Эволюция многофакторной аутентификации: от SMS к FIDO2
Многофакторная аутентификация (MFA) стала стандартом безопасности в цифровом мире. Однако не все методы MFA одинаково эффективны против современных угроз кибербезопасности.
Показаны сообщения с ярлыком MFA. Показать все сообщения
Показаны сообщения с ярлыком MFA. Показать все сообщения
четверг, 12 июня 2025 г.
Почему обычные методы MFA можно обойти, а аппаратные токены — нет
Многофакторная аутентификация (MFA) значительно снижает риск несанкционированного доступа, но не все её методы одинаково защищают от фишинга. В этой статье разберёмся, почему SMS, push-уведомления и TOTP можно обойти, а FIDO2/WebAuthn-токены — нет. Простыми словами: обычные методы MFA можно "переслать" злоумышленнику, а аппаратные токены "знают", на каком именно сайте вы находитесь.
Уязвимые методы MFA
1. SMS-коды
- Злоумышленник создаёт фишинговый сайт, имитирующий оригинал (например,
GMAI1.COM) - Пользователь вводит логин/пароль
- Сайт запрашивает SMS-код, пользователь вводит его
- Код в реальном времени передаётся злоумышленнику, который заходит на реальный сайт
Дополнительно уязвимы к:
понедельник, 1 августа 2022 г.
Самые частые способы обхода двухфакторной аутентификации
Многие организации полагаются на двухфакторную аутентификацию для предотвращения использования украденых аккаунтов сотрудников. Для этого в дополнение к паролю запрашивают еще подтверждение от аппаратного токена в USB порту или из приложения в смартфоне или просто код из СМС. И сегодня это обязательное правило гигиены для удаленного доступа к ресурсам вашей компании.
Если у вас есть, вера в то, что это 100% защита, то вы просто не читаете новости. За примером далеко ходить не нужно: вы только что слышали новость от Александра Антипова про обход двухфакторной аутентификации в Microsoft Outlook. И таких новостей было много... и еще будут.
К счастью, даже если злоумышленник обошел этот тип защиты в вашей компании, то есть другие типы защиты, которые увидят взлом и остановят, например, системы поведенческого анализа.
Я считаю, что вы должны знать самые частые способы обхода двухфакторной аутентификации.
Обсудим их!
Выключение двухфакторной аутентификации
Существуют различные методики выключения MFA, причем вполне себе легитимные и встроенные в сами системы. Например, если это аппаратный токен YubiKey, то существует методика сказать системе защиты, что вы работаете сейчас с iPad. И тогда система скажет сама себе: так там же нет порта USB и человеку не может вставить токен... и не будет его запрашивать. Все - вы залогинились без второго фактора!
Явный обход MFA
Здесь хакер просит вас же аутентифицироваться за него, как это кстати и было сделано в июле 2022 года для Microsoft Outlook, когда злоумышленник использует ваши же cockies для несанкционированного доступа к вашей электронной почте. Сюда же входит перехват СМС или перехват работы приложения, которое проводит аутентификацию на вашем смартфоне.
Другой интересный факт, что в системах MFA часто по-умолчанию настроено, что человек может заходить без второго фактора, если облачный сервис для проверки второго фактора недоступен. Соответственно в успешных атаках злоумышленник просто запрещал на вашем же песональном firewall доступ к серверу аутентификации, агент думал что система аутентификации недоступна и пускал и так.
Помните историю про коменданта в книге "Золотой теленок", который у всех входящих строго требовал пропуск, но если ему пропуска не давали, то он пускал и так? Ильф и Петров что-то знали ) Вход без второго фактора вообще-то легитимный метод, который мог разрешить ваш администратор и он называется bypass. Проверьте, а как у вас настроен bypass в MFA?
Эксплуатация разрешенных исключений
Существуют аккаунты для которых выключена проверка второго фактора: для работы системных служб или сервисов, или которые не умеют подключать второй фактор, например, POP3/SMTP почта. Злоумышленники находят такие аккаунты и пользуются.
Кража сертификата подписи SAML
Эта техника использовалась в том числе во время взлома SolarWinds. Язык разметки SAML (Security Assertion Markup Language) представляет собой открытый стандарт на основе XML для обмена данными аутентификации и авторизации между сторонами процесса. И он естественно зашифрован. Но если хакер получает доступ к приватному ключу, на котором подписывают все сертификаты, то он получает возможность видеть и менять все атрибуты доступа во время работы SAML. Ну и собственно видеть кто входит в систему и пускать самого себя в систему.
Переиспользование авторизованной сессии
Часто многофакторные системы имеют период в течение которого сессия действует. Если хакер взломал систему, которая уже имеет доступ к нужному ему ресурсу, то ему не нужно даже пытаться аутентифицироваться - доступ уже есть у взломанного компьютера, либо преступник просто ждет. когда сотрудник сам зайдет в нужную систему. Если это бухгалтер, то он так делает несколько раз в день.
Вывод
Многофакторная аутентификация может замедлить и даже остановить многие типы атак. Да, как и многие другие механизмы безопасности ее можно обойти. Организации должны поменять свой взгляд на защиту: мы сегодня не можем гарантированно остановить взломы, мы можем снизить ущерб от атак. Точек входа в информационную систему организации сегодня слишком много и мы можем только быть настойчивы в выявлении каждого нового проникновения и выдворении злоумышленника и его утилит из нашей сети. Для этого в компании Positive Technologies для вас трудится 1300 человек.
среда, 15 апреля 2020 г.
Подборка настроек для вашего VPN с MFA и HIP
Сейчас очень много настроек связано с написанием политик для пользователей, которые подключаются удаленно. Поэтому функционал VPN внутри NGFW стал востребован, пользователи подключаются не просто к VPN шлюзу, а к устройство которое еще и умеет чистить трафик от угроз.
При настройке VPN чаще всего вопросы возникают по интеграции с MFA и по настройке HIP (он более известен администраторами обучавшимися у Cisco как Posture)
Мы сделали подборку для настроек GlobalProtect в различных конфигурациях
При настройке VPN чаще всего вопросы возникают по интеграции с MFA и по настройке HIP (он более известен администраторами обучавшимися у Cisco как Posture)
Мы сделали подборку для настроек GlobalProtect в различных конфигурациях
- GlobalProtect Overview - Общий обзор настроек.
- GlobalProtect Part I - Основные настройки для portal, external gateway и для локальной аутентификации.
- GlobalProtect Part II - Расширенные настройки для аутентификации через LDAP, RADIUS, Duo и также для internal gateway
- GlobalProtect Part III - Расширенные настройки для пользователей и привязки к ним политик безопасности на основе HIP и включения HIP notifications.
- GlobalProtect Part IV - Настройки дополнительной аутентификации с MFA для HTTP и не-HTTP доступа к критичным ресурсам
среда, 25 марта 2020 г.
Как защитить домашний компьютер используя GlobalProtect
Сегодня проводили вебинар, было много вопросов по настройке и я думаю, что теперь любой, кто посмотрит это видео сможет настроить шлюз VPN на Palo Alto Networks.
Также мы опубликовали готовые схемы настройки. Смотрите в соседних постах.
Мы поговорили о рисках подключения домашних компьютеров к сети компании. По сути любой домашний компьютер - это дыра в безопасности.
И мы поговорили о том как их минимизирует GlobalProtect, USER-ID и HIP.
Также мы обсудили Host Information Profile (HIP) и как он помогает проверить состояние компьютера. Об этом я уже рассказывал подробно ранее.
И конечно же перешли к вопросу как это настраивать и ставить.
Самое простое давать сотруднику URL ссылку на портал, где ваш сотрудник авторизуется со своим логином паролем домена и скачивает клиента. Например, gp.example.ru
Второй вариант распространять через MDM на мобильники.
Третий вариант ставить из магазина Apple Store и Google Play.
Сам клиент требует при запуске сказать ему IP или FQDN адрес портала и также логин и пароль.
Также мы опубликовали готовые схемы настройки. Смотрите в соседних постах.
- GlobalProtect Overview - Общий обзор настроек.
- GlobalProtect Part I - Основные настройки для portal, external gateway и для локальной аутентификации.
- GlobalProtect Part II - Расширенные настройки для аутентификации через LDAP, RADIUS, Duo и также для internal gateway.
- GlobalProtect Part III - Расширенные настройки для пользователей и привязки к ним политик безопасности на основе HIP и включения HIP notifications.
- GlobalProtect Part IV - Настройки дополнительной аутентификации с MFA для HTTP и не-HTTP доступа к критичным ресурсам.
Мы поговорили о рисках подключения домашних компьютеров к сети компании. По сути любой домашний компьютер - это дыра в безопасности.
И мы поговорили о том как их минимизирует GlobalProtect, USER-ID и HIP.
Также мы обсудили Host Information Profile (HIP) и как он помогает проверить состояние компьютера. Об этом я уже рассказывал подробно ранее.
Функционал HIP требует подписки GlobalProtect, поэтому мы на время коронавируса предлагает ее бесплатно на 90 дней. Остается только ее включить и настроить проверки.
И конечно же перешли к вопросу как это настраивать и ставить.
Как ставить клиентов GlobalProtect
Важный вопросы был как клиентов распространять.
Самое простое давать сотруднику URL ссылку на портал, где ваш сотрудник авторизуется со своим логином паролем домена и скачивает клиента. Например, gp.example.ru
Второй вариант распространять через MDM на мобильники.
Третий вариант ставить из магазина Apple Store и Google Play.
Сам клиент требует при запуске сказать ему IP или FQDN адрес портала и также логин и пароль.
Конфигурация GlobalProtect шлюза
В видеоролике мы записали как это сделать, и также мы подготовили документ PDF на русском языке с описанием как настраивать.
IronSkillet и PanHandler
У компании Palo Alto Networks существует набор готовых конфигураций межсетевого экрана. И в том числе для GlobalProtect. Поэтому мы также дали ссылку на пример шаблона с командами set. Можно его использовать как есть, а можно использовать утилиту PanHandler и она сама подставит ваши адреса и настройки в шаблон.
MFA
Сегодня не рассматривали двухфаторную аутентификацию. Самое простое - это второй фактор на сертификатах, поскольку портал может выступать как SCEP клиент, запрашивать сертификат и отдавать клиенту для авторизации на шлюзе.
Prisma Access
Следующая презентация 27 марта в 12 дня будет про Prisma Access и все наши бесплатные сервисы которые мы предлагаем во время эпидемии коронавируса. РЕГИСТРАЦИЯ открыта. Эту технологию сейчас пропогандируем не только мы, но еще и Gartner. Он назвал ее SASE.
Подписаться на:
Комментарии (Atom)