Αυτός ο ιστότοπος χρησιμοποιεί cookie ώστε να μπορούμε να σας παρέχουμε την καλύτερη δυνατή εμπειρία χρήστη. Οι πληροφορίες cookie αποθηκεύονται στο πρόγραμμα περιήγησης σας και εκτελούν λειτουργίες όπως η ανάγνωση σας όταν επιστρέφετε στον ιστότοπο μας και η βοήθεια της ομάδας μας να κατανοήσει ποιες ενότητες του ιστοτόπου θεωρείτε πιο ενδιαφέρουσες και χρήσιμες.
LATEST
Η CISA δημοσιεύει οδηγό για τον έλεγχο ταυτότητας πολλαπλών παραγόντων
Του Στάθη Ασπιώτη
Η Υπηρεσία Κυβερνοασφάλειας και Ασφάλειας Υποδομών των ΗΠΑ (CISA) δημοσίευσε δύο ενημερωτικά δελτία που επισημαίνουν απειλές κατά λογαριασμών και συστημάτων που χρησιμοποιούν μορφές ελέγχου ταυτότητας πολλαπλών παραγόντων (MFA).
«Η CISA προτρέπει σθεναρά όλους τους οργανισμούς να εφαρμόσουν ανθεκτικό MFA για προστασία από το phishing και άλλες γνωστές απειλές στον κυβερνοχώρο», λέει σχετική ανακοίνωσή της.
Το πρώτο από τα δύο έγγραφα περιγράφει πολλαπλές μεθόδους που έχουν χρησιμοποιήσει οι φορείς απειλών για να αποκτήσουν πρόσβαση σε διαπιστευτήρια MFA, συμπεριλαμβανομένου του phishing, του push bombing (AKA, push fatigue), της εκμετάλλευσης των τρωτών σημείων του πρωτοκόλλου Signaling System No7 (SS7) και της ανταλλαγής SIM.
Για την άμυνα έναντι αυτών των απειλών, η CISA έχει προτείνει την ανάπτυξη λύσεων MFA ανθεκτικών στο phishing, που βασίζονται στο FIDO/WebAuthn και στην υποδομή δημόσιου κλειδιού (PKI).
Όσον αφορά στον έλεγχο ταυτότητας βάσει εφαρμογών, η CISA ανέφερε κωδικούς πρόσβασης μίας χρήσης (OTP), ειδοποιήσεις push για κινητά με (ή χωρίς) αντιστοίχιση αριθμού και OTP βάσει διακριτικών. Το SMS και το φωνητικό MFA θα πρέπει επίσης να βασίζονται σε κωδικούς OTP που αποστέλλονται στα τηλέφωνα ή στα e-mail των χρηστών.
Όσον αφορά στο δεύτερο ενημερωτικό δελτίο που δημοσίευσε ο Οργανισμός, αυτό παρέχει πρόσθετες πληροφορίες σχετικά με απειλές και άμυνες έναντι λογαριασμών και συστημάτων που χρησιμοποιούν MFA, τα οποία βασίζονται σε ειδοποιήσεις κινητής τηλεφωνίας, συμπεριλαμβανομένου του τρόπου λειτουργίας των προτροπών MFA, του μετριασμού των απειλών που στοχεύουν αυτά τα συστήματα και των βέλτιστων πρακτικών για τη χρήση MFA με αντιστοίχιση αριθμών.
Η αντιστοίχιση αριθμών (number matching) είναι μια ρύθμιση που αναγκάζει τον χρήστη να εισάγει αριθμούς από την πλατφόρμα ταυτότητας στην εφαρμογή του για να εγκρίνει το αίτημα ελέγχου ταυτότητας. «Εάν ένας οργανισμός χρησιμοποιεί MFA που βασίζεται σε ειδοποιήσεις κινητής τηλεφωνίας και δεν είναι σε θέση να εφαρμόσει MFA ανθεκτικό στο phishing, η CISA συνιστά τη χρήση αντιστοίχισης αριθμών για τον μετριασμό του MFA fatigue».
Σε αυτό το σημείο, η CISA διευκρίνισε ότι αν και η αντιστοίχιση αριθμών δεν είναι τόσο ισχυρή όσο ανθεκτικό είναι το MFA στο phishing, είναι παρόλα αυτά ένας από τους καλύτερους ενδιάμεσους τρόπους μετριασμού των κινδύνων για εταιρείες που ενδέχεται να μην είναι άμεσα σε θέση να εφαρμόσουν MFA ανθεκτικό στο phishing.
Η δημοσίευσή των ενημερωτικών δελτίων από τη CISA έρχεται μερικές εβδομάδες αφότου οι ερευνητές ασφαλείας της Proofpoint ανακάλυψαν καμπάνια phishing που προσπαθούσε να κλέψει διαπιστευτήρια της Microsoft και να παρακάμψει ορισμένα μέτρα MFA.