كيف تعمل هجمات إرهاق MFA و6 طرق للدفاع ضدها

ما هو هجوم إرهاق المصادقة متعددة العوامل؟

هجوم إرهاق المصادقة متعددة العوامل (MFA)، المعروف أيضًا بهجوم قصف MFA أو إرسال رسائل مزعجة عبر MFA، هو نوع من هجمات الهندسة الاجتماعية السيبرانية حيث يقوم المهاجم بإرسال طلبات المصادقة متعددة العوامل بشكل متكرر إلى بريد الضحية الإلكتروني أو هاتفه أو أي أجهزة مسجلة أخرى. الهدف من هذا الهجوم هو إكراه الضحية على تأكيد هويتها عبر الإشعار، مما يتيح للمهاجم المصادقة على محاولته للوصول إلى حساب الضحية أو جهازها.

القراءة الموصى بها: تحليلات البيانات الكبيرة في الأمن: الماضي والحاضر والمستقبل.

كيف يعمل إرهاق المصادقة متعددة العوامل (MFA)

هجمات إرهاق المصادقة متعددة العوامل هي شكل من أشكال الهندسة الاجتماعية. لتنفيذ هجوم إرهاق المصادقة متعددة العوامل، يجب على المهاجم أولاً الحصول على بيانات اعتماد تسجيل الدخول الخاصة بالضحية، عادةً من خلال بريد إلكتروني احتيالي، أو هجوم حشو بيانات الاعتماد، أو عن طريق شرائها من الشبكة المظلمة. بمجرد أن يحصل المهاجم على بيانات اعتماد تسجيل الدخول الخاصة بالضحية، يمكنه محاولة تسجيل الدخول إلى حساب الضحية أو جهازه. إذا كان الحساب مفعلًا عليه المصادقة متعددة العوامل، سيُطلب من المهاجم تقديم رمز المصادقة من العامل الثاني.

لتفعيل إشعارات الدفع الخاصة بالمصادقة متعددة العوامل، يقوم المهاجم بإدخال بريد الضحية الإلكتروني أو رقم هاتفها كجهاز مسجل للمصادقة متعددة العوامل. ثم يقوم المهاجم بإرسال طلبات المصادقة متعددة العوامل بشكل متكرر إلى الأجهزة المسجلة للضحية، عادةً بتردد مصمم لإرباك قدرة الضحية على التحقق من الطلبات بشكل صحيح.

قد تتلقى الضحية طلبات متعددة للمصادقة متعددة العوامل في تسلسل سريع، حيث يستخدم المهاجم أساليب مختلفة من الهندسة الاجتماعية لجعل الضحية تشعر بالضغط للموافقة على الطلبات بسرعة. على سبيل المثال، قد يدعي المهاجم أن هناك نشاطًا مشبوهًا على الحساب أو أن عدم الموافقة على الطلبات سيؤدي إلى قفل الحساب.

إذا وقعت الضحية في فخ تكتيكات المهاجم ووافقت على طلبات المصادقة المتعددة العوامل دون التحقق بشكل صحيح من أنها شرعية، فإن المهاجم يحصل على الوصول إلى حساب الضحية أو جهازه. وهذا يمكن أن يسمح للمهاجم بسرقة المعلومات الحساسة، أو تنفيذ معاملات احتيالية، أو تثبيت برمجيات خبيثة على جهاز الضحية.

نصائح من الخبير

ستيف مور هو نائب الرئيس ورئيس استراتيجيات الأمن في إكزبيم، يساعد في تقديم الحلول لاكتشاف التهديدات وتقديم المشورة للعملاء بشأن برامج الأمن والاستجابة للاختراقات. وهو مضيف بودكاست "The New CISO Podcast"، و عضو في Forbes Tech Council، ومؤسس مشارك لـ TEN18 at Exabeam.

في تجربتي، إليك نصائح يمكن أن تساعدك في حماية أفضل ضد هجمات التعب من المصادقة متعددة العوامل:

تدريب المستخدمين على التعرف على رسائل البريد العشوائي المتعلقة بالمصادقة متعددة العوامل
توعية المستخدمين بمخاطر الإرهاق من المصادقة متعددة العوامل وتعليمهم تجاهل المطالبات غير المرغوب فيها. يجب أن يعرف الموظفون أنه لا ينبغي عليهم الموافقة على أي طلبات ما لم يكونوا هم من بدأوا تسجيل الدخول بأنفسهم.

استخدم مطابقة الأرقام لموافقة MFA
قم بتنفيذ مطابقة الأرقام بدلاً من إشعارات الدفع البسيطة "الموافقة/الرفض". يجب على المستخدمين مطابقة رمز يظهر على جهازهم مع طلب تسجيل الدخول، مما يقلل من فرصة الموافقات العرضية.

تمكين حدود تكرار المصادقة متعددة العوامل
قم بتكوين حدود على عدد طلبات المصادقة متعددة العوامل المرسلة في فترة زمنية قصيرة. هذا يمنع المهاجمين من إغراق المستخدمين بمطالبات متكررة ويسهل اكتشاف الأنشطة غير الطبيعية.

إضافة قيود MFA بناءً على الموقع الجغرافي
يتطلب التحقق الإضافي إذا كانت محاولات تسجيل الدخول تأتي من مواقع غير عادية أو عالية المخاطر. يعزز هذا الأمان من خلال الإشارة إلى المحاولات التي لا تتماشى مع أنماط الموقع المعتادة للمستخدم.

مراقبة إساءة استخدام طلبات المصادقة متعددة العوامل باستخدام SIEM
دمج سجلات المصادقة متعددة العوامل مع أنظمة SIEM للكشف عن الأنماط غير الطبيعية، مثل حجم كبير من طلبات المصادقة متعددة العوامل في فترة زمنية قصيرة. يساعد ذلك في التعرف على هجمات التعب المحتملة من المصادقة متعددة العوامل والتخفيف منها في الوقت الحقيقي.

6 طرق للحماية من هجمات تعب المصادقة متعددة العوامل

1. تفعيل السياق الإضافي

تمكين السياق الإضافي هو إحدى الطرق للحماية من هجمات التعب من المصادقة متعددة العوامل (MFA). يمكن أن يساعد توفير مزيد من المعلومات للمستخدمين حول طلب المصادقة في تحديد ما إذا كان الطلب شرعياً. إليك بعض الطرق لتمكين السياق الإضافي للمصادقة متعددة العوامل:

• تحديد الموقع الجغرافي: من خلال استخدام تحديد الموقع الجغرافي للمستخدم، يمكن أن يساعد في التحقق من موقع المستخدم وجعل من الصعب على المهاجمين تنفيذ هجمات إرهاق المصادقة المتعددة العوامل من موقع مختلف. يمكن أن يكون هذا مفيدًا بشكل خاص للأجهزة المحمولة، حيث يمكن أن يتغير موقع المستخدم بشكل متكرر.
• تتبع بصمة الجهاز: تتبع بصمة الجهاز هو تقنية يمكن أن تساعد في تحديد جهاز المستخدم بناءً على خصائصه الفريدة، مثل إعدادات متصفح الجهاز، ودقة الشاشة، ونظام التشغيل. يمكن أن تساعد في منع المهاجمين من استخدام أجهزة مختلفة لتنفيذ هجمات إرهاق المصادقة متعددة العوامل.
• تحليلات سلوكية: تحليل أنماط سلوك المستخدم، مثل أوقات تسجيل الدخول النموذجية، نوع الجهاز الذي يستخدمه، والمواقع التي يسجل الدخول منها، يمكن أن يساعد في تحديد ما إذا كان طلب المصادقة شرعياً أم لا. يمكن أن يكون هذا مفيداً بشكل خاص في اكتشاف هجمات التعب من المصادقة متعددة العوامل، حيث يميل المهاجمون عادةً إلى الانحراف عن أنماط سلوك المستخدم الطبيعية.
• تاريخ الجلسات: يشير تاريخ الجلسات إلى سجل لمحاولات تسجيل الدخول السابقة للمستخدم والأجهزة المستخدمة. من خلال مراجعة تاريخ جلسات المستخدم، يمكن أن يساعد ذلك في تحديد أنماط السلوك المشبوه ومنع هجمات إرهاق المصادقة متعددة العوامل.

2. اعتماد المصادقة القائمة على المخاطر

إليك بعض الطرق لاعتماد المصادقة المعتمدة على المخاطر لنظام المصادقة متعددة العوامل (MFA):

• تقييم المخاطر: يتضمن تعيين درجة مخاطر لكل طلب مصادقة بناءً على عوامل مختلفة، مثل موقع المستخدم والجهاز وأنماط السلوك. كلما زادت درجة المخاطر، زادت عوامل المصادقة المطلوبة للتحقق من هوية المستخدم.
• المصادقة التكيفية: تستخدم هذه الطريقة تحليل المخاطر في الوقت الحقيقي لتحديد مستوى المصادقة المطلوب لكل محاولة تسجيل دخول. يمكن أن يتضمن ذلك تحليل أنماط سلوك المستخدم، والجهاز المستخدم، وموقع محاولة تسجيل الدخول.
• إدارة السياسات الديناميكية: إدارة السياسات الديناميكية تتضمن تعديل سياسة المصادقة بناءً على مستوى المخاطر الحالي. على سبيل المثال، إذا كان مستوى المخاطر مرتفعًا، قد تتطلب سياسة المصادقة عوامل مصادقة إضافية أو حظر محاولة تسجيل الدخول تمامًا.

3. تنفيذ مصادقة FIDO2

FIDO2 هو معيار مفتوح للمصادقة مصمم لتوفير مصادقة قوية دون الحاجة إلى كلمات مرور. يمكن تنفيذ مصادقة FIDO2 باستخدام مفاتيح أمان مادية، مثل مفاتيح USB أو NFC. هذه المفاتيح تخزن المفتاح الخاص للمستخدم وتستخدم التشفير بالمفتاح العام للتحقق من هوية المستخدم.

يتضمن ذلك توليد مفتاح عام ومفتاح خاص لكل مستخدم. يتم تخزين المفتاح الخاص على جهاز المستخدم أو مفتاح الأمان المادي، بينما يتم تخزين المفتاح العام على خادم المصادقة. عندما يقوم المستخدم بتسجيل الدخول، يرسل الخادم تحديًا إلى جهاز المستخدم، والذي يتم توقيعه بالمفتاح الخاص. ثم يتم إرسال التحدي الموقّع مرة أخرى إلى الخادم، الذي يتحقق من التوقيع باستخدام المفتاح العام.

4. تعطيل إشعارات الدفع كطريقة للتحقق

تم تصميم إشعارات الدفع لمصادقة متعددة العوامل (MFA) لتكون سهلة الاستخدام، حيث يحتاج المستخدمون ببساطة إلى النقر على "نعم" أو "السماح" للموافقة على محاولات تسجيل الدخول. ومع ذلك، فإن هذه البساطة تجعل من السهل أيضًا على المهاجمين إغراق المستخدمين بطلبات مصادقة مزيفة.

لحماية نفسك من هجمات التعب MFA، يُوصى بإيقاف تشغيل إشعارات الدفع كطريقة للتحقق في تطبيق المصادقة الخاص بك. بدلاً من ذلك، استخدم طرق تحقق بديلة مثل:

• مطابقة الأرقام: تتضمن مطابقة رمز فريد أو رقم تعريف شخصي يتم توفيره من قبل تطبيق المصادقة مع الرمز المعروض على الشاشة أثناء عملية تسجيل الدخول.
• التحدي والاستجابة: يوفر التطبيق تحديًا أو سؤالًا عشوائيًا يجب على المستخدم الإجابة عليه للتحقق من هويته.
• كلمات المرور لمرة واحدة المعتمدة على الوقت: تقوم التطبيق بإنشاء رمز فريد يتغير كل بضع ثوانٍ، والذي يجب على المستخدم إدخاله للتحقق من هويته.

الميزة في استخدام هذه الطرق البديلة للتحقق هي أنها تتطلب من المستخدمين المشاركة النشطة في عملية المصادقة ولا يمكن الموافقة عليها عن طريق الخطأ. من خلال تعطيل إشعارات الدفع واستخدام هذه الطرق البديلة للتحقق، يمكن أن يساعد ذلك في منع هجمات التعب من المصادقة متعددة العوامل (MFA) وتحسين الأمان العام لـ MFA.

5. تحسين الوعي الأمني حول المصادقة متعددة العوامل (MFA)

توعية المستخدمين بمخاطر هجمات إرهاق المصادقة متعددة العوامل (MFA) وتقديم إرشادات حول كيفية التحقق بشكل صحيح من طلبات المصادقة يمكن أن يساعد في تقليل احتمالية نجاح الهجمات. إليك بعض الطرق لتحسين الوعي الأمني حول المصادقة متعددة العوامل:

• تثقيف المستخدمين: قم بتزويد المستخدمين بالتعليم والتدريب حول المصادقة متعددة العوامل (MFA)، بما في ذلك مخاطر هجمات التعب MFA وكيفية التحقق من صحة طلبات MFA. يمكن أن يتضمن ذلك تمارين محاكاة التصيد، والتي يمكن أن تساعد في زيادة الوعي بالتكتيكات المستخدمة من قبل المهاجمين وتعليم المستخدمين كيفية التعرف عليها وتجنبها.
• لغة بسيطة: استخدم لغة بسيطة لشرح المخاطر والفوائد لمصادقة متعددة العوامل، وقدم تعليمات واضحة حول كيفية إعداد واستخدام مصادقة متعددة العوامل. تجنب استخدام المصطلحات التقنية أو اللغة المعقدة، والتي يمكن أن تكون مربكة للمستخدمين وتقلل من فعالية برامج التوعية الأمنية.
• نظافة كلمة المرور الجيدة: شجع المستخدمين على استخدام كلمات مرور قوية وفريدة وتجنب إعادة استخدام كلمات المرور عبر حسابات متعددة. يمكن أن يساعد ذلك في منع المهاجمين من استخدام كلمات المرور المسروقة لتنفيذ هجمات إرهاق المصادقة متعددة العوامل.
• مراقبة النشاط: راقب حسابات المستخدمين بانتظام بحثًا عن أنشطة مشبوهة، مثل محاولات تسجيل الدخول الفاشلة المتعددة أو مواقع تسجيل الدخول غير المعتادة. يمكن أن يساعد ذلك في اكتشاف هجمات التعب من المصادقة متعددة العوامل وأنواع أخرى من الهجمات الإلكترونية قبل أن تتسبب في أضرار كبيرة.
• مراجعة وتحديث: قم بمراجعة وتحديث إعدادات المصادقة متعددة العوامل بانتظام، مثل الأجهزة المسجلة وإعدادات الإشعارات، لضمان تحسينها للأمان وسهولة الاستخدام. يمكن أن يساعد ذلك في منع هجمات إرهاق المصادقة متعددة العوامل وأنواع أخرى من الهجمات الإلكترونية.

6. الحماية من هجمات تعب MFA باستخدام منصة SIEM متقدمة.

يتطلب الحماية من هجمات التعب الناتجة عن المصادقة متعددة العوامل (MFA) نهجًا استباقيًا، يمكن تحقيقه من خلال دمج حلول إدارة معلومات الأمن والأحداث المتقدمة مع تحليلات سلوك المستخدم والكيانات (UEBA) وأفضل الممارسات الأمنية الأخرى. توفر منصات SIEM المتقدمة مراقبة في الوقت الحقيقي، واكتشاف التهديدات، وقدرات الاستجابة للحوادث لمساعدة المؤسسات على اكتشاف وتخفيف هجمات التعب الناتجة عن المصادقة متعددة العوامل.

إليك بعض الطرق للحماية من هجمات التعب الناتجة عن المصادقة متعددة العوامل باستخدام نظام إدارة معلومات الأمان:

• المراقبة والتنبيه في الوقت الحقيقي: تقوم أنظمة SIEM بمراقبة بيئتك بحثًا عن أي علامات على سلوك مشبوه أو غير طبيعي، مثل محاولات تسجيل الدخول الفاشلة المتكررة أو أنماط الوصول غير العادية. من خلال إعداد تنبيهات في الوقت الحقيقي، يمكن لفرق الأمان التحقيق بسرعة والتخفيف من هجمات إرهاق MFA المحتملة.
• تحليل سلوك المستخدمين والكيانات (UEBA): تستخدم أنظمة إدارة معلومات الأمان (SIEM) UEBA لتحديد الأنماط الأساسية لسلوك الاعتماديات والأجهزة وتحديد أي انحرافات عن القاعدة. يساعد ذلك في اكتشاف أي محاولات لاستغلال تعب المصادقة متعددة العوامل من خلال التعرف على أنماط تسجيل الدخول غير العادية أو استخدام الحساب.
• كشف التهديدات باستخدام التعلم الآلي: تستخدم العديد من أنظمة إدارة معلومات الأمان التعلم الآلي لتحديد أنماط الهجوم المعقدة وكشف التهديدات التي قد تفوتها الأنظمة التقليدية المعتمدة على القواعد. يمكن أن تساعد هذه القدرة الفرق الأمنية في اكتشاف ومنع هجمات التعب من المصادقة متعددة العوامل بشكل أكثر فعالية.
• استجابة الحوادث والأتمتة: غالبًا ما تتضمن معظم منصات SIEM المتقدمة قدرات استجابة حوادث منسقة وأتمتة، مما يسمح للفرق الأمنية بالاستجابة بسرعة لهجمات التعب المحتملة من MFA عن طريق عزل الحسابات المتأثرة، وإعادة تعيين بيانات الاعتماد، أو تفعيل إجراءات تصحيحية أخرى.

من خلال استخدام قدرات SIEM وتطبيق ممارسات الأمان الأفضل الأخرى، يمكن للمؤسسات حماية نفسها بفعالية من هجمات تعب MFA والحفاظ على بيئة مصادقة آمنة وقوية.

حماية ضد هجمات الهوية باستخدام Exabeam

يعمل Exabeam Security Analytics ^™ ‎ على نظام SIEM القديم أو بحيرة البيانات (Data Lake) لتحسين دفاعات المؤسسة لمواجهة الهجمات القائمة على بيانات الاعتماد. يُصنف Security Analytics جميع السلوكيات في الجدول الزمني الذكي ^™ ‎ لعرض التاريخ الكامل للحادث، مع عرض تدفقات الأحداث الكاملة (المريبة والعادية) لتحديد الأنشطة وتقييم المخاطر المرتبطة بكل حدث. يوفر Exabeam Security Analytics نظام UEBA مع خاصية الكشف عن التهديدات ومنشئ قواعد الارتباط لتخصيص عمليات الكشف والإشعارات بما يتناسب مع احتياجات مؤسستك.
إذا كنت تبحث عن تنسيق أمني واستجابة آلية بالإضافة إلى UEBA، فإن Exabeam التحقيق الأمني ^™ يضيف محتوى وسير عمل وأتمتة لتوفير إمكانيات الكشف عن التهديدات والتحقيق فيها والاستجابة لها (TDIR) المُركزة على النتائج. وللمساعدة في توحيد أفضل ممارسات TDIR، يتضمن التحقيق الأمني سير عمل مُحددة لبرامج الفدية، والتصيد الاحتيالي، والبرامج الضارة، والمُخترقين، والمُخترقين الخبيثين، بالإضافة إلى محتوى مُعدّ مسبقًا (مثل إطار عمل MITRE ATT&CK) يُركز على أنواع وتقنيات تهديدات مُحددة لتحقيق TDIR أكثر تكرارًا ونجاحًا.