امنیت
آلیاسیس آرتباط
بدون دیدگاه

چرا MFA فقط اولین قدم در حل مشکل تصرف حساب است؟

Multi-factor authentication یا احراز هویت چند عاملی که به اختصار با MFA نمایش داده می‌شود، تهدید تصاحب حساب را برطرف نمی‌کند. درست است که این راهکار موانعی را در این مسیر ایجاد می‌کند، اما مهاجمان مصمم راه‌های مبتکرانه‌ای را برای دور زدن همه عوامل احراز هویت موجود کشف کرده‌اند. در واقع به جای این که MFA را به عنوان راه حلی برای مواجهه با چالش‌های احراز هویت در نظر بگیریم، باید آن را به عنوان عاملی که باعث گسترش سطح حمله می‌شود به حساب بیاوریم. هر عامل، سیستم جدیدی از وابستگی‌ها، منابع جدید باگ‌ها و آسیب پذیری‌ها و فرصت‌های جدیدی را برای مهندسی اجتماعی ایجاد می‌کند.

مغالطه‌ای که MFA را به عنوان راه چاره‌ای برای جلوگیری از تصاحب حساب معرفی می‌کند، سازمان‌های امنیتی را از شناسایی نقاط ضعف MFA و بسیاری از آسیب پذیری‌های باقی مانده سیستم که حساب‌های کاربری را در معرض تصرف مجرمانه قرار می‌دهد، باز می‌دارد. با نگاهی به نحوه دور زدن MFA توسط مهاجمان، در این مقاله نشان خواهیم داد که MFA برخی دیگر از اقدامات امنیتی مانند کاهش ربات (bot mitigation)، حفاظت از زنجیره تامین جاوا اسکریپت و نظارت بر ریسک زمینه‌ای را مهم‌تر می‌کند. این‌ها تکنیک‌هایی هستند که مزایای امنیتی MFA را تقویت می‌کنند و در عین حال باعث کاهش هزینه‌ها و سختی‌های تحمیلی به کاربران می‌شوند.

مشوق‌های MFA

علیرغم نقاط ضعفش، MFA باید باشد و برای این امر دلایل خوبی وجود دارد. احراز هویت فقط با رمز عبور به وضوح ناموفق بوده است. ما انسان‌ها نمی‌توانیم به سادگی رشته‌های تصادفی طولانی حروف و اعداد را به خاطر بسپاریم. در نتیجه، ما مسیرهای کوتاهی را انتخاب می‌کنیم. ما گذرواژه‌های آسان برای به خاطر سپردن و قابل پیش‌بینی را انتخاب می‌کنیم. از رمزهای عبور یکسان در چند برنامه استفاده می‌کنیم یا گذرواژه‌ها را روی کاغذ می‌نویسیم. در حالی که شرکت‌ها این خطر را با تحمیل الزامات برای طول رمز عبور و پیچیدگی آن، کاهش می‌دهند، کماکان محدودیت‌هایی برای حافظه انسانی وجود دارد.

علاوه بر آنچه که گفته شد، ما انسان‌ها دارای نقایصی هستیم که ما را در برابر مهندسی اجتماعی آسیب‌پذیر می‌کند. زمانی که مهاجمان اعتماد، تمایل به انطباق، احترام به قدرت و تمایل به کمک ما را بازی می‌دهند، رمز عبور خود را لو می‌دهیم. همانطور که مشخص است، مردم گاهی اوقات اگر فقط از آنها بخواهید، رمز عبور خود را لو می‌دهند.

با توجه به این ضعف‌های احراز هویت مبتنی بر رمز عبور، سازمان‌های دولتی و انجمن‌های صنعتی در حال به کارگیری MFA هستند. با توجه به مزایای واضح MFA نسبت به احراز هویت فقط با رمز عبور، متخصصان امنیتی باید توجه بیشتری به معایب MFA داشته باشند. در واقع این توجه باید به نحوه گسترش سطح حمله و ایجاد آسیب‌پذیری‌های جدید که مهاجمان را قادر می‌سازد کنترل‌های احراز هویت را دور بزنند، معطوف شود.

سطح حمله گسترده MFA

MFA به عنوان استفاده از دو یا چند عامل در فرآیند احراز هویت تعریف می‌شود. منظور ما از فاکتور یا عامل، راهی برای اثبات این است که شما همان کسی هستید که می‌گویید. این کار از طرق زیر صورت می‌پذیرد:

  • دانش: چیزی که می‌دانید مانند رمز عبور یا شماره شناسایی شخصی (PIN)
  • دارایی: چیزی که دارید مانند دستگاه تلفن همراه، کارت هوشمند، توکن سخت افزاری یا درایو USB
  • ذاتی: چیزی که شما هستید، همانطور که توسط سنسور‌های بیومتریک مانند اثر انگشت، اسکن صورت و الگوهای عنبیه تعیین می‌شود.

راه‌های بی‌شماری برای پیاده‌سازی MFA وجود دارد و بسیاری از آن‌ها یا سطوح حمله جدید را ایجاد می‌کنند یا برنامه‌ها را در معرض همان آسیب‌پذیری‌هایی قرار می‌دهند که مشخصه احراز هویت فقط با رمز عبور است.

Multi-factor authentication یا احراز هویت چند عاملی

MFA مبتنی بر پیامک

گسترده‌ترین پیاده‌سازی MFA از پیامک برای ارسال رمز عبور یک‌بار مصرف (OTP) به کاربران استفاده می‌کند. به طور کلی، یک کاربر ورود به سیستم را با یک نام کاربری و رمز عبور آغاز می‌کند و برنامه را برای ارسال پیام متنی فعال می‌کند. سپس کاربر OTP را مشاهده می‌کند و آن را وارد برنامه می‌کند، احراز هویت را تکمیل می‌کند و یک شناسه جلسه (session token) تولید می‌کند که برای مدت زمان مشخصی معتبر خواهد بود.

آسیب پذیری‌های باقی مانده در احراز هویت مبتنی بر پیامک

پیاده‌سازی فاکتور مالکیت از طریق پیامک نمی‌تواند چندین آسیب پذیری کلیدی را از بین ببرد. از آنجایی که کاربر OTP و رمز عبور را در برنامه وارد می‌کند و از آنجا که برنامه OTP را از طریق همان کانال ارتباطی مورد استفاده برنامه به سرور می‌فرستد، مهاجمی که برنامه، دستگاه یا شبکه را در معرض خطر قرار داده است. قادر به دسترسی به رمز عبور، OTP و شناسه session است.

حمله به نقطه پایانی

با استفاده از بسیاری از تکنیک‌های شناخته شده و هنوز رایج، مهاجمان دستگاه‌ها را با آلوده کردن به بدافزار کنترل می‌کنند و در نتیجه حمله MitB ایجاد می‌شود. اجرای کد در مرورگر، مهاجمان را قادر می‌سازد تا رمز عبور و OTP را که می‌توانند از طرف کاربر احراز هویت کنند، بدست آورند. از طرف دیگر، مهاجم می‌تواند اجازه دهد تا احراز هویت کامل شود و سپس شناسه session را بدزدد، که می‌تواند برای دور زدن احراز هویت و دسترسی به حساب کاربری استفاده شود.

به خطر انداختن برنامه

با آلوده کردن یک برنامه، مهاجمان می‌توانند حساب‌های کاربری کاربران را به طور انبوه تصاحب کنند. به غیر از به خطر انداختن زیرساخت‌های یک شرکت از طریق بدافزار، مجرمان می‌توانند با به خطر انداختن هر یک از کتابخانه‌های کدی که برنامه را تشکیل می‌دهند، به داده‌های برنامه دسترسی پیدا کنند، تاکتیکی که به عنوان حمله سمت عرضه شناخته می‌شود.

در حمله زنجیره تامین نرم افزار، مهاجم معمولا یک فروشنده شخص ثالث قابل اعتماد یا مخزن منبع باز را هدف قرار می‌دهد که اجزای نرم‌افزاری (کتابخانه‌ها، چارچوب‌ها، خدمات) را در اختیار سازمان هدف قرار می‌دهد. مهاجم بدافزار را به مؤلفه‌ای تزریق می‌کند که سپس در برنامه ادغام می‌شود. این حمله می‌تواند موثر باشد زیرا هر فروشنده و تیم منبع باز مهارت‌ها و منابع لازم را برای اجرای شیوه‌های کدگذاری ایمن ندارند.

برنامه‌های کاربردی وب و تلفن همراه به ویژه در برابر حملات زنجیره تامین آسیب پذیر هستند زیرا معمولا شامل ده‌ها اسکریپت شخص ثالث می‌شوند که بسیاری از آن‌ها به صورت پویا توسط tag managerها به صفحات اضافه می‌شوند. این اسکریپت‌ها که به طور مکرر و بدون اطلاع قبلی تغییر می‌کنند، از بررسی‌های امنیتی کد سازمان عبور نمی‌کنند. اگر مهاجم بتواند هر یک از این اسکریپت‌ها را به خطر بیاندازد، کنترل کامل یک برنامه را به دست می‌آورد، به این معنی که می‌تواند ورودی کاربر را بخواند، به داده‌های حافظه مرورگر دسترسی داشته باشد یا مسیر کاربر را عوض کرده و بدون هشدار آن‌ها را به یک برنامه مخرب هدایت کند.

شنود در در شبکه

از آنجایی که با احراز هویت مبتنی بر پیامک، رمز عبور، OTP و رمز session از طریق یک اتصال شبکه منتقل می‌شوند، این شکل از MFA در برابر حملات Man-in-the-Middle (MitM) با استفاده از بردارهای حمله معمولی مانند مسمومیت DNS، ARP و rogue access pointها، آسیب‌پذیر باقی می‌ماند.

مهندسی اجتماعی

یکی از رایج‌ترین و موفق‌ترین حملات علیه MFA مبتنی بر پیامک، از مهندسی اجتماعی برای ایجاد یک حمله MitM از طریق پروکسی فیشینگ بلادرنگ (RTPP) استفاده می‌کند. در این حمله، کلاهبردار از ایمیل‌های فیشینگ استفاده می‌کند تا کاربر را فریب دهد تا از یک سایت تحت کنترل مهاجم بازدید کند، جایی که کاربر اعتبار خود را به درستی وارد می‌کند. تا کنون، این تاکتیک مشابه یک حمله فیشینگ برای سرقت اطلاعات است، اما برای دور زدن MFA نیاز به یک مرحله اضافی دارد. هنگامی که کاربر نام کاربری و رمز عبور خود را در برنامه وارد می‌کند، مهاجم آن اعتبارنامه‌ها را به برنامه مورد نظر ارسال می‌کند و سپس درخواست فاکتور دوم را برای کاربر صادر می‌کند. کاربر احتمالا درخواست را تأیید می‌کند زیرا فکر می‌کند در حال احراز هویت به یک برنامه قابل اعتماد است. کاربر روی دکمه تایید کلیک می‌کند یا با وظیفه‌شناسی توکن را در برنامه وارد می‌کند. در هر صورت، مهاجم به برنامه دسترسی پیدا می‌کند.

MFA

آسیب‌پذیری‌های جدید احراز هویت چند عاملی مبتنی بر پیامک

علاوه بر ناتوانی در بستن بسیاری از آسیب پذیری‌های موجود در احراز هویت فقط با رمز عبور، استفاده از پیامک به عنوان عامل دوم، برنامه را در معرض بردارهای حمله اضافی قرار می‌دهد.

سرقت دستگاه

شاید واضح‌ترین حمله علیه احراز هویت مبتنی بر مالکیت، سرقت یک دستگاه فیزیکی باشد. مجرمی که گوشی را می‌دزدد ممکن است حتی با قفل بودن گوشی، به OTP نمایش داده شده در یک اعلان دسترسی پیدا کند.

تعویض سیم کارت

مجرمان برای دسترسی به OTPهای ارسال شده از طریق پیامک نیازی به در اختیار داشتن تلفن همراه ندارند. تعویض سیم‌کارت که به‌عنوان ربودن سیم‌کارت یا انتقال سیم‌کارت نیز شناخته می‌شود، مهاجمان را قادر می‌سازد تا احراز هویت مبتنی بر پیامک را دور بزنند. با کنترل سرویس تلفن قربانی، کلاهبردار تمام پیامک‌ها و تماس‌های صوتی در نظر گرفته شده برای قربانی را دریافت می‌کند. این به کلاهبردار اجازه می‌دهد تا هر گونه نشانه امنیتی ارسال شده از طریق پیامک را رهگیری کند.

دستگاه‌های توکن سخت افزاری (Hardware Token)

دستگاه‌های توکن سخت‌افزاری دستگاه‌های تخصصی هستند، معمولا بسیار کوچک، که یک OTP را نمایش می‌دهند که کاربر برای احراز هویت در یک برنامه کاربردی تایپ می‌کند. این دستگاه‌ها ابزاری برای اثبات مالکیت بدون نیاز به ارتباط برنامه با کاربر فراهم می‌کنند که یکی از آسیب‌پذیری‌های اولیه احراز هویت مبتنی بر پیامک را از بین می‌برد.

دستگاه به جای تکیه بر ارسال OTP به کاربر برای هر ورود، تعدادی از OTP‌ها را با توجه به مقدار اولیه (seed) و الگوریتم ارائه می‌دهد. خود مقدار seed در هنگام راه‌اندازی بین دستگاه و سرویس احراز هویت به اشتراک گذاشته می‌شود. مقدار seed با یک شمارنده افزایش می‌یابد که یا با یک رویداد، مانند درخواست ورود به سیستم، یا مدت زمانی مانند ۶۰ ثانیه تغییر می‌کند. ما به آن‌ها به ترتیب به عنوان OTP مبتنی بر رویداد (EOTP) و OTP مبتنی بر زمان (TOTP) اشاره می‌کنیم. EOTP و TOTP هر دو نوع OTP مبتنی بر هش (HOTP) هستند زیرا شمارنده و seed با هم به یک تابع درهم ارسال می‌شوند که یک رشته ظاهرا تصادفی از ارقام ایجاد می‌کند، که وقتی به درستی پیاده سازی شود، یک الگوی قابل پیش بینی را نشان نمی‌دهد.

با اجتناب از نیاز به ارسال OTP از طریق متن، توکن‌های سخت افزاری گرفتن OTP را قبل از رسیدن به کاربر از طریق ابزارهایی مانند تعویض سیم کارت غیرممکن می‌کنند. با این حال، از آنجایی که کاربر باید OTP را وارد برنامه کند، که OTP را با استفاده از کانال ارتباطی مشابه رمز عبور به سرویس احراز هویت منتقل می‌کند و به همین دلیل بیشتر آسیب پذیری‌های دیگر احراز هویت مبتنی بر پیامک باقی می‌ماند.

متداول‌ترین حمله علیه احراز هویت مبتنی بر پیامک، RTPP، برای OTP‌های تولید شده بر روی دستگاه‌های سخت‌افزاری نیز به خوبی کار می‌کند، زیرا کاربر فریب خورده OTP را در سایت جعلی تایپ می‌کند، صرف نظر از اینکه OTP در تلفن ظاهر شود یا دستگاه تخصصی این کار.

در حالی که دستگاه‌های سخت‌افزاری امکان گرفتن OTP توسط مهاجمان را در حین انتقال به کاربر حذف می‌کنند، دستگاه‌ها به مقادیر اولیه متکی هستند که می‌توانند به خطر بیفتند. مهاجمان می‌توانند با دسترسی فیزیکی به دستگاه‌ها به مقدار اولیه دسترسی داشته باشند.

برنامه‌های احراز هویت

برنامه‌های احراز هویت می‌توانند مانند توکن‌های سخت‌افزاری عمل کنند. جریانی از OTP‌ها را بر اساس یک seed و الگوریتم اولیه تولید کنند و از نیاز به برقراری ارتباط با یک کانال آسیب‌پذیر جلوگیری کنند، اما همچنین می‌توانند با استفاده از یک کانال جایگزین برای برقراری ارتباط یک گام فراتر بروند. OTP در این سناریو، پس از تایید موفقیت آمیز نام کاربری و رمز عبور، سرویس احراز هویت یک push notification را به برنامه احراز هویت ارسال می‌کند که از کاربر می‌خواهد درخواست را تأیید کند. پس از تأیید، برنامه احراز هویت، OTP را مستقیما به سرویس احراز هویت می‌فرستد بدون اینکه کاربر مجبور شود آن را در برنامه تایپ کند. ارتباط بین برنامه احراز هویت و سرویس احراز هویت از طریق یک اتصال مجزا انجام می‌شود.

استفاده از یک کانال ارتباطی جایگزین به این معنی است که مهاجم نمی‌تواند با به خطر انداختن برنامه به OTP دسترسی پیدا کند، زیرا OTP هرگز وارد برنامه نمی‌شود. همچنین جمع‌آوری رمز عبور و OTP با به خطر انداختن اتصال شبکه دشوارتر است زیرا رمز عبور و OTP از طریق کانال‌های ایمن مجزا تحویل داده می‌شوند. با این حال، به خطر انداختن نقطه پایانی، می‌تواند باعث ایجاد دسترسی مهاجم به رمز عبور و OTP در صورتی که خود برنامه و برنامه احراز هویت در یک دستگاه اجرا شوند، باشد.

متأسفانه، برنامه‌های احراز هویت از استفاده مهاجمان از RTPPها جلوگیری نمی‌کنند. کاربر همچنان فریب خورده است تا نام کاربری و رمز عبور خود را از طریق یک پیام متنی فیشینگ در یک سایت جعلی وارد کند. پس از وارد کردن اعتبار آنها، برنامه درخواستی را به برنامه احراز هویت کننده ارسال می‌کند. از آنجایی که کاربر بر این باور است که در حال ورود به یک برنامه قابل اعتماد است، احتمالا درخواست را تأیید می‌کند که احراز هویت کامل می‌شود.

علاوه بر این، سهولت استفاده از برنامه‌های احراز هویت ابزار دیگری را ایجاد کرده است که مهاجمان می‌توانند MFA را از طریق مهندسی اجتماعی شکست دهند. در بمباران MFA یا حملات خستگی MFA، مهاجم هدف را فریب می‌دهد تا با ارسال چندین درخواست جعلی برای کد، کد احراز هویت خود را به آنها بدهد.

احراز هویت بیومتریک

راه‌های بیشتری برای اجرای احراز هویت بیومتریک نسبت به احراز هویت مبتنی بر مالکیت وجود دارد. نه تنها روش‌های متعددی برای راه اندازی درخواست احراز هویت و انتقال آن داده‌ها به سرویس احراز هویت وجود دارد، بلکه اشکال بسیاری از بیومتریک از اثر انگشت تا اسکن عنبیه وجود دارد. سخت افزار مورد نیاز برای انجام اسکن ممکن است در دستگاهی که برنامه را اجرا می‌کند، مانند حسگر اثرانگشت روی لپ تاپ بوده، یا به سخت افزاری جداگانه نیاز داشته باشد. حسگر بیومتریک ممکن است توسط سیستم عامل یا یک برنامه تخصصی کنترل شود. با توجه به این تنوع در پیاده سازی، مدل سازی هر آسیب پذیری دشوار است. با این حال، درک این نکته مهم است که علیرغم شهرت احراز هویت بیومتریک برای امنیت بیشتر، هنوز آسیب‌پذیری‌های بسیار واضحی در احراز هویت بیومتریک وجود دارد.

در واقع، یکی از روش‌های محبوب دور زدن عامل مالکیت، یعنی RTPP، می‌تواند به خوبی برای دور زدن سیستم‌های بیومتریک استفاده شود. هنگامی که کاربر به برنامه‌ای که توسط مهاجم کنترل می‌شود وارد می‌شود و فکر می‌کند یک برنامه قابل اعتماد است، آن برنامه از اعتبارنامه‌ها برای ورود به برنامه از طرف کاربر استفاده می‌کند و درخواست احراز هویت بیومتریک را آغاز می‌کند.

احراز هویت بیومتریک آسیب پذیری متمایز کپی و جعل را هم وارد بازی می‌کند. اثر انگشت را در نظر بگیرید. ما آنها را در همه جا، تقریبا روی هر سطح صافی که لمس می‌کنیم، به جا می‌گذاریم. جمع آوری اثر انگشت و بازسازی آن کار سختی نیست. مهاجم با به دست آوردن اثر انگشت و بازسازی آن به راحتی می‌تواند این راه را دور بزند. این نگرانی در مورد راه‌های دیگر احراز هویت بیومتریک هم وجود دارد.

تشدید خطر امنیتی کپی و جعل مربوط به این واقعیت است که ما نمی‌توانیم به راحتی ویژگی‌هایی را که حسگر بیومتریک اندازه گیری می‌کند تغییر دهیم. هنگامی که یک مهاجم رمز عبور را می‌دزدد، می‌توانیم آن را تغییر دهیم. اگر مهاجم یک دانگل OPT یا تلفن همراه را بدزدد، می‌توانیم آن را جایگزین کرده و seed را بازنشانی کنیم. با این حال، اگر مهاجم به اثر انگشت، اثر کف دست، تصویر صورت، یا هر ویژگی بیولوژیکی دیگر دسترسی پیدا کند و یاد بگیرد که چگونه آنها را به طور مؤثر جعل کند، نمی‌توانیم این ویژگی‌های فیزیکی را بدون تحمل درد قابل توجه تغییر دهیم.

ارتقای امنیت MFA

در حالی که MFA نسبت به احراز هویت تک عاملی و مبتنی بر رمز عبور بهبود یافته است، حداقل در اشکال رایج فعلی پیاده سازی، هنوز آسیب پذیر است. بنابراین به جای اینکه MFA را به عنوان پایان مسیر فرایند امنیتی در نظر بگیرید، آن را به عنوان یک شروع جدید در نظر بگیرید. در مدل‌سازی تهدید، باید به هر جنبه از فرآیند احراز هویت و مدیریت session، با توجه به نقاط متعدد حمله، از ذخیره هویت گرفته تا امنیت فیزیکی، شبکه و داده‌ها نگاه کنید. حملات سایبری احتمالا ضعیف‌ترین حلقه را هدف قرار خواهند داد. به طور خاص، آسیب‌پذیری‌های MFA به چند حوزه اصلی اشاره می‌کند که نیاز به توجه بیشتری دارند: کاهش خودکارسازی (حذف ربات‌ها)، محافظت در برابر حملات زنجیره تامین جاوا اسکریپت و در نظر گرفتن زمینه خطر.

ربات‌ها را از شبکه خود حذف کنید

مجرمان برای مقیاس کردن چندین حمله کلیدی به MFA از جمله پر کردن اعتبار (credential stuffing)، RTPP و بمباران MFA به ربات‌ها متکی هستند، به این معنی که کاهش ربات‌ها کلید محافظت از همه اشکال MFA است. در حملات پر کردن اعتبار، همانطور که توسط OWASP تعریف شده است، مجرمان اعتبار سرقت شده را از نقض‌های قبلی، معمولا از طریق خرید در dark web، به دست می‌آورند و آن اعتبار را برای ورود به سیستم‌های دیگر برنامه‌ها آزمایش می‌کنند.

کاهش ربات‌ها بسیار مهم است زیرا مجرمان از ربات‌ها برای حمله‌هایی فراتر از رمز عبور استفاده می‌کنند. در واقع، ربات‌ها ابزاری کلیدی در راه‌اندازی حملات RTPP به شمار می‌روند، که رایج‌ترین مکانیسم‌ها برای شکست MFA هستند. تقریبا هر حمله‌ای علیه MFA به موفقیت ربات‌ها در مقیاس بزرگ بستگی دارد، به این معنی که سازمان‌هایی که MFA را اجرا می‌کنند باید کاهش ربات‌ها را جدی بگیرند.

امروزه شناسایی ربات‌های پیشرفته نیاز به جمع‌آوری سیگنال پیشرفته، نظارت ۲۴ ساعته، یادگیری ماشینی و واکنش سریع به تغییر ابزار ربات‌ها دارد. بدون راهکار اختصاصی مدیریت ربات، دفاعی که به سرعت تغییر ابزار را شناسایی کرده و به آن واکنش نشان می‌دهد، ربات‌ها مجرمان را قادر می‌سازند تا به طور موثر حملات را علیه MFA افزایش دهند.

از حملات زنجیره تامین جاوا اسکریپت محافظت کنید

تقریبا هر شکلی از MFA که قابل تصور باشد با نقض برنامه مربوطه، شکست خواهد خورد. اگر مهاجم کد را در برنامه‌ای وارد کند، بازی تمام شده است. مهاجم می‌تواند اعتبارنامه‌ها و سایر ورودی‌های MFA را بگیرد، sessionها را با سرقت شناسه‌های session تصاحب کند، یا داده‌ها را مستقیما از برنامه استخراج کند. از آنجایی که برنامه‌های کاربردی مدرن وب، معمولا از بیش از ۲۰ فایل جاوا اسکریپت تشکیل شده‌اند که عمدتا از اشخاص ثالث هستند و توسط تیم امنیتی برنامه سازمان بررسی نشده‌اند، شانس به خطر افتادن برنامه‌ها از طریق حملات زنجیره تأمین جاوا اسکریپت بیشتر از آن چیزی است که اغلب تصور می‌شود.

پروتکل‌های امنیتی سمت مشتری (client) موجود برای دفاع از برنامه‌های وب پویا امروزی بیش از حد ثابت هستند. خط‌مشی امنیت زمینه‌ای (CSP) اقدامات اسکریپت‌ها را به گونه‌ای محدود می‌کند که می‌تواند از حملات زنجیره تامین جاوا اسکریپت جلوگیری کند، اما اگر فروشنده شخص ثالث یک اسکریپت را به‌صورت پویا و برخلاف محدودیت‌های CSP به‌روزرسانی کند، CSP به راحتی می‌تواند عملکرد سایت را مختل کند.

بدون کنترل‌های واضح برای از بین بردن آسیب‌پذیری‌های زنجیره تامین جاوا اسکریپت، سازمان‌ها باید خلاقیت خود را در یافتن وسایلی برای نظارت بر ریسک به کار بگیرند. سازمان‌ها می‌توانند اسکریپت‌ها را به صورت بهتری در سایت خود مستند کنند و آنها را از نظر ریسک بر اساس منبع و فراوانی تغییرات رتبه بندی کنند. اسکریپت‌هایی که از طریق tag managerها اضافه می‌شوند باید به طور منظم مورد بازبینی قرار گیرند تا ریسک ارزیابی شود. ابزارهای نظارتی را می‌توان به دست آورد که با استفاده از نظارت مصنوعی، CSP در حالت گزارش یا عوامل مبتنی بر جاوا اسکریپت که در مرورگر اجرا می‌شوند، رفتار اسکریپت‌ها را ردیابی می‌کنند.

کاربران معتمد را بشناسید و رفتار مشکوک را به چالش بکشید

هدف MFA باید بهبود امنیت باشد و نه تحت فشار قرار دادن مشتریان با مسايل امنیتی بیهوده. با تطبیق الزامات ورود به سیستم با ریسک زمینه‌ای، سازمان‌ها می‌توانند از آزار مستمر مشتریان با ارزش با الزامات MFA اجتناب کنند. در عوض می‌توان فرایند کاری آن‌ها را با sessionهای طولانی‌مدت آسان‌تر کنند و با تجربه‌ای شخصی‌سازی‌شده و بدون نیاز به تلاش از آن‌ها استقبال کنند. ریسک زمینه‌ای ابعاد مختلفی دارد:

  • جغرافیا: بر اساس آدرس‌های IP، آیا کاربر از محل معمول خود وارد می‌شود؟
  • شماره سیستم خودکار (ASN): بر اساس آدرس IP، آیا کاربر از همان ISP معمولی وارد سیستم می‌شود که احتمالا مربوط به خانه، محل کار یا کافه مورد علاقه اوست؟
  • دستگاه: آیا کاربر مثل همیشه از همان دستگاه وارد می‌شود؟
  • زمان/روز: آیا کاربر طبق معمول در همان ساعت از روز یا روز هفته وارد سیستم می‌شود؟
  • رفتار: آیا کاربر با همان سرعت معمول تایپ می‌کند، ماوس را با همان الگوها حرکت می‌دهد؟
  • عملکرد: آیا کاربر از همان عملکرد معمول استفاده می‌کند؟

اگر کاربر سابقه رفتار خوب خود را به اثبات رسانده باشد و با استفاده از عملکرد معمول خود از همان مکان، دستگاه مشابه، در همان زمان روز و با رفتاری مشابه به سایتی دسترسی داشته باشد، ممکن است حتی نیازی به ورود کاربر به سیستم نباشد. در عوض، احراز هویت بی‌صدای مداوم را برای گسترش مدت session برای راحتی کاربر انجام دهید. اگر زمینه از حالت عادی منحرف شود، که نشان‌دهنده خطر بالاتر است، می‌توانید سیاست‌های تطبیقی را به برنامه خود اضافه کنید تا در مراحل اندازه‌گیری شده، نیازهای امنیتی را افزایش دهید.

MFA

جمع‌بندی

مطابق با این کلیشه که امنیت یک فرایند است، MFA چندین انشعاب در مسیر ایجاد کرده است که گزینه‌های اضافی را ارائه می‌دهد که با اجرای صحیح، امنیت را به طور معنی‌ داری افزایش می‌دهد. با این حال، هیچ شکلی از MFA، مهم نیست که چند عاملی باشد، چقدر خوب اجرا شده باشد یا چقدر هزینه بر است، به ما اجازه نمی‌دهد از طی فرایند برای رسیدن به مقصد (ایمن کردن دستگاه‌ها و شبکه) بگذریم. ما مطمئنا شاهد خبرهای بیشتری در مورد از بین رفتن رمزهای عبور خواهیم بود، تبلیغات بیشتر مبنی بر اینکه تکنیک‌های جدید MFA یک بار برای همیشه احراز هویت را ایمن می‌کند، اما راه‌هایی برای مهاجمان مصمم برای دور زدن فناوری جدید وجود خواهد داشت.

منبع

بیشتر بخوانید:
شناسه مطلب: ۶۰۷۹
منبع:
وبلاگ تخصصی آلیاسیس
0.75
8
6
فیسبوک توییتر گوگل + لینکداین تلگرام واتس اپ کلوب
آلیاسیس آرتباط

مطالب مرتبط

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

  • خانه
  • امنیت
  • چرا MFA فقط اولین قدم در حل مشکل تصرف حساب است؟

هسته اصلی شرکت آلیاسیس ارتباط از سال 1383 تاکنون در زمینه فن آوری اطلاعات و ارتباطات ( ICT) فعالیت می نماید. شرکت آلیاسیس ارتباط با تجربه ای بالغ بر یک دهه حضور در صنعت فناوری اطلاعات و ارتباطات از تامین و توزیع تا ارائه خدمات مهندسی و خدمات پس از فروش به مجموعه کسب و کارهای بزرگ ، متوسط و کوچک در سه حوزه تجهیز تخصصی سخت افزارهای شبکه - ارائه خدمات مشاوره ، طراحی ، پیاده سازی ، پشتیبانی ، آموزش و خدمات پس از فروش در شبکه های محلی و گسترده ، امنیت شبکه ، مراکز داده و ارتباطات یکپارچه - ارائه راهکارهای جامع مبتنی بر شبکه های رایانه ایی ارائه خدمت می نماید.

دسترسی سریع