مقابله با حملات فیشینگ با احراز هویت چند عاملی (MFA) یا بدون رمز عبور مبتنی بر FIDO نشانه

احراز هویت چند عاملی مقاوم به حملات فیشینگ

| 6 دقیقه برای مطالعه

احراز هویت چند عاملی (MFA) یک کنترل امنیتی است که کاربر را ملزم می‌کند تا ترکیبی از دو یا چند عامل مختلف (چیزی که می‌داند، چیزی که دارد یا چیزی که هست) را برای اثبات صحت هویت خود ارائه کند. MFA کار را برای حمله‌کنندگان نسبت به حالت استفاده از گذرواژه‌ها که به راحتی با حملات فیشینگ قابل سرقت هستند دشوارتر می‌کند. هنگامی که MFA فعال شده باشد، حتی با سرقت یکی از عوامل همچون گذرواژه، همچنان حمله‌کننده بدون عامل دوم، امکان دسترسی به حساب کاربر را نخواهد داشت. در ادامه ویژگی‌های احراز هویت چند عاملی مقاوم به فیشینگ یا همان بدون احراز هویت رمز عبور مبتنی بر FIDO را تشریح خواهیم نمود.

 

گزارش CISA در خصوص استفاده از MFA

آژانس امنیتی زیرساخت و سایبری (Cybersecurity & Infrastructure Security Agency – CISA) به طور مداوم از سازمان‌ها خواسته است که MFA را برای همه کاربران و همه خدمات، از جمله ایمیل، اشتراک‌گذاری فایل و دسترسی به حساب‌های مالی فعال کنند. MFA یک اقدام ضروری برای کاهش تهدیدات سایبری است، هرچند همه شیوه‌های آن به یک اندازه ایمن نیستند. برخی از آنها در برابر حملات فیشینگ، جابجایی سیم کارت (SIM Swap)، آسیب‌پذیری پروتکل  SS7 و بمباران اعلان‌‌ها (Push Bombing) آسیب‌پذیر هستند. این حملات در صورت موفقیت‌آمیز بودن، ممکن است به یک عامل تهدید جدی تبدیل شوند.

CISA یک نمای کلی از تهدیدات علیه حساب‌ها و سیستم‌هایی که از MFA استفاده می‌کنند، ارائه کرده است. این نهاد همچنین راهنماهایی در مورد اجرای MFA مقاوم در برابر حملات فیشینگ که امن‌ترین شکل آن است تدوین نموده است. CISA قویا اصرار دارد همه سازمان‌ها برای اجرای MFA مقاوم در برابر حملات فیشینگ به عنوان بخشی از اصول اعتماد صفر Zero Trust اقدام کنند. در حالی که هر شکلی از MFA بهتر از عدم وجود آن است و سطح حمله به سازمان را کاهش‌ می‌دهد، MFA مقاوم در برابر حملات فیشینگ بسیار موثرتر بوده و سازمان‌ها باید مهاجرت به سمت آن را در اولویت کاری خود قرار دهند.

استفاده از احراز هویت چند عاملی (MFA) مقاوم به فیشینگ

تهدیدات سایبری احراز اصالت MFA

عوامل تهدید سایبری از روش‌های متعددی برای دسترسی به اعتبارنامه‌های MFA استفاده می‌کنند که عبارتند از:

  • فیشینگ: حملات فیشینگ نوعی مهندسی اجتماعی است که در آن عوامل تهدید سایبری از ایمیل یا وبسایت‌های جعلی برای سرقت اطلاعات استفاده می‌کنند. بعنوان مثال، در یک شیوه فیشینگ که به طور گسترده مورد استفاده قرار می‌گیرد، یک عامل تهدید ایمیلی را به یک هدف ارسال می‌کند تا کاربر را متقاعد کند که از یک وبسایت جعلی و تحت کنترل وی (تقلیدشده و کاملا مشابه با صفحه وب اصلی) بازدید کند. کاربر نام کاربری و گذرواژه و همچنین عامل سوم (همچون کد چند رقمی دریافتی از برنامه احراز کننده تلفن همراه) خود را وارد می‌کند. حمله‌کننده از این اطلاعات، بلافاصله و قبل از ابطال کد مورد نظر، برای ورود به صفحه اصلی مربوطه، به جای کاربر استفاده خواهد نمود.
  • بهره‌برداری از آسیب‌پذیری‌های پروتکل SS7: عوامل تهدید سایبری از آسیب‌پذیری‌های پروتکل SS7 در زیرساخت‌های ارتباطی برای دریافت کدهای MFA که از طریق پیام متنی (SMS) یا صوتی به تلفن کاربر ارسال می‌شوند، سوء استفاده می‌کنند.
  • تعویض سیم‌کارت (SIM Swap) : جابجایی سیم‌ کارت شکلی از مهندسی اجتماعی است که در آن عوامل تهدید سایبری، اپراتورهای تلفن همراه را متقاعد می‌کنند که کنترل شماره تلفن کاربر را به یک سیم‌کارت کنترل شده توسط تهدیدگر منتقل کنند. بدین ترتیب این کار به حمله کننده اجازه می‌دهد تا کنترل تلفن همراه کاربر را به دست آورد.

 

پیاده‌سازی MFA مقاوم در برابر حملات فیشینگ

تنها شیوه احراز اصالت مقاوم در برابر حملات فیشینگ، FIDO/WebAuthn است. انجمن فایدو در ابتدا پروتکل WebAuthn را به عنوان بخشی از استانداردهای فایدو2 توسعه داد و اکنون توسط کنسرسیوم وب جهانی (W3C) منتشر شده است. پشتیبانی از WebAuthn در مرورگرهای اصلی، سیستم عامل‌ها و تلفن‌های همراه هوشمند نیز گنجانده شده است. WebAuthn با استانداردهای مرتبط با فایدو2 کار می‌کند تا یک احراز کننده مقاوم در برابر حملات فیشینگ را ارائه کند. احرازکننده‌های WebAuthn می‌تواند شامل یکی از موارد زیر باشد:

  • کلیدها/توکن‌های فیزیکی که از طریق USB به سامانه متصل می‌شوند.
  • گوشی‌های تلفن همراه به عنوان احرازکننده پلتفرم
  • سایر دستگاه‌های دارای پروتکل NFC و یا اسمارت کارت

 

اجرای احراز هویت چند عاملی (MFA) مقاوم در برابر حملات فیشینگ

اولویت بندی مراحل اجرایی

آژانس CISA به مدیران IT سازمان‌ها به منظور اولویت‌بندی مهاجرت به MFA مقاوم در برابر فیشینگ توصیه‌هایی ارائه نموده است. برای این منظور سازمان‌ها باید ملاحظات زیر را در نظر داشته باشند:

  • چه منابعی را قصد دارند در برابر نفوذ محافظت کنند؟ به عنوان مثال، عوامل تهدید سایبری اغلب سیستم‌های‌ ایمیل، سرورهای فایل و سیستم‌های دسترسی از راه دور به داده‌های سازمان را هدف قرار می‌دهند. آنها همچنین سعی می‌کنند سرورهای هویت مانند اکتیو دایرکتوری را به خطر بیندازند که به آنها اجازه می‌دهد حساب‌های کاربری جدید ایجاد کنند یا کنترل حساب‌های کاربری موجود را در دست بگیرند.
  • کدام کاربران اهداف باارزشی هستند؟ در حالی که به خطر افتادن هر حساب کاربری می‌تواند یک رویداد امنیتی جدی ایجاد کند، هر سازمان تعداد کمی حساب کاربری دارد که دسترسی یا امتیازات بالا دارند که به ویژه برای تهدیدکننده‌های سایبری ارزشمند هستند. برای مثال اگر یک تهدیدگر سایبری بتواند حساب مدیر/راهبر سیستم را به خطر بیاندازد، ممکن است بتواند به هر سیستم و هر داده‌ای در سازمان دسترسی داشته باشد. نمونه‌‌ای دیگر از اهداف با ارزش کارکنان منابع انسانی هستند که ممکن است به سوابق پرسنل دسترسی داشته باشند.

 

مسائل مشترک و مسیرهای رو به جلو

هنگام شروع استقرار MFA، سازمان‌ها با موانع رایجی مواجه خواهند شد. این مسائل احتمالی پیش رو عبارتند از:

  • برخی از سیستم‌ها ممکن است MFA مقاوم در برابر حملات فیشینگ را پشتیبانی نکنند. برخی محصولات شاید دیگر توسط فروشندگان پشتیبانی نشوند یا هنوز احراز اصالت MFA در اولویت برنامه‌های کاری آنها قرار نداشته باشد. از این رو CISA سازمان‌ها را تشویق می‌کند که ابتدا بر خدماتی تمرکز کنند که MFA مقاوم در برابر حملات فیشینگ را پشتیبانی می‌کنند، همچون سرورهای ایمیل و سیستم‌های SSO.
  • ممکن است استقرار MFA برای همه کارکنان به طور همزمان دشوار باشد. به عنوان مثال، ممکن است آموزش، ثبت نام و پشتیبانی همه کاربران به طور همزمان غیرممکن بوده یا ملاحظات عملیاتی دیگری وجود داشته باشد که سازمان را از ارائه MFA مقاوم در برابر حملات فیشینگ به برخی گروه‌ها در مرحله اول باز دارد. از این رو باید در نظر بگیرید که چه گروه‌هایی ممکن است برای مرحله اول مناسب باشند. به عنوان مثال مدیران و کارکنان IT می‌تواند نقطه شروع خوبی بوده و از آنجا گسترش به سایر بخش‌های سازمان تحت آموزش این افراد صورت ‌گیرد.
  • ممکن است نگرانی‌هایی وجود داشته باشد که کاربران در برابر مهاجرت به MFA مقاومت کنند. مدیران امنیت باید خطرات مرتبط با نداشتن MFA (یا بکارگیری MFA آسیب‌پذیر) را برای تایید به مدیران عالی و ارشد سازمان ارائه کنند. اگر مدیر ارشد سازمان تصمیم بگیرد که خطر عدم استفاده از MFA مقاوم در برابر فیشینگ بسیار زیاد است، فرصت مناسبی برای کمک گرفتن از مدیر ارشد سازمان و همچنین راضی نمودن سایر افراد فراهم خواهد شد.

راهکار مدیریت هویت و دسترسی بدون رمز عبور شرکت رهسا با عنوان نشانه، مبتنی بر استاندارد FIDO است. این راهکار طبق توضیحات بالا، یک شیوه MFA مقاوم در برابر حملات فیشینگ است. نشانه به گونه‌ای طراحی شده تا احراز اصالت را مبتنی بر کلید عبور (Passkey) با تجربه کاربری ساده در اختیار سازمان‌ها قرار دهد. راهکار احراز اصالت نشانه، تضمین می‌کند که الگوهای زیست‌سنجی (همچون اثرانگشت) به عنوان کلید، نگرانی‌های امنیتی را در حوزه مدیریت هویت و دسترسی کاهش دهد.
اطلاعات بیشتر در خصوص احراز هویت چند عاملی و شیوه‌های نوین آن را در مقاله احراز هویت چند عاملی MFA: مزایا، معایب، آینده مطالعه کنید.

دیدگاه‌ خود را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

ثبت نام
ثبت نام
ورود
ورود
پیمایش به بالا