TM_166

8 7|11|2022 #166 Του Στάθη Ασπιώτη Η Υπηρεσία Κυβερνοασφά- λειας και Ασφάλειας Υπο- δομών των ΗΠΑ (CISA) δη- μοσίευσε δύο ενημερωτικά δελτία που επισημαίνουν απειλές κατά λογαριασμών και συστημάτων που χρησι- μοποιούν μορφές ελέγχου ταυτότητας πολλαπλών πα- ραγόντων (MFA). «Η CISA προτρέπει σθενα- ρά όλους τους οργανισμούς να εφαρμόσουν ανθεκτικό MFA για προστασία από το phishing και άλλες γνωστές απειλές στον κυβερνοχώρο», λέει σχετική ανακοίνωσή της. Τ ο πρώτο α πό τα δύο έγ- γραφα περιγράφει πολλα- πλές μεθόδους που έχουν χρησιμοποιήσει οι φορείς απειλών για να αποκτήσουν πρόσβαση σε διαπιστευτήρια MFA, συμπε- ριλαμβανομένου του phishing, του push bombing (AKA, push fatigue), της εκμετάλλευσης των τρωτών σημείων του πρωτο- κόλλου Signaling System No7 (SS7) και της ανταλλαγής SIM. Για την άμυνα έναντι αυτών των απειλών, η CISA έχει προτεί- νει την ανάπτυξη λύσεων MFA ανθεκτικών στο phishing, που βασίζονται στο FIDO/WebAuthn και στην υποδομή δημόσιου κλειδιού (PKI). Όσον αφορά στον έλεγχο ταυτότητας βάσει εφαρμογών, η CISA ανέφερε κωδικούς πρόσβασης μίας χρήσης (OTP), ειδοποιήσεις push για κινητά με (ή χωρίς) αντιστοίχιση αριθμού και OTP βάσει διακριτικών. Το SMS και το φωνητικό MFA θα πρέπει επίσης να βασίζονται σε κωδικούς OTP που αποστέλλονται στα τηλέφωνα ή στα e-mail των χρηστών. Όσον αφορά στο δεύτερο ενημερωτικό δελτίο που δημοσίευσε ο Οργανισμός, αυτό παρέχει πρόσθετες πληροφορίες σχετικά με απειλές και άμυνες έναντι λογαριασμών και συστη- μάτων που χρησιμοποιούν MFA, τα οποία βασίζονται σε ειδοποιήσεις κινητής τηλεφωνίας, συμπεριλαμ- βανομένου του τρόπου λει- τουργίας των προτροπών MFA, του μετριασμού των απειλών που στοχεύουν αυτά τα συστήματα και των βέλτιστων πρακτικών για τη χρήση MFA με αντιστοίχιση αριθμών. Η αντιστοίχιση αριθμών (number matching) είναι μια ρύθμιση που αναγκάζει τον χρήστη να εισάγει αριθ- μούς από την πλατφόρμα ταυτότητας στην εφαρμογή του για να εγκρίνει το αίτημα ελέγ- χου ταυτότητας. «Εάν ένας οργανισμός χρησιμοποιεί MFA που βασίζεται σε ειδοποιήσεις κινητής τηλεφωνίας και δεν είναι σε θέση να εφαρμόσει MFA ανθεκτικό στο phishing, η CISA συ- νιστά τη χρήση αντιστοίχισης αριθμών για τον μετριασμό του MFA fatigue». Σε αυτό το σημείο, η CISA διευκρίνισε ότι αν και η αντιστοίχιση αριθμών δεν είναι τόσο ισχυρή όσο ανθεκτικό είναι το MFA στο phishing, είναι παρόλα αυτά ένας από τους καλύτερους ενδιά- μεσους τρόπους μετριασμού των κινδύνων για εταιρείες που ενδέχεται να μην είναι άμεσα σε θέση να εφαρμόσουν MFA αν- θεκτικό στο phishing. Η δημοσίευσή των ενημερωτικών δελτίων από τη CISA έρχε- ται μερικές εβδομάδες αφότου οι ερευνητές ασφαλείας της Proofpoint ανακάλυψαν καμπάνια phishing που προσπαθούσε να κλέψει διαπιστευτήρια της Microsoft και να παρακάμψει ορι- σμένα μέτρα MFA. Η CISA δημοσιεύει οδηγό για τον έλεγχο ταυτότητας πολλαπλών παραγόντων Του Στάθη Ασπιώτη Passwordless πιστοποίηση για το Azure AD μέσωmobile από τη Microsoft Η μείωση της εξάρτησης από τους κωδι- κούς πρόσβασης, την οποία πρεσβεύει η συμμαχία FIDO, είναι μια από τις σημαντι- κότερες εξελίξεις στο πεδίο της κυβερνο- ασφάλειας για φέτος. Στο πλαίσιο αυτό, vendors όπως η Microsoft, η Google και η Apple έχουν δεσμευτεί να αναπτύξουν λύσεις ελέγχου ταυτότητας χωρίς κωδικό πρόσβασης. Σε αυτό το πλαίσιο, η Microsoft ανακοί- νωσε ότι κάνει διαθέσιμο τον έλεγχο ταυτότητας χωρίς κωδικό πρόσβασης βάσει πιστοποιητικών (CBA) για το Azure AD σε συσκευές iOS και Android μέσω ενός κλειδιού ασφαλείας hardware που ονομάζετα ι YubiKey κ αι κατασκευάζεται από τη Yubico. Η νέα λύση θα προσφέρει στους χρήστες Android και iOS μια λύση για log-in με πιστοποίηση FIPS (Federal Information Processing Standards), ανθε- κτική στο phishing. Με τις επιθέσεις phishing να συνεχίζουν να αυξάνονται, αυτή η επέκταση μπορεί να κάνει το οικοσύστημα της Microsoft πιο ανθεκτικό στο social engineering και στην κλοπή διαπιστευτηρίων. Θα προ- στατεύει τους χρήστες σε υβριδικά περι- βάλλοντα εργασίας που συνδέονται στο Azure AD με συσκευέ ς iOS και Android. Για να δώσουμε μια καλύτερη ιδέα για την αξία της λύσης που παρουσία- σε η Microsoft , να αναφέρουμε ότι το Dropbox επιβεβαίωσε ότι παραβιάστη- κε μέσω phishing, η οποία απάτη έδωσε στους εισβολείς πρόσβαση σε ένα μέρος από τον πηγαίο κώδικα του οργανισμού, αλλά και πληροφορίες πελατών. Με τόσο επικίνδυνες απειλές και τόσο κοινές, η μείωση της εξάρτησης για την ασφάλεια μέσω κωδικών πρόσβασης θε- ωρείται πλέον κρίσιμη για τη μείωση της έκθεσης σε αυτές, καθώς εξελίσσονται σε ακόμη πιο αποτελεσματικές σε υβριδικά περιβάλλοντα εργασίας.