הם לא שברו את ה- MFA. הם פשוט עקפו אותו

במתקפות האישורים הבולטות של השנה האחרונה, המונח "פריצה" כמעט מטעה. לא נוצלה חולשה חדשה בקוד, לא הופעלה נוזקה מתוחכמת ולא נשבר שום מנגנון הצפנה. פושעי הסייבר פשוט התחברו, עם שמות משתמש וסיסמאות אמיתיים. אחת התובנות המטרידות ביותר היא שגם חשבונות שהיו מוגנים באימות דו-שלבי (MFA) נפרצו. במבט ראשון זו סתירה: הרי בדיוק בשביל זה נועד ה- MFA. אלא שהתוקפים לא שברו את מנגנון האימות, הם פשוט לא נתקלו בו כלל. הם עקפו אותו דרך דלת אחורית ישנה שנשארה פתוחה.

הנתיב שבו נעשה שימוש הוא ROPC (Resource Owner Password Credentials) – פרוטוקול הרשאה ישן שעדיין נותר פעיל בסביבות רבות ושאליו ניגשו פושעי הסייבר דרך כלי לגיטימי לניהול הענן (Azure CLI). במקום לעבור בזרימת ההתחברות המודרנית, שבה נדרש שלב אימות נוסף, ה- ROPC מאפשר להעביר את שם המשתמש והסיסמה ישירות לצורך קבלת גישה. אין חלון קופץ, אין הודעת אישור בטלפון, אין שלב שני. אם הסיסמה נכונה, מונפק אסימון גישה. בפועל, כל חשבון שסיסמתו דלפה או מוחזרה משימוש קודם היה חשוף, ללא קשר לשאלה אם הופעל עליו MFA.

סדר הגודל ממחיש את הבעיה: מדובר בכ- 81 מיליון ניסיונות התחברות כושלים, שסרקו באופן שיטתי צירופי שם משתמש וסיסמה מרשימות שדלפו בעבר. כל אישור גישה שדלף אינו "בעיה של פעם" – הוא תחמושת חיה כל עוד לא הוחלף. עצם הכישלון של רוב הניסיונות אינו נחמה: די בשבריר אחוז של סיסמאות תקפות כדי להשיג דריסת רגל – ואכן, לפחות 78 חשבונות ב- 64 ארגונים נפרצו בפועל. וכשההסלמה הגיעה (ב- 22 ביוני), האבטחה הקונבנציונלית כבר לא הספיקה כדי לעצור אותה.

איפה נשבר התהליך

כאן טמון הלקח האמיתי לארגונים בישראל. ההנחה הרווחת היא ש"יש לנו MFA" שקולה ל"אנחנו מכוסים". בפועל, קיום של MFA אינו זהה ל- MFA שמכסה כל נתיב גישה. כאשר פרוטוקולי אימות ישנים (Legacy Authentication) נותרים פעילים, כאשר ROPC פתוח, כאשר מדיניות הגישה המותנית (Conditional Access) מוגדרת במצב דיווח בלבד ולא באכיפה וכאשר ה- MFA אינו חל על כלל המשתמשים, היישומים וסוגי הלקוח – נוצרים פערים שדרכם התוקף פשוט הולך מסביב להגנה. תחושת הביטחון המדומה הזו היא החשיפה האמיתית. הזהות הפכה לפרימטר החדש ופושעי הסייבר הבינו זאת לפני חלק מהאנשים האמונים על הגנת המידע.

המשמעות העסקית

המשמעות ישירה: חשבון שנפרץ דרך נתיב עוקף אינו מייצר התרעה חריגה בעיני המשתמש ולעיתים גם לא בעיני מערך ההגנה, אם אינו מנוטר נכון. ארגון עלול לגלות בדיעבד שגורם חיצוני החזיק גישה לגיטימית למערכות ליבה במשך תקופה ארוכה, מבלי שהופעלה אף התרעה. מכאן קצרה הדרך לגישה למידע רגיש, לתנועה רוחבית ברשת ולפגיעה במוניטין וברגולציה. הנזק אינו טמון בשבירת ההצפנה או ב"פריצה מתוחכמת", אלא בדלת שנשכחה פתוחה שנים.

איך סוגרים את הפער

מנקודת המבט של 010, המענה אינו מוצר MFA בודד אלא שכבות משלימות שסוגרות בדיוק את הפערים הללו. שירות סקר סיכונים נועד לחשוף את החולשות שהתקיפה הזו ניצלה: אימות ישן שעדיין פעיל, ROPC פתוח, MFA שאינו מכסה את כל המשתמשים והיישומים ומדיניות Conditional Access שנותרה במצב דיווח במקום אכיפה. זהו בדיוק סוג הפער שקשה לראות מבפנים בלי בחינה שיטתית.

במקביל, שירות SIEM/SOC מאפשר לזהות את מה שהקונפיגורציה לבדה מפספסת: את מיליוני ניסיונות ההתחברות הכושלים, הנפקת אסימונים חריגה וההסלמה בזמן אמת. הגדרה נכונה איננה תחליף לניטור, ושתי השכבות יחד הן שמצמצמות את חלון החשיפה.

שירות מודיעין סייבר משלים את התמונה בכך שהוא מאפשר לדעת מראש אילו מאישורי הגישה של הארגון כבר מופיעים ברשימות הסיסמאות שדלפו, כדי להחליף אותם לפני שהם מנוצלים. לבסוף, השורש האנושי – סיסמאות שמוחזרות משימוש או שלא הוחלפו מעולם – מטופל דרך שירות מודעות עובדים לסייבר.

השורה התחתונה: אל תשאלו רק "האם יש לנו MFA", אלא "האם ה- MFA שלנו מכסה כל נתיב וכל נתיב עוקף כבר נסגר". כשהתוקף נכנס עם המפתח הנכון, ההפרש בין משתמש אמיתי לתוקף אינו טכני – הוא התנהגותי. והתשובה לשאלה השנייה היא שקובעת אם אתם באמת מוגנים.

למקור הידיעה ולקריאה נוספת לחצו כאן

יש לכם MFA? זה לא אומר שאתם מכוסים
דילוג לתוכן