Veel security-incidenten houden verband met multi-factor authenticatie

Om de onderliggende redenen van de belangrijkste security zwakheden te begrijpen, heeft het onderzoeksteam van Cisco Duo een dataset van push-aanvallen geanalyseerd. Hierbij zijn verschillende parameters onderzocht, waaronder het percentage geaccepteerde MFA-pushmeldingen, het aantal pushverzoeken dat een gebruiker ontving, de piekuren van de aanvallen en de tijdsintervallen tussen opeenvolgende pushpogingen. Daarnaast werden de methoden die aanvallers gebruiken om MFA te omzeilen of via social engineering toegang te krijgen, onder de loep genomen.

MFA vermindert effectiviteit aanvallen

Volgens Cisco Duo is er de afgelopen jaren veel vooruitgang geboekt door organisaties bij de implementatie van MFA. MFA heeft significant bijgedragen aan het verminderen van de effectiviteit van traditionele aanvallen zoals credential stuffing en password spraying door een extra beveiligingslaag toe te voegen. Dit is een belangrijke reden waarom cybercriminelen zich nu zo sterk richten op MFA – het vormt een aanzienlijke barrière voor hun doelen.

Echter, is MFA geen wondermiddel. De huidige problemen zijn voornamelijk te wijten aan de creativiteit van cybercriminelen om MFA te omzeilen en aan gebrekkige implementatie van de oplossing. Dit omvat bijvoorbeeld het niet installeren van MFA op openbare applicaties of door het gebruik van end-of-life software. Er zijn ook legitieme gevallen waarin MFA niet kan worden geïmplementeerd, waarvoor dan een robuust toegangsbeleid moet worden opgesteld.

Meest voorkomende tactieken

De meest voorkomende pogingen om MFA te omzeilen zijn volgens de onderzoekers MFA-pushaanvallen. Hierbij verkrijgen cybercriminelen toegang tot het wachtwoord en sturen ze herhaaldelijk pushmeldingen naar het MFA-apparaat van de gebruiker, in de hoop dat deze uiteindelijk wordt geaccepteerd. Uit een dataset van 15.000 geregistreerde push-aanvallen (van juni 2023 tot mei 2024) blijkt dat 5% van de verzonden push-aanvallen door gebruikers werd geaccepteerd.

Naast push-aanvallen hebben de onderzoekers ook andere creatieve manieren waargenomen waarop cybercriminelen MFA omzeilen. Deze methoden omvatten het gebruik van gestolen authenticatietokens, social engineering van de IT-afdeling om nieuwe MFA-apparaten toe te voegen, het infiltreren van freelancers om hun telefoonnummer te wijzigen, het verkrijgen van admin-rechten door het binnendringen in een enkel endpoint en het deactiveren van MFA-software, evenals het overtuigen van medewerkers om op frauduleuze MFA-pushmeldingen te klikken.

"Het is goed dat organisaties MFA gebruiken, maar dan moeten ze het wel op de juiste manier implementeren," benadrukt Jan Heijdra, Field CTO Security bij Cisco Nederland. Hij vervolgt: "Zorg ervoor dat nummer-matching is ingeschakeld in MFA-applicaties zoals Cisco Duo, rol MFA uit voor alle kritieke diensten, inclusief remote access en identiteits- en toegangsbeheer (IAM), en stel meldingen in voor single-factor authenticatie om potentiële kwetsbaarheden snel te identificeren. Het is daarnaast essentieel medewerkers te trainen in het herkennen van social engineering en om bewustzijn te creëren rondom MFA-aanvallen. Daarnaast moeten organisaties een toegangsbeleid definiëren voor systemen waar MFA niet kan worden toegepast."