Het zal geen verrassing zijn dat er ook in 2023 een verhoogd risico is op cyberaanvallen en John Pescatore, Director of Emerging Security Trends aan het SANS Institute, waarschuwt voor een specifieke trend: bypassaanvallen op multi-factorauthenticatie (MFA). Hij deelt enkele inzichten met Hardware Info rondom deze nieuwe trend onder cybercriminelen; denk bijvoorbeeld ook eens aan wat er gebeurt als je niet meer bij een tweestapsverificatieapp kunt komen.
Maar eerst even een samenvatting van de punten die Pescatore met ons deelde; in de rest van het artikel leggen we uit waarom deze punten relevant zijn:
- Hoewel MFA-apps veilig zijn, kan het resetten of terughalen van een account op ouderwetse technieken berusten. Kies MFA-systemen met een betrouwbaar backupsysteem.
- Richt je op wie je bent en wat je hebt, niet op wat je weet. Cyberaanvallers kunnen informatie stelen, maar niet zo gemakkelijk fysieke objecten of biometrische gegevens.
- Voor bedrijven: Het voorkomen van aanvallen is onvermijdelijk; probeer aanvallen snel te detecteren en beperkt het aantal plekken waar een aanval kan worden uitgevoerd.
- MFA-systemen die zich aan het FIDO 2-standaard houden zijn in beginsel ontzettend veilig en moeilijk te omzeilen.
Omzeilen van MFA
“We zullen [binnen de techindustrie] een beweging zien richting multi-factorauthenticatie, wachtwoordsleutels en FIDO 2-authenticatie. Bedrijven als Apple, Google en Microsoft ontwikkelen eigen authenticatietokensystemen. Dit leidt tot een broodnodige verhoging van de beveiliging, maar ook tot een explosie van aanvallen die het doel hebben om de oudere MFA-benaderingen te omzeilen; nieuwere FIDO 2-compatibele MFA-systemen zijn hier wel tegen bestemd”, aldus Pescatore. Later komt hij terug op deze nieuwere technieken.
In de praktijk betekent dit dat hackers manieren (moeten gaan) zoeken om tweestapsverificatie te omzeilen. Deze beveiligingsmaatregel is ondertussen goed ingeburgerd en vereist dat gebruikers zich op meerdere manieren - dus niet alleen met inloggegevens - identificeren. Hartstikke veilig en waterdicht, toch?
Nou, nee. Het schaakspel tussen de aanvaller en de consument (of het bedrijf) stopt nooit. Pescatore stelt: "Wat gebeurt er als je je telefoon kwijt bent of je inloggegevens van Google Authenticator bent verloren? Dan moet je je account resetten. Dit backuptraject bestaat vaak uit het terugvallen op een systeem dat niet per se veilig is. 'Geef je moeders meisjesnaam of de naam van de beste vriend van je hond op om weer toegang te krijgen'; we kennen allemaal dit soort vragen."
Maar stel nou dat jij niet degene bent die het account probeert te resetten. "Een aanvaller zou dit proces kunnen starten, misschien wel omdat hij het antwoord op de betreffende beveiligingsvragen al weet. Gaat de recoverylink naar je e-mail? Is er toegang tot je sms'jes voor een code? Op deze manieren kan een ogenschijnlijk veilig MFA-proces ondermijnd worden." Hoewel een MFA-systeem zelf dus veilig kan zijn, hoeft hetzelfde niet voor het backupproces te gelden. Wees je hier bewust van, zo waarschuwt hij.
Fysieke toegang op basis van bezit
Pescatore raadt daarom aan om altijd iets fysieks te gebruiken ter authenticatie; iets wat moeilijker omzeild kan worden. Hij laat een beveiligingstoken zien via de videoverbinding zien; een soort beveiligings-usb-stick. Ook een smartphone met een biometrische login voor het inloggen in een authenticatiesysteem kan hierbij helpen.
"We moeten ons meer concentreren op wie we zijn en wat we hebben, niet op wat we weten." Hij verwijst hiermee naar biometrische gegevens en fysieke objecten, dingen die moeilijker gestolen kunnen worden dan een wachtwoorden of andere op kennis gebaseerde gegevens.
"Dat neemt niet weg dat criminelen altijd manieren zullen blijven zoeken om beveiligingsmaatregelen te omzeilen. Dat kun je niet tegenhouden." Hij stelt daarom dat het slim is om de hoeveelheid aanvalsmogelijkheden te minimaliseren: "Het is onmogelijk om alle toegangswegen naar een partij te blokkeren. Probeer dus te voorkomen dat er schade wordt toegebracht en vernauw die spreekwoordelijke toegangsweg."
Hij noemt als concreet voorbeeld het monitoren van belangrijke personen binnen een bedrijf. Veel topmensen hebben doorgaans meer privileges binnen een it-systeem en kunnen zo - wanneer hun account doelwit is geworden van een aanval - veel schade toebrengen. "Zorgt dat je heel snel detecteert wanneer het mis gaat, bijvoorbeeld door ip-adressen te monitoren."
Wat doen Google, Apple en Microsoft?
Hoe goed of slecht een individu of bedrijf zich ook beschermt tegen cyberaanvallen, uiteindelijk zijn 'de grote drie' vaak een bottleneck. Pescatore loopt Apple, Google en Microsoft na wat betreft hun respectievelijke cyberbeveiligingsbeleid: "Google is een advertentieverkoper en is dus niet per se gebaat bij het gebruikers die hun content geheim houden. Apple maakt zelf alle hardware en software en probeert gebruikers binnen een ecosysteem te houden. Microsoft moet - een beetje net als Google - zorgen dat allerlei derden zich aan regels en parameters houden; zij maken de software voor uiteenlopende hardware."
Dat klinkt behoorlijk hopeloos maar gelukkig lijkt er een belangrijke stap op komst: de FIDO Alliantie. Dit samenwerkingsverband tussen allerlei techgiganten, financiële instellingen en het World Wide Web Consortium heeft een verbeterd gezamenlijk standaard van authenticatie, FIDO 2. Volgens Pescatore is dit een belangrijke ontwikkeling; op deze manier zijn de meeste massaal gebruikte producten beter beschermd tegen cyberaanvallen. Naar verwachting leveren de grote drie tegen het einde van 2023 gedeelde MFA-oplossingen bestand tegen phishing.
Update, 10.55 uur: Na aanhoudende vragen over de concrete tips van Pescatore hebben we een samenvatting gemaakt met wat hapklare tips die in het daadwerkelijke artikel worden toegelicht.