אימות רב-גורמי סובל מ-3 נקודות תורפה 

"אימות רב-גורמי עוצר 99% מכל ההתקפות." זהו ביטוי שאנחנו שומעים הרבה.

עם זאת, בעוד ש-MFA הפך לפתרון הסייבר המועדף על ידי עסקים ברחבי העולם, עלינו להכיר בכך שלא כל פתרונות ה-MFA נוצרו שווים. רבים מהם קלים לפריצה באמצעות הנדסה חברתית ופישינג כמו סיסמאות מסורתיות. לכן, הטענה שכמעט כל ההתקפות ניתנות להגנה באמצעות MFA היא פשטנות יתר במקרה הטוב, ובמקרה הרע חסרת כנות.

זה מעלה שאלה חשובה: אם כל כך הרבה פתרונות MFA אינם יעילים בהתמודדות עם איומי סייבר נפוצים (כגון מתקפות פישינג, המהוות יותר מ-80% מהתקפות הסייבר), מדוע עסקים עדיין מסתמכים עליהם?

תשובה סבירה אחת היא שחבילות תוכנה עסקיות – כמו Google Workspace או Microsoft 365 – מגיעות עם אימות דו-שלבי מובנה. לכן, עסקים עשויים לחשוב שהשקעה בפתרון נוסף היא הוצאה נוספת מיותרת.

גורם נוסף הוא שחברות ביטוח סייבר רבות דורשות כיום מארגונים לאמץ MFA בשלב החיתום של תהליך הביטוח. ייתכן, אם כן, שמקבלי החלטות בתחום ה-IT מתייחסים ל-MFA כאל תרגיל של סימון בתיבה על מנת לעמוד בדרישות המבטחים. והם עושים זאת מבלי לשקול היטב את ההבדל בין MFA טוב ל-MFA רע.

תהיה הסיבה אשר תהיה, ברור שארגונים רבים מאמצים MFA מבלי לבחון את יעילות הפתרון שבחרו ואת אילו התקפות הוא למעשה מונע.

לכן, חשוב שנקח צעד אחורה ונבין כמה מהחולשות הטבועות בפתרון MFA טיפוסי.

1. אימות גורם שני עדיין פגיע להתקפה

הבסיס של רוב פתרונות ה-MFA הוא שגם אם מישהו מצליח להשיג את הסיסמה של משתמש, הוא עדיין צריך לעקוף את החלק השני בפאזל – כגון קוד SMS, סיסמה חד פעמית (OTP) או אישור הודעת דחיפה – על מנת לגשת לחשבון.

על פניו, זה נראה די מאובטח. עם זאת, טבען של שכבות האימות השניות הללו יכול לגרום ליותר נזק מתועלת, ולמעשה לספק להאקרים הזדמנויות נוספות לתקיפה. זוהי חרב פיפיות שעסקים רבים אינם מצליחים להבין במלואה בעת בחירת פתרונות האבטחה שלהם.

אכן, ניתן לנצל סיסמאות חד פעמיות באמצעות התקפות פישינג "תוך כדי תנועה" שמעמידות את המידע הרגיש של העסק בסיכון; מאמתי SMS נוטים ל"סמישינג" (או "smishing"); ופושעים רבים יכולים כעת לחטוף התראות אימות ישירות מהמקור. בינתיים, האקרים משתמשים ב"אלמנט האנושי" כדי לנטרל התראות דחיפה באמצעות "bombing" (פריצה מהירה).

לפיכך, ההגנה לכאורה של שכבות אבטחה נוספות עלולה לעוור את מקבלי ההחלטות מפני הפגיעויות המסוכנות הטמונות במערכות ההפעלה, מה שמוביל לצורך של מקבלי החלטות טכנולוגיות וסייבר להעריך מחדש את היעילות האמיתית של אמצעי אבטחה אלה, שאומצו באופן נרחב.

2. ניתן לעקוף את כל רישומי ה-MFA כולל סיסמות

הבעיה העיקרית כאן – והיא די מדהימה – היא שכל פתרונות ה-MFA ניתנים לעקיפה על ידי האקרים כדי לקבל גישה מבלי להזדקק לספק גורמי אימות. ישנן שתי סיבות עיקריות: עוגיות סשן וריכוזיות.

קובץ Cookie של סשן (session cookie) הוא פיסת מידע המאוחסנת בדפדפן של המכשיר של המשתמש לאחר אימות. זה מאפשר למשתמש לגשת למשאב הנדרש מבלי שיהיה צורך לאמת מחדש בכל אינטראקציה עם ספק השירות. לכן, כל מי שיש לו גישה לקובצי Cookie של הסשן יכול לחדור לחשבון המשתמש מבלי שיידרש לאמת.

האקרים משתמשים בטקטיקה זו במה שמכונה התקפת Adversary-in-the-Middle (AiTM), והיא לוכדת עוגיות הפעלה מאומתות ממשתמשים בנקודת האימות. בעזרת עוגיות ההפעלה, האקרים יכולים לגשת לחשבון של משתמש ללא צורך באימות סיסמה, מה שהופך את פתרון ה-MFA לחסר תועלת. דוגמה עדכנית היא הפרצת Okta, שבה עוגיות הפעלה נגנבו ממערכת ניהול תמיכת הלקוחות של Okta כדי לפגוע ברבים מלקוחותיהם, כולל 1Password ו-Cloudflare.

ניתן למנוע את ההתקפות הללו באמצעות שימוש ב-MFA עמיד בפני פישינג, כגון סיסמה. אבל העלילה מסתבכת…

סיסמאות נועדו לסנכרן עם כל מכשירי המשתמש כך שהמשתמש יוכל להשתמש בהן כדי להתחבר מכל אחד מהמכשירים שלו. עם זאת, הן עדיין פגיעות עקב תלותן בריכוזיות.

למרות שמפתחות גישה מסתמכים על קריפטוגרפיה של מפתח ציבורי, תלותם באבטחת הפלטפורמה (האבטחה המסופקת על ידי גוגל, אפל, מיקרוסופט וכן הלאה) פירושה שאבטחת העסק שווה ערך לזו של פרטי הגישה של משתמש לחשבון גוגל או אפל. הסיבה לכך היא שכמעט כל חשבונות המשתמש תלויים בסיסמה ובמאמת גורם שני פגיע, כך שניתן לעקוף אותם באמצעות AiTM. כתוצאה מכך, ניתן גם לעקוף מפתחות גישה, והם אינם יכולים לספק אבטחה משמעותית לעסקים.

אם לעבד את הקלישאה הישנה, פתרון אבטחת סייבר חזק רק כמו החוליה החלשה ביותר שלו. לעתים קרובות, פרטי הגישה של המשתמש הם החוליה החלשה הזו.

3. חלק מפתרונות ה-MFA עמידים בפני פישינג, אך אינם חסינים מפני פישינג.

עד היום, רמת האבטחה הגבוהה ביותר הגיעה בדרך כלל מ-MFA "עמיד בפני פישינג". חלק מפתרונות ה-MFA יכולים לטעון במדויק שהם "עמידים בפני פישינג", אך הם אינם "חסינים מפני פישינג" מכיוון שהם עדיין מסתמכים על גורמים הניתנים לפישינג בשלב מסוים במחזור חיי היישום או ההתאוששות שלהם.

זהו חיסרון קריטי של פתרונות MFA רבים וסוגיה רלוונטית במיוחד בבריטניה. מחקרים מצאו כי 83% מהארגונים הבריטיים חוו מתקפת פישינג בשנה שעברה, שעלתה, על פי הדיווחים, הפסד ממוצע של 245,000 ליש"ט לעסק עבור כל מתקפה.

חולשה זו בעצם אומרת שחשבון של משתמש עשוי להיות מאובטח לאחר יישום הפתרון. אך תהליך הוספת משתמש חדש, הוספת מכשיר חדש לחשבון או שחזור חשבון אם המכשיר הרשום אבד או ניזוק, עלול להיות מנוצל באמצעות טכניקות פישינג.

לדוגמה, נניח של-'בארי מחשבונות' אין את המכשיר שבו רשם את קוד הגישה שלו או שאיבד את מפתח האבטחה FIDO2 שלו. הודעות MFA עמידות בפני פישינג מסתמכות על גורמים הניתנים לפישינג כמו SMS, OTP או הודעות דחיפה כדי לאפשר לבארי לשחזר את החשבון שלו.

או שבארי לא מבין שאותם גורמים הניתנים לפישינג כמו SMS, OTP, הודעות דחיפה או סיסמאות שימשו מישהו אחר כדי להוסיף מפתח אבטחה FIDO2 נוסף לחשבונו ללא ידיעתו.

יש לעשות יותר כדי להעלות את המודעות להבדל בין עמידות בפני פישינג לבין חסינות מפני פישינג. מעט מאוד פתרונות MFA יכולים באמת לטעון שהם חסיני פישינג. פתרונות MFA, שהם באמת חסיני פישינג, מסוגלים לחסל פרצות כמו AiTM, משום שהם מאבטחים את כל מחזור חיי זהות המשתמש – בעזרת פתרונות אלה, רישום, אימות זהות, יצירת אמצעי אימות, אימות, שחזור-זיהוי וסגירת חשבון חסינים אפילו בפני התקפות פישינג מתוחכמות.

משמעות הדבר היא שתוקפים מנועים מלעקוף אימות, ליירט ו/או להערים על משתמשים לחשוף פרטי גישה, בשל העובדה שהם פשוט אינם קיימים במחזור חיי האימות של אותו פתרון. יתרה מכך, פתרונות חסיני פישינג מבטיחים ששרשרת האמון שנוצרת בשלב אימות זהות המשתמש היא טרנזיטיבית, כך שלא ניתן לשבור אותה וניתנת להוכחה בכל שלב של מחזור חיי הזהות.

הדור הבא של תואר שני במנהל עסקים

זה אולי נראה כמו מתקפה חריפה על משרד החוץ. למרבה המזל, כפי שצוין בהתחלה, לא כל משרד החוץ נוצר שווה. קיימים פתרונות טובים יותר.

הדור הבא של פתרונות MFA מטפל בנקודות התורפה המפורטות לעיל. הם עושים זאת על ידי ביטול נקודות התורפה וגורמי הפישינג אשר משאירים את מערכות ה-IT של עסקים חשופות להתקפה.

החידוש המרכזי של גל טכנולוגי זה הוא שהם מתקדמים מעבר להסתמכות על סיסמאות. במקום זאת, פתרונות אלה מאמצים טכנולוגיית ארכיטקטורת אפס אמון (ZTA) מתקדמת, המושרשת בעקרונות כמו אמון טרנזיטיבי, אימות זהות ואימוץ תקן אימות האינטרנט של W3C, אשר מתמודדים עם הבעיות המרכזיות העומדות מאחורי פרצות נתונים ומסירים את האיום של טעויות אנוש.

על ידי יישום טכנולוגיה מגל חדש זה של תהליכים ביטחוניים ומעודכנים (MFA), עסקים יכולים להפוך את מערכות אבטחת הסייבר שלהם לחסינות מפני איומים חיצוניים ופנימיים כאחד ולהבטיח אימות חזק לאורך כל מחזור חיי הזהות.

הגיע הזמן להכיר בכך שפתרונות MFA בסיסיים המסתמכים על OTP, דחיפה וקוד QR הם שרידים של העבר. הם סובלים מאותם פגמים אינהרנטיים שפוקדים טכנולוגיית אבטחת סייבר מבוססת סיסמאות במשך עשרות שנים – כלומר, הם אינם יכולים למנוע את כל התקפות פישינג של אישורי גישה והתקפות מבוססות סיסמאות. לאט לאט, התעשייה מכירה בכך ש-zero trust סולל את הדרך לעתיד מאובטח ויעיל יותר.

הצגנו את תוכנת ההצפנה הטובה ביותר.