속담에 있듯이 악의적인 행위자는 침입하지 않고 로그인합니다. 이 말에는 중요한 진실이 담겨 있습니다. 오늘날 많은 조직이 자격 증명 피싱으로부터 직원을 보호하기 위해 고군분투하고 있으며, 공격자가 “MFA 우회” 공격을 점점 더 많이 실행함에 따라 이러한 문제는 더욱 커지고 있습니다.
MFA 우회 공격에서 위협 행위자는 소셜 엔지니어링 기술을 사용하여 피해자가 가짜 웹 사이트에 사용자 이름과 암호를 제공하도록 속입니다. 피해자가 “레거시 MFA”(예: SMS, 인증 앱 또는 푸시 알림)를 사용하는 경우 공격자는 MFA 코드를 요청하거나 푸시 알림을 트리거하기만 하면 됩니다. 누군가 두 가지 정보(사용자 이름 및 비밀번호)를 공개하도록 설득할 수 있다면 세 가지 정보(사용자 이름, 비밀번호, MFA 코드 또는 작업)를 공유하도록 조작할 수 있습니다.
어떤 형태의 MFA든 MFA가 없는 것보다 낫습니다. 그러나 최근의 공격은 레거시 MFA가 최신 위협의 상대가 될 수 없다는 것을 분명하게 보여줍니다. 그렇다면 조직은 무엇을 할 수 있을까요? 때로는 사례 연구가 그 질문에 답할 수 있습니다.
오늘 CISA와 USDA는 약 40,000명의 직원에게 FIDO 기능을 배포한 USDA의 사례를 자세히 설명하는 사례 연구를 발표합니다. 대부분의 직원은 정부 표준 PIV(Personal Identity Verification) 스마트 카드를 발급받았지만, 이 기술은 계절 직원이나 오염 제거 절차로 인해 표준 PIV 카드가 손상될 수 있는 특수 실험실 환경에서 일하는 직원 등 모든 직원에게 적합하지 않습니다. 이 사례 연구는 USDA가 직면한 과제, 신원 확인 시스템 구축 방법 및 다른 기업에 대한 권장 사항을 간략하게 설명합니다. 개인적으로 가장 좋아하는 권장 사항: “항상 조종하라”.
FIDO 인증은 우리가 이미 사용하고 있는 운영 체제, 휴대폰 및 브라우저에 내장된 최신 암호화 기술을 사용하여 MFA 우회 공격을 해결합니다. SSO(Single Sign-On) 공급자 및 인기 있는 웹 사이트도 FIDO 인증을 지원합니다.
