О защите данных с помощью многофакторной аутентификации (КОНКУРС)

Kolambus

Script Kiddie
26.08.2020
15
0
1
Многофакторная аутентификация (MFA) существует уже три десятилетия, и теперь аутентификация и безопасность стали приоритетными в защите данных. Кибератаки стали широко популярными и успешными, потому что организации плохо подготовлены к операциям по кибербезопасности. Эти организации хранят важную информацию о сотрудниках, клиентах и пациентах. Добавление дополнительных методов безопасности, таких как MFA, усложняет злоумышленникам успешную эксфильтрацию данных и нанесение дополнительного ущерба.

Методы MFA могут использоваться в сочетании для успешной защиты данных и обеспечения адекватных практик аутентификации. В этой статье мы обсудим реализации MFA, конфиденциальность с использованием более чем одного метода аутентификации, а также проблемы безопасности, связанные с MFA. Мы также расмотрим недостатки систем MFA и обсудим, как эти недостатки могут привести к нарушению безопасности.


1598513546109.png

Идея многофакторной аутентификации (MFA) была первоначально запатентована AT&T в 1996 году, но не была адаптирована для использования потребителями до самого недавнего времени, поскольку компании не спешили внедрять эту технологию в свои платформы. С ростом числа атак кибербезопасности защитники должны быть на шаг впереди злоумышленников. Таким образом, единый пароль больше не является предпочтительным методом аутентификации, поскольку пароли можно легко угадать или взломать с помощью современного компьютерного оборудования, которое теперь легко доступно каждому. Соответственно, достижения в области графических процессоров (GPU), специализированных интегральных схем (ASIC) и бот-сетей, управляемых вредоносным ПО (MCB), сделали очень простым взлом сложных паролей. Наряду с графическими процессорами и ASIC политики паролей, принятые Национальным институтом стандартов и технологий (NIST), помогли обычным пользователям создавать простые и легко запоминающиеся пароли. Из-за того, что пользователи меняют свой пароль каждые девяносто дней, среднему пользователю сложно запоминать сложные и длинные пароли, поэтому он прибегает к таким паролям, как комбинация сезона и года. Поскольку сами по себе пароли больше не считаются безопасными, MFA представляется следующей крупной реализацией безопасности. Используя надлежащие источники журналов и инструменты ведения журналов, аналитики безопасности могут сопоставлять данные для определения взломанных учетных записей. Часто у компаний есть внешние порталы с паролем, к которым может получить доступ любой человек в Интернете. Это может привести к атаке с использованием набора паролей из имен пользователей и паролей с целью взлома учетной записи. Путем написания правил для проверки нескольких попыток ввода неверного пароля с успешной аутентификацией, но сбой вторичного метода аутентификации может привести к предупреждению. С помощью этого предупреждения аналитики безопасности могут просмотреть журнал и начать расследование. В ходе расследования можно выявить такую информацию, как адреса Интернет-протокола (IP), активность сканирования и дополнительные взломанные учетные записи. Плагины интеллектуального ответа, используемые в системе управления информацией и событиями безопасности (SEIM), могут автоматически блокировать учетные записи при соблюдении определенных критериев.

Наконец, поскольку биометрическая технология становится наиболее предпочтительным методом будущих систем MFA, угроза атак кибербезопасности начнет возрастать в отношении биометрических данных. Последнее является уникальным для человека, но что происходит после утечки биометрических данных? Эквивалент кражи биометрических данных - это кража пароля. Вы можете изменить пароль, но как можно изменить отпечаток пальца? Обращение ДНК вспять - это далеко продвинутая технология, но благодаря достижениям науки способность воссоздавать компоненты физического тела из ДНК или биометрической информации будет продолжать расти. Идея MFA существует довольно давно, но внедрение MFA в услуги, которые люди используют каждый день, все еще довольно ново.

РЕАЛИЗАЦИЯ MFA
Существует несколько форм многофакторной аутентификации (MFA), которые адаптируются к продуктам потребительского и коммерческого уровня. Например, обмен текстовыми сообщениями службы коротких сообщений (SMS) предоставил дополнительный шаг при входе в систему. Это делается путем связывания учетной записи с номером телефона, после чего будет отправлен код подтверждения для аутентификации пользователя. Другой пример - биометрия, которая существует уже некоторое время и недавно была адаптирована в технологии смартфонов. Биометрия - это безопасный способ аутентификации пользователя, от имени которого они говорят. Физический уникальный идентификатор, такой как радужная оболочка глаза или отпечаток пальца, может использоваться в качестве другой формы аутентификации. Есть способы обойти биометрическую технологию, но со временем было доказано, что биометрия работает очень хорошо. Наиболее распространенная форма MFA - использование приложения на сотовом устройстве. Все больше компаний связывают методы двухфакторной аутентификации (2FA) со своими платформами, используя компании, специализирующиеся на безопасности, такие как Google Authenticator, LastPass и DUO Security. Эти приложения предоставляют пользователю шестизначную комбинацию, которая меняется каждые тридцать секунд и синхронизируется с серверами компании. Вместо шестизначного числа на смартфоне появится подсказка, позволяющая пользователю принять или отклонить попытку аутентификации. До появления мобильных приложений карты-ключи использовались для генерации кодов аутентификации. Эти коды, обычно называемые токенами, заложили основу для преобразования MFA в более адаптированную концепцию. Мир превратился в технологически развитое общество, в котором люди считают безопасность своим приоритетом. Все больше людей знакомы с технологиями и имеют технологические устройства, такие как смартфоны, для интеграции дополнительных форм аутентификации. Методы аутентификации можно разделить на три категории, такие как что-то известное, что-то принадлежащее и то, что вы. Что-то известное может быть второстепенным паролем или фразой. Не так безопасен, как дополнительные методы безопасности, но все же может быть отнесен к методу MFA. Этот метод может быть предметом попыток социальной инженерии или разведки с открытым исходным кодом, чтобы определить, какой может быть вторая форма аутентификации. При обращении к чему-то принадлежащему это может быть карта-ключ, которую нужно провести после дополнительного пароля, или токен, использованный из стороннего приложения, такого как DUO Security. Эта практика получила широкое распространение в организациях, поскольку считается самым безопасным и безопасным методом MFA. Наконец, то, что вы являетесь, называется биометрией, которая принимает уникальные идентификаторы и физические характеристики, чтобы сделать их идентифицируемыми.
возможна аутентификация. Комбинация того, что вы знаете, и того, чем вы являетесь, может создать сложную комбинацию для достижения компромисса. Физические атрибуты уникальны для одного человека, и у каждого есть уникальная последовательность ДНК или отпечатки пальцев. Задача MFA - доказать, что пользователь на самом деле тот, кем они себя называют. Биометрия представляет собой сложную для воспроизведения форму аутентификации. Смешивание и сопоставление пароля и формы аутентификации или двух форм двойной аутентификации, таких как биометрия и токен, делает его еще более безопасным. Существуют миллионы комбинаций паролей, пинов и методов аутентификации, которые можно использовать для защиты данных и пользователей. В качестве доказательства проверки концепции оказалось, что MFA очень сложно победить даже с помощью внутренних знаний. По мере того, как все больше организаций обращаются к включению и добавлению дополнительных методов аутентификации, возникает проблема добавления дополнительных ресурсов в компанию.
В зависимости от типа аутентификации смартфоны или интеллектуальные устройства могут приобретаться или обслуживаться для обеспечения надлежащей поддержки. Проекты нельзя реализовывать и оставлять работать постоянно. Добавление MFA может вызвать накладные расходы, но считыватели карт с ключами, которые предоставляют токены, по-прежнему являются безопасным способом аутентификации пользователей. При работе с системами аутентификации не существует универсального решения, поскольку каждая организация имеет свои собственные потребности, и в зависимости от этих потребностей могут потребоваться разные методы аутентификации. При интеграции безопасной системы могут возникнуть большие накладные расходы. Многие компании ставят задачи, производство и удобство выше требований безопасности. Отчасти поэтому внедрение вторичной аутентификации оказалось относительно медленным. Компаниям необходимо осознать вредные последствия того, что безопасность не является приоритетом. Может быть понятно, почему безопасность не является главной проблемой, поскольку это система поддержки, а производство - метод заработка. Что потребуется компаниям и организациям, чтобы понять, что безопасность должна быть приоритетом номер один? К сожалению, история показывает, что о безопасности думают второстепенно. Инцидент безопасности должен произойти, если компания понесет большие финансовые потери, прежде чем безопасность системы будет усилена. Использование MFA может дать раннее указание на компромисс. Это также может привести к обнаружению скомпрометированных учетных записей с помощью расширенного ведения журнала. Анализ журналов, в которых пользователи проходят аутентификацию должным образом, но не проходят вторичный метод аутентификации или время ожидания метода аутентификации истекло, может активировать правило и дать аналитику безопасности сигнал о том, что этот трафик происходит в сети. Журналы, отправленные в инструмент SEIM, такой как Splunk или LogRhythm, могут дать аналитику вторичный взгляд на то, что произошло при неудачной аутентификации. Это также дает IP-адрес, который можно повернуть, чтобы увидеть, что еще делал злоумышленник. Может быть дополнительная информация о разведке или дополнительных ресурсах. Внешняя инфраструктура - основная цель злоумышленников. Ведение журнала может дать хорошее представление о скомпрометированном пользователе, но без вторичной формы аутентификации учетная запись становится бесполезной, если только токен не может быть взломан, или если не используется уязвимость для обхода метода аутентификации. В любой критической инфраструктуре или системах должен быть включен метод MFA. Это создает усиленный уровень безопасности, который очень трудно обойти. Это исключает точку входа, в которой необходимо использовать другой вектор атаки. Злоумышленнику гораздо сложнее обойти организацию, если у него нет учетных данных домена. Конфиденциальность данных - большая проблема для потребителей, организаций и почти всех. Защита данных имеет решающее значение для сокрытия личной информации. А систему можно пропатчить тысячу раз, но в ней всегда будет уязвимость.

ПРОБЛЕМА БЕЗОПАСНОСТИ MFA

Совершенно безопасной системы не существует. Пользователи - лучший ресурс для компании, но также и самый простой способ для злоумышленника получить доступ к информации, принадлежащей организации. Есть способы обойти MFA, и в этом разделе исследуются такие недостатки безопасности. Недостатки безопасности существуют во многих программах потребительского уровня. Хотя большинство недостатков безопасности обнаруживается на этапе тестирования, недостатки безопасности всегда обнаруживаются в программном обеспечении, выпущенном в течение многих лет. Недостатки безопасности могут привести к утечке данных и личной информации. Чтобы скомпрометировать себя, не нужно использовать недостаток MFA. Другие системы могут быть использованы для успешной вторичной аутентификации. Биометрия - отличный тому пример. Биометрия уникальна для человека, и этот человек может использовать свой отпечаток пальца или другие физические характеристики для аутентификации. Эта информация хранится где-то еще. Злоумышленник может атаковать базу данных сохраненных биометрических данных. Компромисс физических характеристик, используемых в биометрии, вызывает большую озабоченность. Располагая данными биометрических данных других лиц, злоумышленник может использовать эту информацию для воспроизведения биометрических функций, таких как отпечаток пальца, для прохождения MFA. Это оказывается большой уязвимостью, если злоумышленник действительно может использовать информацию. Это самая большая проблема, стоящая за этим компромиссом. На самом деле злоумышленникам нужно что-то делать с данными, чтобы сделать их угрозой. По мере развития технологий развивались и биологические исследования. Реконструкция биометрических объектов на основе ДНК стала больше реальностью, чем предательства из футуристических фильмов. В прошлом подбор отпечатков пальцев обсуждался как метод борьбы с биометрией. Использование приложения, которому разрешено отправлять шаблоны в систему, можно начать с простого шаблона отпечатка пальца. Затем злоумышленник может изменить пиксели и продолжать повторную отправку до успешной аутентификации. Однако это не ограничивается отпечатками пальцев, так как распознавание лиц также можно изменить. Чтобы остановить атаки, такие как брутфорс, установка порога для количества попыток остановит этот тип атаки. Однако манипуляции с биометрическим устройством могут обойти эту функцию безопасности.

Любые украденные данные считаются компрометацией данных и инцидентом, но поскольку украденные данные являются личными для этого пользователя, у этого человека есть только одно лицо, одна радужная оболочка и только девять других пальцев. Может быть, все эти пальцы были отсканированы в систему. На этом этапе биометрия становится бесполезной как еще одна форма аутентификации. Пользователь не может отрастить другой палец или изменить след своей ДНК. Поскольку биометрия становится широко более адаптированный к устройствам и формам аутентификации, это может стать проблемой. Примером базы данных ДНК, которая может привести к инциденту и превратить эту угрозу в реальность, может быть Ancestry (Ancestry.com), где пользователи отправляют ДНК в компанию, где она проверяется и анализируется для определения связей между другими людьми и национальностями. Эти данные хранятся в базе данных, но также используются для настройки алгоритмов и улучшения их систем. Подобная утечка информации может привести к компрометации биометрических систем. Компрометация биометрических данных не только наносит вред формам аутентификации, но и хранящиеся данные могут использоваться другими способами. Поскольку все больше компаний и организаций используют биометрию в качестве формы аутентификации, биометрические данные станут целью киберпреступников. Пароли были первым вектором доступа при краже информации. Новые формы аутентификации заменят старые формы, но с новыми формами аутентификации приходят различные угрозы. Опасность биометрических данных сегодня реальна, но без возможности копировать или использовать биометрические данные таким образом, чтобы это было полезно для злоумышленника, нет реальной угрозы. Достижения в области биологических технологий для воссоздания и использования этих данных вместе с наплывом биометрических данных в конечном итоге станут реальной угрозой. Помимо кражи биометрических данных для использования в атаках кибербезопасности, биометрия может использоваться в качестве выкупа. С биометрическими данными лежит ДНК. Исследования ДНК могут иметь интересный медицинский аспект. Анализ ДНК может выявить конфиденциальные записи, которые в противном случае следует хранить в тайне. Злоумышленники могут использовать эти данные для получения выкупа. Будущее биометрических технологий имеет большой потенциал стать наиболее безопасным способом аутентификации, но может стать следующим серьезным нарушением безопасности. Другой распространенной формой вторичной аутентификации является обмен текстовыми SMS-сообщениями. Связывая номер телефона с услугой, служба отправляет код подтверждения, который нужно ввести для выполнения вторичной аутентификации. Это хорошая форма аутентификации в теории и на практике. Карту модуля идентификации абонента (SIM) очень сложно подделать. Злоумышленник может отправить сообщение, подделывающее номер, но получить информацию, отправленную на исходный номер, сложно. Хотя это возможно, злоумышленники чаще всего обращаются к поставщикам мобильных телефонов. Используя социальную инженерию и выдавая себя за клиентов, злоумышленники успешно сбросили учетные записи и перенесли номера на другую SIM-карту. В свою очередь, злоумышленник может обойти вторичную аутентификацию, используя код, отправленный на этот номер телефона. В последние годы провайдеры мобильных телефонов стали больше осведомлены о попытках социальной инженерии и приняли дополнительные меры безопасности для защиты учетных записей клиентов. Установка личного идентификационного номера (ПИН), пароля и подтверждения водительских прав затруднила изменение настроек учетной записи без надлежащей аутентификации. Это значительно усложнило злоумышленнику доступ к поставщикам сотовых телефонов для социальных инженеров. В последние годы киберпреступники нашли другие способы использования SMS-токенов для обхода 2FA. Используя фишинг и социальную инженерию, киберпреступники атаковали почтовые аккаунты Yahoo и Gmail. Отправляя людям фишинговые электронные письма, пользователям предлагалось ввести свои учетные данные для входа в систему. Веб-страница запрашивала подтверждение номера своего мобильного телефона, в то время как пользователь отправлял свой номер, веб-страница отправляла запрос на отправку кода подтверждения. Затем пользователь вводит токен SMS на фишинговый веб-сайт. На этом этапе у злоумышленника есть учетные данные пользователя, способ обойти 2FA и доступ к своей учетной записи электронной почты. MFA - хорошая безопасная система, но с чем угодно, ее можно победить с помощью базовых атак, таких как фишинг и атаки социальной инженерии.

Однако введение дополнительных методов безопасности, таких как количество попыток и ограничение по времени, сделало этот метод непопулярным. Однако, если вторичная аутентификация настроена плохо и допускает неограниченное количество попыток вторичной аутентификации, вероятность возникновения грубой силы значительно выше. В настоящее время компании выпускают push-to-phone, чтобы принимать или отклонять попытки аутентификации. Это восходит к регистрации неудачной попытки вторичной аутентификации, но пользователи также могут быть бдительными в отношении признаков взлома. Необразованный пользователь, принимающий вторую форму аутентификации со смартфона, будет выглядеть как законная аутентификация. Регистрация и оповещения, построенные вокруг этой деятельности, становятся бесполезными, и может произойти компрометация ресурсов организации.
 

admin

Administrator
Команда форума
05.03.2020
1 844
11
78
К КОНКУРСУ ДОПУЩЕНА
 

Об LS-LA

  • Мы, группа единомышленников, основная цель которых повышать уровень знаний и умений.
    Не забывая о материальном благополучии каждого)

About LS-LA

  • We, a group of like-minded people, whose main goal is to increase the level of knowledge and skills.
    Not forgetting about everyone’s material well-being)

Быстрая навигация

Пользовательское меню