Artūrs Filatovs
LVRTC | Kiberaizsardzības biznesa virziena vadītājs

Kā pārvarēt nogurumu jeb kiberuzbrukuma riski, izmantojot daudzfaktoru autentifikācijas rīkus

2022.gada vizītkarte nenoliedzami ir kibernoziegumu un incidentu pieaugums. Septembra vidū notikušajā gadskārtējā LVRTC tehnoloģiju notikumā Kibernakts 2022 gan LVRTC, gan CERT.LV eksperti norādīja, ka kopš gada sākuma kiberincidentu, kā arī DDOS uzbrukumu skaits turpina pieaugt. Lai gan liela daļa no incidentiem vairāk vērtējama kā huligāniska uzvedība, kibernziedznieki ievieš arī jaunas taktikas un paņēmienus, kas ikvienam no mums liek būt uzmanīgākam, jo īpaši tad, ja organizācijai nav stabilas kiberdrošības stratēģijas.

Daudzfaktoru autentifikācija spēcīgākai kiberdrošībai 

Tradicionālās viena faktora autentifikācijas sistēmās lietotājiem ir jānorāda tikai viens verifikācijas faktors, tas ir, parole, lai piekļūtu sistēmai vai lietojumprogrammai.  

Izmantojot viena faktora autentifikāciju lietotājiem ir jānorāda tikai viens verifikācijas faktors, parole, lai piekļūtu sistēmai vai lietojumprogrammai. Kibernoziedzinieki var viegli iegūt lietotāju paroles, ja tiek atkārtota vienu paroļu lietošanu uz vairākām sistēmām.  

Pēdējo gadu laikā gan, mēs, LVRTC, gan Cert.lv esam strādājuši pie tā, lai valsts kritiskās infrastruktūras turētāji aktīvāk ieviestu daudzfaktoru autentifikācijas sistēmas (MFA/2FA (multi factor authentication / 2 factor authentication), kas palīdzētu labāk aizsargāt  lietotājus un sistēmas no kiberuzbrukumiem.  

Daudzfaktoru autentifikācijas sistēmām ir nepieciešami divi vai vairāki faktori, lai verificētu lietotāja identitāti un piešķirtu viņam piekļuvi kontam. Daudzfaktoru autentifikācija nodrošina uzticamu pārliecību, ka autorizēts lietotājs ir tas, par ko uzdodas, tādējādi samazinot nesankcionētas piekļuves iespēju. Šo iemeslu dēļ daudzfaktoru autentifikācija ir daudz efektīvāka sistēmu aizsardzībai nekā paroles. 

Ar kādiem uzbrukumiem palīdzēs tikt gala daudzfaktoru autentifikācija?

  • Pikšķerēšana (Phishing);
  • Mērķētu uzbrukumu (Spear phishing);
  • Taustiņu ierakstītāji (keylogger);
  • Akreditācijas datu manipulācijas (Credential stuffing);
  • Brutālā autentifikācijas uzbrukumi un reversie autentifikācijas spēka uzbrukumi (brute force);
  • Cilvēka vidū uzbrukumi (MITM).

Tiktāl viss skaidrs, bet,  kas notiek, ja daudzfaktoru autentifikācijas risinājums kļūst par kiberuzbrukuma vektoru?  Vai to var uzlauzt?

Kā liecina nesenais UBER incidents, šis triks jau tiek izmantots un vienkārša sociālās inženierijas pieeja var nojaukt spēcīgas kiberdrošības sienas. To nozare sauc par noguruma uzbrukumu.

Kā tas notiek?

Ja organizācijas daudzfaktoru autentifikācija ir konfigurēta, lai izmantotu “push” paziņojumus, darbinieks savā mobilajā ierīcē redz uzvedni, kad  kāds mēģina autentificēties darbam kādā sistēmā vai portālā ar saviem autentifikācijas datiem. Šajos daudzfaktoru autentifikācijas  informatīvajos paziņojumos lietotājam tiek lūgts pārbaudīt autentifikācijas  mēģinājumu un tiek parādīts, kurā no sistēmām vai portāliem tiek mēģināts pieteikties. 

Uzbrkuma gadījuma ļaundaris palaiž skriptu, kas ar nozagtiem autentifikācijas datiem mēģinaautentificēties atkal un atkal, izraisot, šķiet, nebeidzamu daudzfaktoru autentifikācijas “push” pieprasījumu straumi, kas tiek nosūtīta uz konta īpašnieka mobilo ierīci.  

Visbiežāk tas tiek īstenots kombinācijā ar sociālās inženierijas kampaņu –  tajā pašā laikā, kad ir redzami MFA push uzpeldošie logi, uzbrucēji zvana upurim it kā no uzņēmuma IT drošības departamenta un informē, ka viņi arī redz anomālu darbību ar lietotāju autentifikāciju.  

Zvanītājs norāda, ka uzskata, ka tas ir uzbrukums un, lai to novērstu, IT drošības departamentam ir jāpieslēdzas pie konta, lai veiktu uzbrukuma novēršanas darbības, tāpēc upurim tiek lūgts apstirpināt “push”notifikāciju līdz ko tā parādās. Diemžēl  parasti uzbrucējiem sanāk pārliecināt upuri par šo (pat upura IT un IT drošības darbiniekus). 

Kā nenogurt?

LVRTC iesaka veikt proaktīvas kiberdrošības pārbaudes un apmācības, lai samazinātu šāda uzbrukuma risku jūsu organizācijā: 

Pirmkārt pārbaudiet sava daudzfaktoru autentifikācijas pakalpojuma riska politikas iespējas, kā piemēram: 

  • Pierakstīšanās no anonīmām IP adresēm. 
  • Pierakstīšanās no inficētām ierīcēm. 
  • Pierakstīšanās no IP adresēm ar aizdomīgām darbībām. 
  • Pierakstīšanās no nepazīstamām vietām. 
  • Pierakstīšanās no atļautām ierīcēm vai OS 

Otrkārt, pārbaudiet, vai jūsu lietotājiem (kā minimālo administratīvo tiesību lietotājiem) nav nopludināti akreditācijas dati (vismaz https://haveibeenpwned.com/) 

Treškārt, Jūs  varat atspējot “push”paziņojumus un izmantot  numuru atbilstības metodi. Ja nevēlaties atspējot “push”, paskaidrojiet saviem lietotājiem risku un palieliniet izpratni par iespējamiem kiberuzbrukumiem, kas var notikt ar “push” paziņojumu. 

Visbeidzot, mēģiniet ierobežot “push” paziņojumu mēģinājumus un iespējojiet konta bloķēšanu pēc neveiksmīgiem 10 mēģinājumiem un piemērojiet papildu jautājumu slāni, lai pierādītu, ka lietotājs, kurš piesakās, patiesībā ir šis lietotājs. 

Kibernoziedznieki mums neļauj pagurt! Esam modri!