Advertentie
Bijna de helft van alle securityincidenten houdt verband met multifactorauthenticatie (mfa). Dit heeft Cisco Duo onderzocht. In een kwart van de gevallen was de oorzaak dat gebruikers frauduleuze mfa-pushmeldingen accepteerden, die door aanvallers waren verzonden. Daarnaast werd in 21% van de incidenten een gebrekkige implementatie van mfa als oorzaak genoemd.
Via mfa-pushaanvallen verkrijgen cybercriminelen toegang tot het wachtwoord en sturen ze herhaaldelijk pushmeldingen naar het mfa-apparaat van de gebruiker, in de hoop dat dit uiteindelijk wordt geaccepteerd. Uit een dataset van 15.000 geregistreerde push-aanvallen (van juni 2023 tot mei 2024) blijkt dat 5% van de verzonden push-aanvallen door gebruikers werd geaccepteerd.
Naast push-aanvallen hebben de onderzoekers ook andere creatieve manieren waargenomen waarop cybercriminelen mfa omzeilen. Deze methoden omvatten het gebruik van gestolen authenticatietokens, social engineering gericht op de IT-afdeling om nieuwe mfa-apparaten toe te voegen, het infiltreren van freelancers om hun telefoonnummer te wijzigen, het verkrijgen van admin-rechten door het binnendringen in een enkel endpoint en het deactiveren van mfa-software.
De huidige problemen zijn volgens het onderzoek voornamelijk te wijten aan de creativiteit van cybercriminelen om mfa te omzeilen en aan gebrekkige implementatie van de oplossing. Dit omvat bijvoorbeeld het niet installeren van mfa op openbare applicaties of door het gebruik van end-of-life software. Er zijn ook legitieme gevallen waarin mfa niet kan worden geïmplementeerd, waarvoor dan een robuust toegangsbeleid moet worden opgesteld.
Cisco Duo geeft biedt ook een aantal adviezen om het beveiligingsrisico van mfa te verkleinen. Schakel nummer-matching binnen mfa-applicaties in, rol mfa uit voor alle kritieke diensten, inclusief remote access en identiteits- en toegangsbeheer (IAM), en stel meldingen in voor single-factor authenticatie om potentiële kwetsbaarheden snel te identificeren. Definieer daarnaast een toegangsbeleid voor systemen waar mfa niet kan worden toegepast.