ことわざにあるように、悪意のあるアクターは侵入せず、ログインします。この言葉には重要な真実があります。今日、多くの組織がクレデンシャルフィッシングからスタッフを保護するのに苦労しており、攻撃者が「MFAバイパス」攻撃を実行することが増えるにつれて、この課題はますます深刻化しています。
MFAバイパス攻撃では、脅威アクターはソーシャルエンジニアリングの手法を使用して、被害者を騙して偽のWebサイトにユーザー名とパスワードを提供させます。被害者が「レガシーMFA」(SMS、認証アプリ、プッシュ通知など)を使用している場合、攻撃者は単にMFAコードをリクエストするか、プッシュ通知をトリガーするだけです。2つの情報(ユーザー名とパスワード)を誰かに明かすように説得できれば、3つ(ユーザー名、パスワード、MFAコードまたはアクション)を共有するように操作できる可能性があります。
間違いなく、どのような形式の MFA でも、MFA がないよりはましです。しかし、最近の攻撃は、従来のMFAが現代の脅威に匹敵しないことを明らかにしています。では、組織に何ができるのでしょうか?ケーススタディがその質問に答えてくれる場合があります。
本日、CISA と USDA は、USDA が約 40,000 人のスタッフに FIDO 機能を展開した詳細を説明した ケース スタディ を公開します。ほとんどのスタッフには政府標準のPersonal Identity Verification(PIV)スマートカードが発行されていますが、このテクノロジーは、季節スタッフや除染手順が標準のPIVカードを損傷する可能性のある専門のラボ環境で働く従業員など、すべての従業員に適しているわけではありません。このケーススタディでは、USDAが直面した課題、IDシステムの構築方法、および他の企業への推奨事項について概説しています。私たちの個人的なお気に入りの推奨事項は、「常にパイロットであること」です。
FIDO認証は、すでに使用しているオペレーティングシステム、電話、ブラウザに組み込まれた最新の暗号化技術を使用して、MFAバイパス攻撃に対処します。シングルサインオン(SSO)プロバイダーや人気のあるWebサイトもFIDO認証をサポートしています。
