Cyber napadači su sve više fokusirani na krađu kredencijala, evo šta trebate uraditi
Digitalna transformacija svakodnevno povećava kompleksnost mreža i zahtjeve za produktivnošću, zaposlenici su preopterećeni, a uočavanje cyber prijetnji postaje sve teže. Potreba za kadrovima koji se mogu nositi s cyber izazovima raste, posebno u SMB sektoru.
Naime, najveći broj napada u Bosni i Hercegovini usmjeren je na IT infrastrukturu malih i srednjih poduzeća. Cyber napadi se najčešće temelje na kompromitiranim lozinkama korisnika, pa zaštita identiteta postaje prioritet.
Oslanjanje isključivo na lozinke danas se može promatrati kao svojevrsna pozivnica napadačima. Lozinke se nalaze posvuda - od Word dokumenata i emaila do notesa na radnom stolu zaposlenika - i napadačima olakšavaju ulaz u organizaciju.
Prema Data Breach Investigation Report istraživanju (Verizon, 2022), čak 82 posto proboja u organizacije rezultat je korištenja ukradenih akreditacija. Stoga nije čudno da su zaposlenici primarni vektor napada širom svijeta.
Kao industrijski minimum, multifaktorska autentifikacija ili MFA se danas očekuje od svih kompanija. MFA je razvijena s ciljem da osigura sve pristupne točke u organizaciju - od VPN-a do web aplikacija. Ipak, tijekom posljednje se godine dogodio obrat. Napadači su počeli zaobilaziti MFA metode koje se temelje na tzv. out-of-band provjeri identiteta. Tu se najčešće radi o push notifikacijama na smatphoneu putem aplikacija poput Microsoft ili Google Authenticator. Također, može se raditi o aplikacijama i tokenima koje generiraju jednokratnu lozinku (eng. one-time password ili OTP), a koju korisnik ukucava kod prijave.
Kako cyber napadači zaobilaze multifaktorsku autentifikaciju?
Svima su već poznate MFA aplikacije za pametne telefone koje djeluju kao autentifikator. Kada netko pokuša pristupiti određenoj aplikaciji putem drugog uređaja, korisnik će na svom telefonu zaprimiti push notifikaciju. To je klasičan primjer out-of-band autentifikacije koju danas svi koristimo kako bi se zaštitili organizacijski resursi - od aplikacija za financijsko računovodstvo poput ERP-a i CRM-a do e-pošte.
Uz pomoć attacker-in-the-middle proxy tehnika (AitM) i tzv. prompt bombing, napadači danas zaobilaze ovakve MFA prakse. Nedavni napadi poznatih kompanija kao što su Uber, Twilio, MailChimp i Cloudflare pokazuju da nove tehnike zaobilaženja MFA postaju sve raširenije. Nije iznenađujuće što na primjer Američka agencija za cyber sigurnost i sigurnost infrastrukture (CISA) preporučuje da sve organizacije odmah implementiraju MFA otporan na krađu identiteta (phishing-resistant MFA).
Dvije ključne slabosti out-of-band MFA autentifikacije
Napadači su uspješno iskoristili dvije ključne slabosti out-of-band MFA autentifikacije putem push notifikacije na pametnom telefonu.
Prva slabost se odnosi na lažne web stranice koje izgledaju i djeluju identično kao legitimne web stranice (npr. 0ffice.com umjesto office.com), što korisnike dovodi u zabludu. Novost je da ta stranica prima i prosljeđuje sve web zahtjeve korisnika i odgovore s legitimnog servera (npr. Microsoft 365). S aspekta korisnika, cijeli proces izgleda potpuno autentično - nakon prijave, slijedi push notifikacija na mobilnom uređaju ili ukucavanje OTP lozinke. Autentifikator, naravno, nije svjestan da korisnik pristupa stranici preko posredničkog servera koji krade podatke. Jedini ko to može primijetiti je korisnik. Za krađu vjerodajnica je dovoljno samo da korisnik odobri push notifikaciju ili ukuca one-time lozinku (OTP).
Dodatno, ako se napadač domogao prvog faktora, odnosno lozinke korisnika, automatski će pokretati niz prijava koje rezultiraju većim brojem push notifikacija na mobilnom uređaju korisnika. Napadač u tom slučaju računa na grešku ili zamor korisnika koji će na kraju odobriti push notifikaciju, što nazivamo prompt bombing. Ako korisnik odobri jedan od niza takvih pop-up zahtjeva, vjerodajnice će biti ukradene. Važno je napomenuti da korisnik može odobriti zahtjev čak i ako nije u blizini uređaja s kojeg se zahtjeva pristup (a to je računalo napadača u ovom slučaju).
Rješenje ovih problema je MFA otporan na krađu identiteta, koji vraća autentifikaciju na isti uređaj na kojem se korisnik prijavljuje.
To se može postići integriranjem autentifikatora u uređaj (prijenosno računalo sa sustavom Windows) ili korištenjem zasebnog fizičkog tokena koji je povezan s uređajem putem USB-a ili NFC-a/Bluetootha.
Kako funkcioniše MFA autentifikacija otporna na krađu identiteta?
Trenutno su dostupne dvije metode MFA autentifikacije otporne na phishing:
-
FIDO2/Webauthn token: Svi glavni operativni sustavi (Windows, Google, Apple) podržavaju ovaj token, a integriran je u sve glavne web preglednike. To ga čini prikladnim za mobilne i prijenosne računala, s posebnim naglaskom na antiphishing.
-
PKI token: Ovo je tradicionalna tehnika temeljena na kriptografiji javnog ključa koja nudi snažnu autentifikaciju, ali često zahtijeva klijentski softver čije održavanje može biti komplicirano u kontekstu organizacije. Također, ima slabo podržane mobilne scenarije. Ipak, važno je napomenuti da se PKI koristi i neophodan je za digitalno potpisivanje i šifriranje sadržaja (e-pošta, datoteke itd.).
FIDO2 tokeni imaju dvije osobine koje ih čine otpornim na krađu identiteta.
Autentifikator automatski provjerava je li povezan s dodijeljenom aplikacijom/web-stranicom. Neće se autentificirati na lažnu web-stranicu koja posreduje zahtjeve i odgovore s legitimnog servisa. Ovo je ključan element za prevenciju phishinga. Osim putem PIN-a, fizička prisutnost se prije otključavanja autentifikatora provjerava putem "geste", npr. dodirivanjem uređaja ili biometrijskom provjerom (otisak prsta, prepoznavanje lica itd.).
Standard FIDO2/Webauthn donosi sve prednosti PKI-ja kao što je snažna autentifikacija temeljena na kriptografiji s javnim ključem, ali uz smanjene administrativne troškove i širu podršku za različite uređaje i platforme. Korisnički privatni ključ nikada ne napušta autentifikator i ne pohranjuje se na strani poslužitelja.
Žalite saznati više kako implementirati FIDO2 u organizacijama? Kontaktirajte nas.
Exclusive Networks je prošle sedmice na Jahorini organizovao Top Partner Event. Konferenciji su prisustvovali najvažniji partneri kompanije Exclusive Networks, te su prezentirana najnovija rješenja vodećih proizvođača za cyber sigurnost i digitalnu infrastrukturu. Sudionici su upoznali najnovija rješenja iz portfolija Hewlett Packard Enterprise, Fortinet, Trend Micro, Broadcom/Symantec, Thales i NextSense.
Exclusive Networks je jedan od najvećih IT distributera u CEE regiji. Kompanija je prije gotovo dvije godine postala javno izlistana kompanija te bilježi i rast na području Bosne i Hercegovine. Osim brze dostupnosti i isporuke, Exclusive Networks svojim partnerima u BiH nudi vrhunska rješenja za cyber sigurnost i digitalnu infrastrukturu. Također, pruža i tehničku podršku te razne servise, što je posebno važno u kontekstu rastućih cyber prijetnji i nedostatka stručne radne snage.
Upravljanje identitetima i zaštita podataka kriptiranjem zanemareni je aspekt cyber sigurnosti, a Exclusive Networks u svom portfoliju ima rješenja koja olakšavaju ove izazove. Zbog globalne logističke mreže, Exclusive Networks osigurava brzu isporuku proizvoda iz svog portfolija i olakšava izazove digitalne transformacije. Između ostalog, kompanija osigurava isporuku Thales rješenja.Thales je vodeći proizvođač rješenja za kriptiranje podataka te upravljanje identitetima i pristupom. Štiti najveće svjetske brendove i organizacije. Prisutan je i kao ponuđač u mnogim ključnim segmentima kao što su sigurnost plaćanja u financijskoj industriji i sigurno spremanje root privatnih ključeva, to je u temelju svake PKI infrastrukture.
Stambeno-poslovni kompleks Blue-Dreams: Novi koncept stanovanja u naselju Grbavica
