Najnowsze badanie Cisco Duo „Trusted Access Report 2024” alarmuje o wzroście liczby cyberataków wymierzonych w systemy uwierzytelniania wieloskładnikowego. Raport zawiera analizę ponad 16 mld prób uwierzytelnień, przeprowadzonych od czerwca 2022 r. do maja 2023 r. przez użytkowników z całego świata (w tym z Polski) na 79 mln urządzeń różnych typów (komputery, smartfony i inne).
Z raportu Cisco Duo wynika, że dla organizacji w Polsce przeciętna liczba krajów, skąd pochodziły próby autoryzacji, wynosiła w analizowanym okresie 3,4. Dla firmy ze Stanów Zjednoczonych, Kanady czy Wielkiej Brytanii współczynnik ten wynosił 4 – aż o 72 proc. więcej niż w poprzedniej edycji raportu.
Tradycyjnym wyzwaniem dla integralności i bezpieczeństwa firmowych zasobów są: rosnąca złożoność infrastruktury informatycznej, praca zdalna i hybrydowa, wykorzystywanie sprzętu służbowego do celów prywatnych oraz rozproszenie personelu. Im to rozproszenie większe.
Eksperci Cisco wskazują, że borykamy się ze zjawiskiem określanym jako identity sprawl. Termin ten, dosłownie znaczący rozprzestrzenianie się tożsamości, opisuje wzrost liczby osobnych, niepowiązanych i niezsynchronizowanych kont, tworzonych na potrzeby różnych usług online. Co gorsza, do logowania do wielu kont używane są te same hasła.
Na to wszystko nakładają się coraz bardziej wyrafinowane metody cyberataków, które wg raportu Cisco Duo w ostatnim czasie zyskały na popularności. Przykładem takiego ataku jest tzw. nękanie powiadomieniami, które polega na wielokrotnym wysyłaniu powiadomień z aplikacji, mających skłonić użytkownika do zaakceptowania fałszywej próby logowania. Cyberprzestępcy wykorzystują tu coraz częstsze zmęczenie powiadomieniami – ciągła konieczność uwierzytelniania wieloskładnikowego sprawia, że użytkownicy mogą zwracać mniejszą uwagę na szczegóły logowania, a przez to łatwiej o machinalne zaakceptowanie żądania logowania w powiadomieniu push.
Raport Cisco Duo zwraca uwagę, że w miarę tworzenia się coraz większej liczby relacji między urządzeniami, tożsamościami i uprawnieniami coraz trudniej jest monitorować aktywność użytkowników i wychwytywać potencjalnie groźne zachowania.
Organizacja Certified Information Systems Auditor uczula, że cyberprzestępcy aktywnie wykorzystują luki w firmowych politykach ochrony tożsamości w celu uzyskania dostępu do krytycznych aplikacji. Z kolei w ankiecie przeprowadzonej na potrzeby badania „Cisco Secure Readiness Index” 85 proc. organizacji przyznało, że czuje się niegotowe do obrony przed nowoczesnymi metodami ataków.
Tymczasem każdy z użytkowników, łączący się z firmowymi aplikacjami z własnego urządzenia, sieci i systemu operacyjnego, potencjalnie zwiększa ryzyko wykorzystania obecnych tam podatności przez cyberprzestępców. Jak wynika z raportu „Talos 2023 Year in Review”, w przypadku 23 proc. incydentów bezpieczeństwa, zgłoszonych w ubiegłym roku do zespołu Cisco Talos, wektorem ataku były poprawne dane logowania do kont, przejęte wcześniej przez włamywaczy.
To z kolei sprawia, że dla organizacji staje się koniecznością posiadanie systemu ochrony, wyposażonego w funkcje wykrywania zagrożeń tożsamości i reagowania na nie, wraz z narzędziami do zarządzania dostępem. Nieodłączną część takiego rozwiązania musi stanowić analityka zarządzania tożsamością i dostępem, dostarczająca wiedzy o trendach. Niestety, według „Oort State of internet Security 2023” w przeciętnej firmie ok. 40 proc. kont nie jest zabezpieczonych żadną weryfikacją wieloetapową, lub zastosowana metoda nie spełnia w wystarczającym stopniu wymogów bezpieczeństwa.
Jak wynika z badania „Trusted Access Report”, popularność systemów bezhasłowego uwierzytelniania użytkowników, opartych na technologii WebAuthn, takich jak klucze bezpieczeństwa czy system biometryczny Touch ID, zwiększyła się o ponad 50 proc. Spadła natomiast popularność wiadomości SMS i połączeń głosowych jako drugich składników procesu uwierzytelniającego – z 22 do niecałych 5 proc.
W raporcie Cisco Duo rekomendowane jest stosowanie następujących dobrych praktyk:
- przyznawanie dostępu do zasobów wyłącznie zaufanym urządzeniom,
- używanie rozwiązań analizujących dane telemetryczne, identyfikujących wzorce i anomalie i oceniających próby logowania pod kątem ich ewentualnego ryzyka dla bezpieczeństwa,
- stosowanie się do pryncypiów Zero Trust, zgodnie z którymi użytkownikom przyznaje się najmniejszy wymagany poziom uprawnień.
Rozwiązanie dostarczane przez Cisco Duo obsługuje formy autoryzacji bazujące na technologii WebAuthn FIDO2. Wśród wspieranych przez Duo funkcji autoryzacji znajdują się powiadomienia push, tokeny, telefony zwrotne, jak i tradycyjne hasła i wiadomości SMS.