Одним из участников мероприятия стал Андрей Шпаков, руководитель проектов по информационной безопасности Компании «Актив». На конференции он, в частности, подробно рассмотрел методы обхода двухфакторной аутентификации.
Самым эффективным способом обойти любую защиту эксперт назвал социальную инженерию и подчеркнул, что технические средства защиты становятся бессильны, если пользователь сам легитимно аутентифицировался в информационную систему и предоставил злоумышленнику необходимые данные или доступ в ИС.
Также среди методов обхода двухфакторной аутентификации Андрей Шпаков отметил:
- использование прокси-серверов и фишинга;
- применение резервных вариантов входа с менее высоким уровнем защиты;
- атаку через цепочку поставок на производителя системы, в которой есть неизвестные до этого уязвимости нулевого дня.
Как можно защититься и что следует предпринять?
Об этом и не только — в записи эфира AM Live по теме «Применение многофакторной аутентификации в корпоративной среде».