ในโลกที่ดิจิทัลเข้ามามีบทบาทมากขึ้น การนำการตรวจสอบสิทธิ์หลายปัจจัย (MFA) มาใช้เพื่อเพิ่มการปกป้องบัญชีออนไลน์จึงมีความสำคัญมากกว่าที่เคย MFA ช่วยให้บุคคลและองค์กรต่างๆ ปกป้องข้อมูลที่ละเอียดอ่อนของตนจากภัยคุกคามทั่วไป เช่น การฟิชชิ่งและการแอบอ้างข้อมูลประจำตัว อย่างไรก็ตาม แม้แต่ MFA ก็สามารถหลีกเลี่ยงได้ ดังนั้น จึงควรใช้มาตรการเพิ่มเติมเพื่อเสริมความแข็งแกร่งให้กับ MFA
การตรวจสอบสิทธิ์หลายปัจจัย (MFA) คืออะไร?
MFA เป็นมาตรการควบคุมความปลอดภัยที่กำหนดให้ผู้ใช้ต้องระบุปัจจัยยืนยันตัวตนอย่างน้อย 2 รายการก่อนจึงจะได้รับอนุญาตให้เข้าถึงได้ วิธีการแบบแบ่งชั้นนี้ช่วยให้มั่นใจได้ว่าแม้ว่าจะมีปัจจัยหนึ่ง เช่น รหัสผ่าน ถูกบุกรุก ก็จำเป็นต้องมีปัจจัยยืนยันตัวตนเพิ่มเติมก่อนที่ผู้โจมตีจะสามารถ บุกรุก บัญชีได้ การนำ MFA มาใช้ทำให้บุคคลและองค์กรต่างๆ สามารถเสริมความแข็งแกร่งให้กับการป้องกันตนเองจากภัยคุกคามทั่วไป เช่น การฟิชชิ่งและการแอบอ้างข้อมูลประจำตัว ดังนั้นจึงสามารถปกป้องข้อมูลและระบบที่ละเอียดอ่อนของตนจากการเข้าถึงโดยไม่ได้รับอนุญาต
ประเภทของการตรวจสอบสิทธิ์หลายปัจจัย (MFA)
ปัจจัยที่ใช้ใน MFA โดยทั่วไปจะแบ่งประเภทดังนี้: ปัจจัยความรู้ : รหัสผ่านหรือวลีผ่าน ปัจจัยการครอบครอง : รหัสผ่านครั้งเดียว (OTP) ที่ส่งไปยังหมายเลขมือถือที่คุณลงทะเบียนไว้หรือจากโทเค็นทางกายภาพ ปัจจัยการสืบพันธ์ : ข้อมูลไบโอเมตริกซ์ เช่น ลายนิ้วมือหรือการจดจำใบหน้า ปัจจัยตามตำแหน่ง : ตำแหน่งปัจจุบันของคุณหรือเครือข่ายเฉพาะที่คุณเชื่อมต่ออยู่ ปัจจัยตามพฤติกรรม : การจดจำรูปแบบหรือข้อมูลชีวมาตรของพฤติกรรมที่ใช้สร้างโปรไฟล์พื้นฐานเพื่อจดจำพฤติกรรมที่ผิดปกติ จะมีการประเมินปัจจัยต่างๆ ก่อนอนุญาตให้เข้าถึงระบบ รวมถึงความเร็วในการพิมพ์ของผู้ใช้ รูปแบบการใช้งาน เวลาเข้าสู่ระบบทั่วไป และความถี่ในการเข้าถึงทรัพยากรการรวมปัจจัยข้างต้นสองปัจจัยขึ้นไปเข้าด้วยกันจะทำให้สามารถใช้งาน MFA ได้
การโจมตีบายพาส MFA ทั่วไป
อย่างไรก็ตาม การมี MFA อยู่ไม่ได้ทำให้บัญชีของคุณไม่ถูกโจมตี ผู้โจมตีสามารถหลบเลี่ยงการรักษาความปลอดภัยเพิ่มเติมที่ MFA มอบให้ได้โดยใช้การโจมตีทั่วไปดังต่อไปนี้
การโจมตีแบบ Man-in-the-Middle (MiTM)
ผู้โจมตีอาจวางตำแหน่งตัวเองไว้ตรงกลางระหว่างการสื่อสารระหว่างผู้ใช้และแอปพลิเคชันเพื่อขโมยข้อมูลสำคัญ เช่น รหัสผ่านหรือรหัส MFA วิธีการทั่วไปวิธีหนึ่งคืออีเมลฟิชชิ่ง ซึ่งล่อเหยื่อให้เข้าสู่การโจมตี MiTM อีเมลฟิชชิ่งเหล่านี้มักจะนำผู้ใช้เป้าหมายไปที่หน้าเข้าสู่ระบบปลอมที่ได้รับการออกแบบมาอย่างพิถีพิถันเพื่อปลอมแปลงเป็นบริการที่ถูกกฎหมายที่เหยื่อคุ้นเคย เหยื่ออาจโต้ตอบกับหน้าปลอมที่เชื่อมต่อกับผู้โจมตีโดยไม่รู้ว่ามีการหลอกลวง ซึ่งจะทำให้ผู้โจมตีสามารถรวบรวมและส่งต่อข้อมูลประจำตัวของเหยื่อและรหัส MFA ไปยังไซต์ที่ถูกกฎหมาย ทำให้เข้าถึงระบบและข้อมูลโดยไม่ได้รับอนุญาต ในขณะที่เหยื่อเชื่อว่าตนเองเชื่อมต่อกับบริการที่ถูกกฎหมายอย่างปลอดภัย
การใช้เครื่องมือและกรอบงานโอเพ่นซอร์สทำให้การโจมตีประเภทนี้มีประสิทธิผลมากยิ่งขึ้น เครื่องมือเหล่านี้ช่วยปรับกระบวนการให้คล่องตัวขึ้นโดยทำให้ขั้นตอนต่างๆ ของการโจมตีเป็นแบบอัตโนมัติ รวมถึงการร่างข้อความฟิชชิ่ง การวางโครงสร้างพื้นฐานที่จำเป็น และการดึงข้อมูลประจำตัวผู้ใช้และโทเค็นเซสชัน เป็นผลให้แม้แต่ผู้โจมตีที่มีความเชี่ยวชาญด้านเทคนิคจำกัดก็สามารถดำเนินการโจมตี MiTM ที่ซับซ้อนและหลีกเลี่ยงการป้องกัน MFA ได้ ทำให้ความเสี่ยงต่อบุคคลและองค์กรเพิ่มขึ้นอย่างมาก
การโจมตีความเหนื่อยล้าของ MFA
การโจมตีแบบ MFA อ่อนล้าเป็นเทคนิคทางวิศวกรรมสังคมที่ผู้โจมตีใช้ประโยชน์จากจิตวิทยาของมนุษย์มากกว่าช่องโหว่ทางเทคนิคเพื่อหลบเลี่ยง MFA การโจมตีเหล่านี้เริ่มต้นด้วยการที่ผู้โจมตีได้รับข้อมูลรับรองการเข้าสู่ระบบของเหยื่อ โดยมักจะใช้การฟิชชิ่ง วิศวกรรมสังคม หรือการซื้อจากเว็บมืด เมื่อได้ข้อมูลรับรองเหล่านี้แล้ว ผู้โจมตีจะส่งการแจ้งเตือนแบบพุช MFA (ผ่าน SMS ข้อมูลชีวภาพ หรือแอป) ไปยังอุปกรณ์ของเหยื่อซ้ำแล้วซ้ำเล่า เป้าหมายคือการทำให้เหยื่อรู้สึกท่วมท้นด้วยคำขอเหล่านี้อย่างต่อเนื่อง โดยหวังว่าในที่สุดพวกเขาจะอนุมัติคำขอเหล่านี้ด้วยความหงุดหงิด สับสน หรือต้องการเพียงแค่ปิดเสียงการแจ้งเตือน วิธีนี้ทำให้ผู้โจมตีสามารถเข้าถึงบัญชีหรืออุปกรณ์ได้แม้จะมี MFA อยู่ การโจมตีประเภทนี้มักจะใช้ประโยชน์จากความระมัดระวังที่ต่ำของเหยื่อผ่านแรงกดดันและการจัดการที่ไม่ลดละ
การแฮ็กเซสชั่น/การขโมยคุกกี้
การแฮ็กเซสชั่นหรือการขโมยคุกกี้เกิดขึ้นเมื่อผู้โจมตีเข้าถึงเซสชั่นที่ใช้งานของผู้ใช้โดยไม่ได้รับอนุญาต ซึ่งทำได้โดยใช้ประโยชน์จากช่องโหว่ในเวกเตอร์การโจมตีต่างๆ รวมถึงแอปพลิเคชันเว็บ เบราว์เซอร์ เซิร์ฟเวอร์ หรือโครงสร้างพื้นฐานเครือข่าย ผู้โจมตีมุ่งหวังที่จะขโมยคุกกี้เซสชั่นซึ่งเป็นแพ็กเก็ตข้อมูลขนาดเล็กที่ใช้โดยเว็บไซต์เพื่อระบุและรับรองผู้ใช้ คุกกี้เซสชั่นเหล่านี้ใช้เพื่อปรับปรุงคุณภาพชีวิต (QoL) สำหรับผู้ใช้โดยการจัดเก็บข้อมูลที่จะยังคงใช้งานอยู่จนกว่าผู้ใช้จะออกจากระบบ ตัวอย่างของการปรับปรุง QoL คือเมื่อเว็บไซต์จัดเก็บเซสชั่นการเข้าสู่ระบบที่ใช้งานอยู่เพื่อให้ผู้ใช้ไม่จำเป็นต้องเข้าสู่ระบบอีกครั้งจากเครื่องเดิม หากผู้โจมตีขโมยและใช้คุกกี้เซสชั่นนี้สำเร็จ การป้องกัน MFA จะถูกข้ามไป
การขโมยรหัสยืนยัน/โทเค็น
ระบบ MFA ที่ใช้แอพพลิเคชั่นจำนวนมากจะสร้างชุดรหัสยืนยันตัวตนสำรองในกรณีที่ผู้ใช้ลืมรหัสผ่าน เพื่อป้องกันไม่ให้บัญชีถูกล็อก รหัสยืนยันตัวตนเหล่านี้จะถูกสร้างขึ้นเพียงครั้งเดียว และเป็นความรับผิดชอบของผู้ใช้ในการจัดเก็บรหัสเหล่านี้อย่างปลอดภัย หากรหัสเหล่านี้ถูกเก็บไว้ในตำแหน่งที่ไม่ปลอดภัยหรือถูกบุกรุกโดยมัลแวร์ (เช่น Infostealer, Remote Access Trojan เป็นต้น) อาจถูกผู้โจมตีใช้ประโยชน์เพื่อข้าม MFA ความเสี่ยงเดียวกันนี้ใช้ได้กับโทเค็นฮาร์ดแวร์ด้วย ซึ่งหากสูญหายหรือจัดเก็บอย่างไม่ปลอดภัย โทเค็นอาจถูกขโมยและนำไปใช้เพื่อข้าม MFA ได้
วิธีลดการโจมตี MFA Bypass
กลยุทธ์การป้องกันแบบหลายชั้นมีความสำคัญอย่างยิ่งในการรับมือกับการโจมตีแบบ MFA ได้อย่างมีประสิทธิภาพ ซึ่งเกี่ยวข้องกับการผสมผสานระหว่างการควบคุมทางเทคนิค การให้ความรู้แก่ผู้ใช้ และมาตรการรักษาความปลอดภัยเชิงรุก มาตรการเหล่านี้สามารถนำไปปฏิบัติได้ในระดับบุคคลหรือองค์กร และมีรายละเอียดเพิ่มเติมดังต่อไปนี้
สำหรับบุคคลและองค์กร
MFA ป้องกันการฟิชชิ่ง
MFA ที่ต้านทานการฟิชชิ่งช่วยป้องกันการโจมตีด้วยการเลี่ยงผ่าน MFA โดยใช้การเข้ารหัสด้วยคีย์สาธารณะเพื่อยืนยันตัวตนของผู้ใช้และความถูกต้องตามกฎหมายของเว็บไซต์หรือแอปพลิเคชัน ซึ่งจะช่วยขจัดช่องโหว่ของวิธีการ MFA แบบดั้งเดิม เช่น รหัสครั้งเดียวและการแจ้งเตือนแบบพุช วิธีนี้ซึ่งแสดงให้เห็นผ่านการใช้คีย์ความปลอดภัยและรหัสผ่าน Fast IDentity Online 2 (FIDO2) ทำให้ผู้โจมตีหลีกเลี่ยง MFA ผ่านการฟิชชิ่งได้ยากขึ้นอย่างมาก ทำให้ป้องกันการโจมตีบัญชีและการละเมิดข้อมูลได้ดีขึ้น ด้วยการลบการพึ่งพาความลับที่ใช้ร่วมกัน MFA ที่ต้านทานการฟิชชิ่งจึงมอบประสบการณ์การตรวจสอบสิทธิ์ที่ปลอดภัยและเป็นมิตรต่อผู้ใช้มากขึ้น โดยเฉพาะสำหรับผู้ที่มีความต้องการด้านความปลอดภัยสูงหรือต้องจัดการกับข้อมูลที่ละเอียดอ่อน
ใช้การตรวจสอบความถูกต้องที่เข้มงวดยิ่งขึ้น
ควรเลือกวิธีการตรวจสอบสิทธิ์ที่เข้มงวดยิ่งขึ้น เช่น โทเค็นฮาร์ดแวร์หรือข้อมูลชีวภาพ มากกว่ารหัส SMS หรืออีเมล หากเป็นไปได้ วิธีดังกล่าวจะเพิ่มความซับซ้อนให้กับผู้โจมตี เนื่องจากจะเปลี่ยนโฟกัสจากสิ่งที่ผู้ใช้รู้ไปที่สิ่งที่ผู้ใช้มี นอกจากนี้ การตรวจสอบสิทธิ์ตามแอปพลิเคชันสามารถรวมถึงตำแหน่งและข้อมูลอุปกรณ์ ซึ่งทำให้ผู้ใช้ได้รับการแจ้งเตือนถึงความพยายามเข้าสู่ระบบที่ไม่ถูกต้อง ในทางกลับกัน การตรวจสอบสิทธิ์ตาม OTP ผ่านทาง SMS หรืออีเมลอาจถูกดักจับหรือเปลี่ยนเส้นทางผ่านฟิชชิ่งหรือการโจมตีทางวิศวกรรมสังคม นอกจากนี้ วิธี MFA ดั้งเดิมอื่นๆ เช่น คำถามด้านความปลอดภัย สามารถเดาหรือได้รับผ่านกลวิธีที่คล้ายคลึงกัน
สำหรับหน่วยงาน การจำกัดอัตรา
การจำกัดอัตราเป็นมาตรการรักษาความปลอดภัยที่มีประสิทธิภาพในการต่อต้านการโจมตี MFA เช่น การโจมตีแบบ Fatigue Attack โดยการควบคุมจำนวนครั้งในการพิสูจน์ตัวตนที่ผู้ใช้สามารถทำได้ภายในกรอบเวลาที่กำหนด การจำกัดอัตราอาจช่วยต่อต้านการโจมตีแบบ Fatigue Attack อัตโนมัติของ MFA ได้ การนำการจำกัดอัตรามาใช้ยังช่วยให้นักวิเคราะห์ระบุกิจกรรมที่น่าสงสัยได้ เช่น จำนวนครั้งในการพยายามเข้าสู่ระบบที่สูงผิดปกติจนเกือบถึงเกณฑ์ที่กำหนด
การฝึกอบรมผู้ใช้งาน
การให้ความรู้แก่ผู้ใช้ถือเป็นสิ่งสำคัญในการป้องกันการโจมตี MFA bypass โดยเริ่มจากการสร้างความตระหนักรู้เกี่ยวกับกลวิธีต่างๆ ที่ผู้โจมตีใช้ในการหลอกล่อเหยื่อให้เปิดเผยรหัส MFA หรือข้อมูลประจำตัว ผู้ใช้ควรได้รับการฝึกอบรมเกี่ยวกับแนวทางปฏิบัติที่ดีที่สุดในการจัดการโทเค็น MFA ซึ่งรวมถึงการรักษาความปลอดภัยของอุปกรณ์และรายงานโทเค็นที่สูญหายหรือถูกขโมยทันที การสร้างโปรโตคอลที่ชัดเจนช่วยให้ผู้ใช้ทราบว่าเมื่อใดและอย่างไรจึงจะรายงานภัยคุกคามที่อาจเกิดขึ้นได้ การฝึกอบรมเป็นประจำและการจำลองการฟิชชิ่งสามารถเสริมสร้างบทเรียนเหล่านี้ได้ ซึ่งช่วยให้มั่นใจได้ว่าการตระหนักรู้ด้านความปลอดภัยยังคงมีความสำคัญ
การบันทึกและติดตามความพยายามที่น่าสงสัย
การบันทึกข้อมูลอย่างครอบคลุมมีความจำเป็นสำหรับการตรวจจับและวิเคราะห์พฤติกรรมหรือกิจกรรมที่น่าสงสัย การบันทึกข้อมูลต่างๆ ช่วยให้องค์กรสามารถดูความพยายามตรวจสอบสิทธิ์เพื่อวิเคราะห์ได้จากส่วนกลาง ฟิลด์ต่างๆ เช่น ชื่อผู้ใช้ ที่อยู่ IP ข้อมูลอุปกรณ์ และข้อมูลตำแหน่งทางภูมิศาสตร์เป็นจุดข้อมูลสำคัญที่ต้องบันทึก การตรวจสอบบันทึกเหล่านี้เทียบกับชุดกฎที่กำหนดไว้ล่วงหน้าในเครื่องมือตรวจสอบเหตุการณ์และเหตุการณ์ด้านความปลอดภัย (SIEM) แบบรวมศูนย์สามารถแจ้งเตือนนักวิเคราะห์เกี่ยวกับการโจมตีแบบ MFA ที่อาจเกิดขึ้น เช่น จำนวนครั้งในการเข้าสู่ระบบที่สูงผิดปกติหรือคำขอ MFA หลายครั้งภายในกรอบเวลาสั้นๆ จากสถานที่ต่างๆ ทั่วโลก นอกจากนี้ ยังสามารถสรุปแนวโน้มจากบันทึกเพื่อช่วยระบุพฤติกรรมที่ผิดปกติได้
บทสรุป
การตรวจสอบสิทธิ์หลายปัจจัย (MFA)ถือเป็นการควบคุมความปลอดภัยที่สำคัญ แต่ก็ไม่ใช่ว่าจะสมบูรณ์แบบเสมอไป อย่างไรก็ตาม การมีชั้นการป้องกันเพิ่มเติม เช่น MFA ก็ยังดีกว่าไม่นำมาใช้เลย การใช้กลยุทธ์การป้องกันหลายชั้นที่ผสมผสานการควบคุมทางเทคนิค การให้ความรู้แก่ผู้ใช้ และมาตรการรักษาความปลอดภัยเชิงรุก จะช่วยให้บุคคลและองค์กรต่างๆ ลดความเสี่ยงจากการโจมตีแบบ MFA ได้อย่างมาก
อ้างอิง
https://www.csa.gov.sg/alerts-advisories/Advisories/2024/ad-2024-020
สามารถติดตามข่าวสารได้ที่ webboard หรือ Facebook NCSA Thailand 59dc55dc-8721-4221-8a7a-429750cc3be2-image.png