ефективною та добре відомою, але, на жаль, ще недостатньо поширеною: багатофакторна автентифікація (Multi-Factor Authentication, MFA).
Основне про MFA
Багатофакторна автентифікація є ефективним засобом посилення безпеки облікових записів користувачів, оскільки вона вимагає надання кількох доказів, що підтверджують, що користувач є тим, за кого себе видає. Двофакторна автентифікація (2FA) є найпоширенішою формою багатофакторної автентифікації, яка ґрунтується на використанні двох доказів. Проте, у дуже критичних системах можуть використовуватися більш як два фактори для додаткового рівня захисту.Методи авентифікації для MFA можна поділити на три категорії:
- Знання: Користувач надає секретну інформацію, як от пароль, який має знати лише він сам та служба, з якою він взаємодіє.
- Власність: Користувач має фізичний або електронний актив, наприклад, програму, що генерує токен або телефон, на який надсилаються повідомлення або здійснюються дзвінки для підтвердження.
- Невіддільна (частина/ознака) характеристика: Цей чинник ґрунтується на чомусь невіддільному (частина/ознака) для користувача, що злочиннику складно отримати. Біометричні технології, як от сканери відбитків пальців або розпізнавання обличчя, є найпоширенішими методами цієї категорії аутентифікації.
Щоб максимально використати переваги MFA, важливо використовувати принаймні два чинника з різних категорій. Наприклад, якщо користувач має ввести пароль і надати код із ключа безпеки, ймовірність того, що злочинник зможе обійти обидва цих методи одночасно, дуже мала. Навіть якщо пароль буде зламано, злочиннику однаково буде складно дістати доступ до облікового запису, оскільки він не зможе надати правильний код.
Механізми MFA
Використання багатофакторної автентифікації (MFA) зазвичай включає створення одного або кількох кодів безпеки для автентифікації користувачів. Є кілька різних стандартних механізмів для досягнення цього, і варто розуміти сильні та слабкі сторони кожного з них.Код надсилається через SMS
SMS — це старий, але все ще популярний спосіб багатофакторної автентифікації (MFA). Коли користувач вводить правильний пароль, служба надсилає текстове повідомлення із числовим одноразовим паролем (OTP), який необхідно ввести для завершення процесу автентифікації.
MFA на основі SMS є поширеним у галузі, але цей механізм не є надійним. Наприклад, злочинник, що виконує атаку типу ATO, може використати підміну SIM-карти, щоб дістати доступ до номера телефону користувача і отримувати коди підтвердження, призначені для законного користувача.
Тому організаціям рекомендується використовувати SMS MFA лише тоді, коли немає кращих альтернативних методів автентифікації
Програми для генерації TOTP
Застосунки для генерації TOTP (Time-based One-Time Password) паролів, такі як Google Authenticator, Microsoft Authenticator і Authy, створюють унікальні одноразові паролі, які дійсні лише упродовж короткого періоду часу. Щоби пройти автентифікацію та дістати доступ до сервера, який підтримує ці служби, користувач має використати програму для генерації дійсного одноразового пароля та передати його на сервер.
TOTP є більш безпечним методом проти SMS, оскільки злочинці не мають можливості перехопити коди. Кожен TOTP пароль дійсний лише упродовж обмеженого проміжку часу, і коди не можуть бути згенеровані без доступу до спільного секретного ключа, який був наданий під час налаштування. Для того, щоб скомпрометувати процес TOTP, потрібен фізичний доступ до пристрою користувача, атака типу MitM або проникнення в серверне середовище.
Мобільні push-повідомлення
Push-сповіщення використовуються деякими провайдерами, наприклад, Google, для автентифікації на пристроях з операційною системою Android. Під час спроби входу в обліковий запис на телефоні користувача надсилається push-повідомлення. Натискання на відповідну кнопку в сповіщенні підтверджує особу користувача, не потребуючи ручного введення коду.
Ключі U2F
Універсальні апаратні ключі двофакторної автентифікації (Universal 2nd Factor, U2F), такі як YubiKeys, являють собою спеціальні USB-пристрої, які використовуються для перевірки особи користувача. Апаратний ключ генерує безпечні коди, не потребуючи використання SMS або TOTP. Користувачі можуть пройти автентифікацію в службах, які підтримують U2F, через натискання кнопки на бічній панелі пристрою. Це фізичний процес, який неможливо здійснити для віддаленого злочинця. Тому U2F є зручним і безпечним рішенням.
Стандарт FIDO2
FIDO2 є галузевим стандартом, який використовує криптографію з відкритим ключем для заміни паролів. Це уможливлює створення безпечного та послідовного входу на вебсайти та застосунки. Хоча FIDO («Fast IDentity Online») насамперед спрямований на безпарольний доступ, його також можна використовувати як метод MFA.
Традиційні методи MFA можуть значно підвищити безпеку, але багато з них залишаються вразливими до складних фішингових атак. Мета FIDO полягає в підтриманні методів MFA, що стійкі до фішингу.
FIDO2 використовує функції автентифікації операційної системи, які вже знайомі користувачам, такі як Apple Touch ID та Windows Hello. Користувачі підтверджують запити автентифікації з використанням чинників, які вже налаштовані на їхніх пристроях. Розробники можуть використовувати специфічні для платформи інтерфейси для запиту автентифікації в нативних програмах або використовувати WebAuthn API на вебсайтах.
Apple, Google і Microsoft прагнуть інтегрувати підтримання FIDO у свої відповідні платформи. Це дасть змогу організаціям замінити SMS-коди та автономні ключі безпеки простими підказками автентифікації на пристроях.
MFA або Passwordless
Автентифікація без пароля (Passwordless) є темою, пов’язаною з багатофакторною аутентифікацією (MFA). У системах безпарольної автентифікації використовується метод, відмінний від традиційних «секретів», як от паролі. Натомість використовується щось унікальне, що злочинник не може легко дістати або перехопити. Наприклад, це може бути одноразовий код, просканований відбиток пальця або магічне повідомлення, надіслане на електронну адресу.
Метод безпарольної автентифікації (Passwordless) був розроблений, щоб уникнути проблем, пов’язаних із використанням паролів. Часто користувачі забувають свої паролі, використовують однакові паролі для різних сервісів або обирають слабкі комбінації, що може зробити їхні облікові записи вразливими до атак. Хоча безпарольна автентифікація і розглядається як унікальний підхід до процесу автентифікації, на практиці вона часто використовує ті самі механізми, що й багатофакторна аутентифікація (MFA), за винятком паролів.
MFA: дуже ефективний засіб проти АТО
МФА є простим, але надійним способом захисту облікових записів користувачів від спроб несанкціонованого доступу. Коли злочинцям потрібно подолати кілька бар’єрів, ймовірність успіху їхньої атаки різко знижується.Згідно з дослідженням Microsoft, використання MFA блокує 99,9% спроб атак на облікові записи. Аналогічно, звіт від Google показує, що двоетапна перевірка з використанням сповіщень на пристрої блокує 100% автоматизованих бот-атак, 99% фішингових кампаній і 90% націлених атак на облікові записи конкретних користувачів.
Не всі методи багатофакторної автентифікації (MFA) мають однакову ефективність.
Зокрема, деякі методи генерації кодів, такі як SMS, можуть бути небезпечними, оскільки є ризик перехоплення секретних даних. Крім того, передача доказів автентифікації через мережу пов’язана з неминучими внутрішніми ризиками. Також важливо зазначити, що перехоплення великої кількості запитів автентифікації теоретично може дозволити дістати корисну інформацію.
Однак використання будь-якої із цих вразливостей MFA вимагає від злочинців більшої технічної складності, як порівняти з базовими атаками, як от підміна облікових даних чи фішингові кампанії. Застосування MFA надає вашій організації потужну основу для захисту від ATO.
Чому варто впроваджувати MFA
Щоб досягти максимальної ефективності, MFA має бути розгорнута в усіх облікових записах користувачів вашої організації. Навіть один незахищений обліковий запис або скомпрометований пароль можуть надати злочинцю значну владу, що підтверджує приклад інциденту з Colonial Pipeline. Із цієї причини MFA має бути обов’язковою вимогою для всіх осіб, які мають доступ до внутрішніх систем вашої організації, включно працівників, підрядників та інших сторонніх користувачів.Впровадження MFA для облікових записів клієнтів може бути складним завданням, бо воно призводить до певного ускладнення процесу входу, що своєю чергою сповільнює роботу користувачів та створює відчуття незручності.
Добра новина полягає в тому, що все більше компаній, спрямованих на споживачів, впроваджують і вимагають багатофакторну автентифікацію для своїх клієнтів. Оскільки ця тенденція стає все більш поширеною і значущою, з кожним днем усе більше людей звикають до MFA. На сьогодні, завдяки зусиллям у галузі спрощення та стандартизації MFA, ми маємо вагомі результати в цій сфері. Зокрема, розповсюдження підтримання FIDO на основних платформах дає змогу користувачам незабаром використовувати знайомі механізми автентифікації своїх пристроїв для входу на вебсайт та в застосунки. Це сприятиме швидкому та зручному процесу входу, усуваючи ручні аспекти, які були присутні в попередніх рішеннях MFA.
Погана новина полягає в тому, що рівень прийняття MFA залишається низьким. Згідно зі звітом Агентства з кібербезпеки та безпеки інфраструктури США (CISA) за жовтень 2022 року, лише чверть клієнтів «провідного постачальника» використовують MFA. Ще більш тривожно те, що лише третина системних адміністраторів активували його на своїх системах.
Звичайно, це не є належною причиною для відкладання впровадження MFA у вашій організації. Оскільки переваги MFA щодо захисту облікових записів користувачів очевидні, питання має полягати не в тому, чи приймати багатофакторну автентифікацію, а в тому, як ефективно її реалізувати та як швидко можна зробити впровадження.
Висновок
Атаки захоплення облікового запису (ATO) є поширеною формою кіберзлочинності, коли злочинець дістає несанкціонований доступ до облікового запису користувача. Успішні ATO можуть бути результатом різних методів, як от витік даних, фішингові атаки або спроби підбору облікових даних.Шкода, що виникає внаслідок шахрайства з використанням облікових записів клієнтів або, ще гірше, компрометації внутрішніх систем, може мати серйозні наслідки, як от витік даних або інсталяція програм-вимагачів, які призводять до катастрофічних наслідків.
Виявлення таких випадків може бути складним, а подальший аналіз стикається з викликами через забруднені журнали аудиту та сумнівну цілісність даних. Це створює серйозні труднощі в роботі та призводить до значних проблем.
MFA є одним із найефективніших способів захисту від АТО. Впровадження другого методу автентифікації для користувачів створює додатковий бар’єр, який ускладнює заволодіння обліковим записом і майже повністю знижує кількість успішних АТО практично до нуля.
Власне MFA не є повністю непроникним захистом і не може запобігти перехопленню облікових даних. MFA не має бути єдиним захистом для запобігання АТО, особливо у ваших публічних системах.
У наступних статтях серії «Запобігання атакам типу ATO» ми і далі розповідатимемо про способи протидії ATO-атакам.
Фахівці Мегатрейд, що є офіційним дистриб’ютором Reblaze в Україні, проконсультують та допоможуть ознайомитися із демонстраційною версією Reblaze — рішенням із вебзахисту нового покоління. Надішліть запит (soft@megatrade.ua) та отримайте консультацію!
Запобігання атакам типу ATO. Частина 1: етапи, типи, методи виявлення
Запобігання атакам типу ATO. Частина 3: протидія фішингу
Запобігання атакам типу ATO. Частина 4: обмеження швидкості
Reblaze — кіберзахист нового покоління для сайтів, вебзастосунків, сервісів та API
Cloudflare VS Reblaze: порівняння платформ