Autenticación de component cero: poseer nuestros datos



¿Está haciendo las preguntas correctas para determinar qué tan bien sus proveedores protegerán sus datos? Probablemente no.

Supongamos que es propietario de una pequeña empresa y desea obtener un servicio de nómina para ayudarlo con la retención de impuestos y depósitos automáticos en las cuentas de sus empleados. Es un servicio muy útil y poderoso: le está dando a un tercero el derecho de retirar fondos de su cuenta bancaria y enviarlos a otros.

Al cambiar a seguridad, buscaría una compañía de nómina que admita la autenticación multifactor (MFA) basada en una aplicación de contraseña de un solo uso (TOTP) basada en el tiempo, sabiendo que el inicio de sesión en dos pasos basado en SMS es efectivo (en el palabras de Allison Nixon y Mark D. Rasch en la Unidad 221B Investigation) autenticación de issue cero.

El problema es que, hace aproximadamente tres semanas, ninguna de las principales compañías de nómina en línea ofrecía esta función. Si le pregunta a esas compañías, le dirán que ofrecen inicio de sesión en dos pasos basado en SMS y luego le asegurarán que se toman en serio la seguridad.

Encontré una empresa que admite MFA basada en aplicaciones: la llamaré Payroll Organization B. PCB no es una empresa de nómina tanto como un organización profesional de empleadores, pero aún así, hace nómina, por el doble del precio de los otros que acabo de mencionar.

De todos modos, te registras. Y después de pasar por la rigamarole para que la aplicación TOTP funcione, si está atento, puede descubrir una puerta trasera cutre: si olvidara el entrance-conclusion world-wide-web,llamada Número de soporte gratuito de PCB, y dígale a la compañía que necesita hacer un cambio de cuenta, todo el régimen de autenticación se desmorona con estas temidas palabras:

«Por razones de seguridad, dígame su nombre completo y los últimos cuatro dígitos de su número de Seguro Social».

Sí, verifica su identidad solicitándole información pública. Una vez proporcionado, no se requiere más autenticación, y puede solicitar un cambio de contraseña, o la eliminación de MFA basado en TOTP, o, presumiblemente, enviar el cheque de pago de Bob a Alice. Estas en.

Y eres root porque ha verificado tu identidad. Después de todo, ¿quién más podría saber su nombre completo y los últimos cuatro dígitos de su número de Seguro Social?

¿Quién de hecho?

Sin la instalación, por ejemplo, de una capacidad de autentificación basada en voz telefónica y multifactor, adecuada y segura, estas compañías tienen que improvisar métodos para hackear una historia de seguridad para ofrecer a los clientes conscientes de la seguridad. Después de descubrir su evidente vulnerabilidad de restablecimiento de contraseña, hablé con un útil supervisor de PCB y le pedí que deshabilitara la asistencia telefónica. Él alegremente (y genuinamente) prometió hacerlo, diciendo que puso una nota en mi cuenta. Esperé dos semanas, devolví la llamada, autenticándome con un representante diferente usando solo mi nombre y los últimos cuatro dígitos de mi SSN, luego le pedí al representante que cerrara mi cuenta. En caso de que la empresa no solucionara el problema, se convirtió en mentirosos del personal de soporte dedicado y creativo.

Olvídate de la política de contraseña. Cual es tu contraseña Reiniciar ¿Política?
Esta vulnerabilidad es tan obvia que no puedo creer que necesite decir esto, pero también plantea un problema importante que mis colegas en el mundo de los servicios financieros no abordan relativamente: cuando incorporamos y calificamos las políticas de seguridad del proveedor, ¿Estamos haciendo las preguntas correctas?

¿O les enviamos una hoja de cálculo de 120 preguntas que contiene muchas preguntas sobre las reglas de firewall y antivirus? Como un amigo que es un líder de seguridad de servicios financieros de alto rango me dijo el otro día: «Oh, eso no sucede. Nunca he enviado una hoja de cálculo así en la última semana …»

Este no es un tema teórico. Recientemente, hubo un ataque que funcionó así: los atacantes intervinieron en un operador de telefonía móvil nacional e intercambiaron SIM los teléfonos de algunas personas en una industria específica. Luego usaron los números móviles pirateados para llamar a una empresa que se especializa en servicios subcontratados para esa industria, afirmaron ser empleados intercambiados por SIM y solicitaron, verbalmente, restablecimiento de contraseña. Eso funcionó, ya que habría funcionado en PCB.

Este fue un ataque contra un tercero que, para muchas empresas, habría omitido por completo el command de seguridad que tienen para defender sus activos. El teléfono fue cambiado por el operador, y el restablecimiento de la contraseña se realizó a un tercero, que también configuró las transacciones fraudulentas cuando los delincuentes iniciaron sesión en ese servicio. Las empresas que no fueron víctimas de esta última fase fueron aquellas que detectaron anomalías en las transacciones lo suficientemente rápido como para entender que la transacción period extraña.

¿Lo habría captado tu empresa? Más importante aún, ¿el proceso de adquisición de su proveedor y la incorporación habrían formulado la pregunta «¿Permiten restablecimientos de contraseña mediante una llamada de voz?»

Muchas compañías no hacen la pregunta. Hablé con colegas de nombres conocidos en el espacio de servicios financieros, y muchas empresas están luchando por ponerse al día.

Lo que está claro es que todos confiamos más en las empresas basadas en la nube, si no exclusivamente, para manejar esas partes del negocio que buscamos externalizar. Al mirar los cuestionarios estándar, veo que faltan muchos tipos de preguntas.

Por ejemplo, en lugar de hacer muchas preguntas sobre el antivirus de punto ultimate o si las instalaciones del proveedor se encuentran en una ubicación con poco o ningún riesgo de desastres naturales, terrorismo o disturbios civiles, podría ser bueno preguntar si el proveedor tiene producción y no producción por separado entornos, o cómo sus administradores y desarrolladores acceden a los entornos, o cómo se realizan los restablecimientos de contraseña del cliente.

En otras palabras, debemos hacer preguntas diseñadas para comprender las formas en que alguien podría subvertir el régimen de autenticación y management de acceso del proveedor.

Seré hablando de algunas de estas cosas en la Conferencia RSA 2020 en San Francisco el 26 de febrero. Espero que dejen comentarios aquí y conversen conmigo allí.

Contenido relacionado:

Nick Selby es el Director de Seguridad de Paxos Believe in Organization, que crea una infraestructura contemporánea para respaldar la liquidación de transacciones financieras institucionales a nivel mundial. Antes de Paxos, Nick se desempeñó como Director de Ciber Inteligencia e Investigaciones … Ver biografía completa

Más tips





Enlace a la noticia unique