Знаете, есть такая рыба 🐠 – трехиглая колюшка, которая первоначально обитала в морской воде с большим числом хищников, что привело к появлению у этой рыбы защиты в виде костяных пластин по бокам; этакая броня. Во время штормов колюшку закидывало в пресные водоемы, озера и реки, где "модель нарушителя и угроз" совсем иная. За несколько тысяч лет обитания в новой среде трехиглая колюшка эволюционировала и "отказалась" от части своих защитных механизмов, которые в новом окружении были бесполезны и неэкономичны 🐟

На этом фоне интересно исследование страховой группы Canopius "Using Threat Intelligence to Assess the Effectiveness of Cybersecurity Controls", которое представляет собой ана­лиз техник кибератак (по MITRE) за период 2019–2023 гг. 📊 Всего в выборке – 20 812 наблюдений, включающих 194 уникальные техники атак по ATT&CK. Цель анализа – оценить эффективность базового ("минимального") набора защитных мер, которые обычно требуют страховщики киберрисков. Этот список включает 6 мер:
🩹 MFA (многофакторная аутентификация)
🩹 PAM (управление привилегиями)
🩹 Бэкапы и их безопасность
🩹 Фильтрация e-mail
🩹 EDR (обнаружение и реагирование на конечных точках)
🩹 Обучение безопасности пользователей 🛡

Основной сделанный вывод – за 5 лет уровень защиты этого набора снизился с ~96% до ~48% 📉 Падение показывает, что кибератаки эволюционировали быстрее, чем базовые средства защиты, а уязвимости появились даже там, где ранее защита считалась эффективной. Страховая делает очевидный вывод, что атакующие адаптируются, избегают распространенных мер защиты (например, обходят MFA, социальный инжиниринг обходит email-фильтры и обучение пользователей) 🎣 Рост требований "минимального набора защитных мер" создает однородный набор требований по отрасли, что делает защиту предсказуемой для злоумышленников и упрощает разработку техник обхода.

Вывод простой: универсальные "минимальные стандарты" эффективны лишь частично – важно адаптировать меры под конкретный профиль организации и ее модель угроз, а не полагаться на шаблонные решения 🐟 Базовый набор защитных механизмов – это только отправная точка. Чтобы оставаться эффективной в борьбе с постоянно эволюционирующими угрозами, ИБ должна быть умной, динамичной и адаптироваться под реально используемые техники нарушителей 🤔 Так что будьте как трехиглые колюшки!

#mitre #модельугроз #статистика #киберстрахование #стратегия

2 года назад я приводил список методов обхода многофакторной аутентификации 📋 Хочу вернуться к этой истории, так как сейчас наблюдается рост не только способов обхода MFA, но и чувства ложной защищенности, которое проистекает из уверенности в надежности MFA, необходимость использования которой упоминают все, но без раскрытия всех нюансов 🔏

Встречайте, платформа 🖥 Tycoon 2FA, которая, будучи реализованной как сервис Phishing-as-a-Service, использовалась в этом году более 64 тысяч раз, и которая позволяет даже неквалифицированным злоумышленникам запускать атаки с обходом MFA. Платформа автоматизирует весь процесс атаки – от создания фишинговых страниц до перехвата сессий аутентификации 🥷

На картинке показан пример работы Tycoon 2FA ✍️ Работает так: жертва заходит на фишинговую страницу, вводит свои учетные данные, которые перехватываются Tycoon 2FA, а сам запрос проксируется (направляется) к реальному сервису (например, Microsoft 365 или Gmail). Жертва думает, что все легитимно – в это время злоумышленник получает полный доступ к сессии 👺 Страницы выглядят абсолютно как оригинальные: динамически получают ответы от настоящего сервера, отображают запросы на код аутентификации, push-уведомления и т.д. Жертва не видит никаких отличий от легитимных сервисов. Платформа включает и средства уклонения от обнаружения: шифрование/обфускация (Base64, LZ компрессия, CryptoJS), проверку наличия отладчиков, капчу для фильтрации ботов и т.п. 🤖

А еще есть платформа PhaaS Sneaky2FA, которая также предназначена для обхода MFA за счет вставки адреса URL в так называемом окне "браузер-в-браузере" (Browser-in-the-Browser, BITB), то есть визуально подделывать окно браузера с адресной строкой, чтобы жертва видела “нормальный” легитимный URL. Обученные сотрудники могут обращать внимание на строку адреса, но если она выглядит корректно, то упс.

Стандарт NIST SP800-63 выделяет 3 уровня доверия к средствам аутентификации (AAL). Многофакторная OTP или даже многофакторная криптографическая аутентификация сами по себе, вне комбинаций, – это самый низкий, 1-й уровень доверия, в одном списке с паролями и кодами по SMS. В связи с этим стоит отметить, что сегодня MFA тоже бывают разные и их можно условно разделить на 2 типа – legacy и устойчивые к фишингу. Первые – это методы вроде SMS-кода 💬, push-уведомления, одноразовые TOTP-коды и др. Они уязвимы, потому что:
➡️ полагаются на пользователя, что он заметит фишинг или откажется от полученного запроса,
➡️ используют "общие секреты" или коды, которые можно перехватить, переадресовать или воспроизвести. Если система допускает ввод кода пользователем или нажатие одобрения – она уже может быть взломана 🤔

Уже даже известны случаи с passkeys/ключами, которые могут быть скомпрометированы (если используется синхронизация через облако или существуют fallback-механизмы, поддающиеся социальному инжинирингу).

Путь вперед – это "phishing-proof MFA", то есть многофакторная аутентификация с аппаратным FIDO-биометрическим фактором 🔠, принципиально не допускающим передачу кода или подтверждения пользователем (это уже третий уровень доверия AAL ). Аутентификатор должен быть аппаратный, требующий физического устройства и присутствия рядом (proximity). Такая модель исключает сценарии, когда жертва вводит код, нажимает "одобрить" или активируется push-запрос. При фишинге, где домен не совпадает, устройство отклонит аутентификацию 🤬 Штука это подороже будет, чем внедрять OTP или пуши. Поэтому большинство предприятий использует преимущественно AAL1 и реже AAL2. Но куда деваться – хакер не дремлет... Правда, в России такие не выпускаются вроде как.

Есть и еще один сценарий решения проблемы с обходимой MFA (если AAL3 дорог или невозможен) – аутентификация на уровне устройств 🤝 Во-первых, это незаметно для пользователя и человеческий фактор убирается вообще. Во-вторых, это позволяет решить задачу там, где нет пользователей (виртуальные машины, контейнеры, сетевые устройства и т.п.). Наконец, это работает там, где MFA не предусмотрена вообще. Так что варианты борьбы со способами обхода MFA есть... 🤔

#аутентификация #ttp