Die Implementierung der Zwei-Faktor-Authentifizierung (MFA oder 2FA) ist mittlerweile für jedes IT-System eine Selbstverständlichkeit. Ein häufiger Fehler besteht jedoch darin, zu glauben, dass alle MFA-Methoden gleich seien. Während das Senden eines 6-stelligen Codes per SMS für ein Verbraucherkonto tolerierbar ist, gilt diese Methode als gefährlich und veraltet, wenn es um den Schutz des Zugriffs auf ein Security Operations Center (SOC) geht.
Um die Integrität der Plattform zu gewährleisten, die die Reaktion auf Vorfälle für Dutzende von Unternehmen orchestriert, sind Offline-Kryptografieprotokolle der einzig gangbare Weg. Lassen Sie uns die tödlichen Mängel der SMS-Authentifizierung entschlüsseln und warum der Standard so istTOTP (zeitbasiertes Einmalpasswort)ist die Sicherheitsgrundlage des Akuity-Orchestrators.
Die drei fatalen Mängel der SMS-Authentifizierung
Seit mehreren Jahren raten Cybersicherheitsbehörden (einschließlich NIST) dringend davon ab, SMS zur Sicherung kritischer Zugriffe zu verwenden. Die Zustellung einer Textnachricht ist auf Telekommunikationsnetze angewiesen, bei deren Entwicklung die Sicherheit nicht oberste Priorität hat.
- SIM-Tausch:Dies ist der häufigste Angriff. Ein Hacker ruft den Telefonisten des SOC-Analysten an, gibt sich mit einigen persönlichen Daten als dieser aus (Social Engineering) und meldet den Verlust seiner SIM-Karte. Der Betreiber überträgt die Telefonnummer auf eine neue, vom Hacker kontrollierte SIM-Karte. Von da an erhält der Hacker alle MFA-Codes per SMS und nicht mehr der Analyst.
- Der SS7-Abfang:Das Signaling System 7 (SS7)-Protokoll, das von globalen Netzbetreibern zum Weiterleiten von Anrufen und Textnachrichten verwendet wird, weist zahlreiche Schwachstellen auf. Staatliche Angreifer oder hochorganisierte Cyberkriminalitätsgruppen können SMS-Nachrichten, die über das Netzwerk übertragen werden, stillschweigend abfangen, ohne jemals das Telefon des Opfers zu berühren.
- Automatisiertes Phishing:Im Gegensatz zu einem herkömmlichen Passwort hat der SMS-Code eine Lebensdauer. Hacker haben daher gefälschte Verbindungsportale (Phishing) erstellt, die nach dem Passwort fragen und dann sofort eine gefälschte Seite anzeigen, auf der nach dem SMS-Code gefragt wird. Der Benutzer gibt es ein und der Hacker verwendet es in Echtzeit auf der realen Website wieder.
Die kryptografische Überlegenheit von TOTP
Um diese Angriffsvektoren zu eliminieren, bietet die PlattformAkuity SOClehnt die Verwendung von SMS kategorisch ab und verlangt eine AnmeldungTOTP (zeitbasiertes Einmalpasswort)um das AAL2-Sicherheitsniveau seiner Analysten zu validieren.
Wie funktioniert TOTP?
Das TOTP-Protokoll basiert auf seriösen Authentifizierungsanwendungen von Drittanbietern, wie zGoogle Authenticator,Microsoft AuthenticatorOderAuthy.
Wenn der Analyst zum ersten Mal eine Verbindung zu Akuity herstellt, wechselt er zur Registerkarte „Sicherheitseinstellungen“ (verwaltet von der Komponente).SecuritySettingsForm.tsx). Der Server generiert für diesen Benutzer einen einzigartigen geheimen kryptografischen Schlüssel (Seed) und zeigt ihn in Form eines QR-Codes an.
Wenn der Analyst diesen QR-Code scannt, wird der geheime Schlüssel physisch im Sicherheitschip seines Smartphones gespeichert. Von da an teilen das Smartphone und der Supabase-Server von Akuity dieses Geheimnis.
Der Offline-Vorteil
Bei jedem Verbindungsversuch verwendet die Smartphone-Anwendung den geheimen Schlüssel und die aktuelle Uhrzeit (daher der Name).Zeitbasiert), um eine mathematische Formel zu berechnen, die einen 6-stelligen Code ergibt, der 30 Sekunden lang gültig ist.
Der immense Vorteil dieser Methode besteht darin, dass keine Daten über das Netzwerk übertragen werden.Das Smartphone benötigt zur Generierung des Codes keine SIM-Karte, kein WLAN-Netzwerk oder Mobilfunknetz. Dadurch müssen keine SMS mehr abgefangen werden und der SIM-Swapping ist völlig funktionslos.
Rückverfolgbarkeit und staatliche Governance MFA
Die Robustheit eines Systems wird auch an seiner Governance-Fähigkeit gemessen. Was passiert, wenn ein Analyst beschließt, seine MFA zu deaktivieren?
Im Akuity SOC wird der Status der Multi-Faktor-Authentifizierung von der Datenbank streng überwacht.
- Sofortige Herabstufung:Wenn ein Benutzer seine MFA (Funktion) deaktiviert
unenrollMFA), wird sein Sitzungscookie sofort auf die Sicherheitsstufe AAL1 herabgestuft. Er verliert sofort jeglichen Zugriff auf das operative Cockpit. - Der Sicherheits-SQL-Trigger:Ein Trigger in der Datenbank erkennt das Löschen des TOTP-Faktors und schaltet die Spalte um
mfa_enabledhatfalsein der Profiltabelle. Workspace-Administratoren erkennen sofort, dass ein Konto nicht mehr sicher ist. - Das SOC 2-Audit-Protokoll:Durch das Aktivieren und Deaktivieren von MFA werden zuordenbare Protokolle generiert (
MFAENROLLINITIATED,MFA_ENABLED). Sollte es einem Angreifer irgendwie gelingen, die Sicherheit zu umgehen und MFA zu deaktivieren, würde diese Aktion sofort eine kritische Warnung auslösen.
Fazit: Verschließen Sie die Haustür
Ihre Incident-Response-Plattform (SOAR) ist der Schlüssel zu Ihrer Microsoft-Infrastruktur und der Ihrer Kunden. Vertrauen Sie den Schutz dieses Safes nicht einer anfälligen SMS an, die von Telekommunikationsbetreibern im Klartext gesendet wird. Die Einführung des TOTP-Standards ist der einzige Schutz, der garantiert, dass die Person, die die Isolierung eines Servers anordnet, tatsächlich der autorisierte Analyst ist, der vor seinem Bildschirm sitzt.
Verbessern Sie den Zugriff für Ihr Sicherheitsteam.> Entdecken Sie, wie das Modul funktioniertAkuity SOC MFA- und TOTP-Managementwendet die höchsten Authentifizierungsstandards an.