Apple нужно исправить аутентификацию администраторов в Apple Business Manager — ИИ для бизнеса

Apple нужно исправить аутентификацию администраторов в Apple Business Manager

Прослушать статью

Администраторы Apple Business Manager защищают тысячи устройств, но по-прежнему не могут использовать федеративную аутентификацию.

Автор: Apple

Платформы Apple по своей архитектуре безопасны, но когда речь заходит об аутентификации, компания, похоже, защищает своих сотрудников лучше, чем IT-администраторов. Это вектор атаки, который только и ждет, чтобы его использовали — если его уже не использовали.

Как впервые отметил Six Colors, проблема в том, что учетные записи администраторов и People Manager в Apple Business Manager (ABM) не могут входить с использованием федеративной аутентификации, хотя именно они управляют процессом федерации для всех остальных.

Каковы последствия?

На практике это означает, что при прохождении аутентификации администраторам приходится использовать нефедеративный вход в Apple Account с двухфакторной аутентификацией Apple — обычно через доверенное устройство или доверенный номер телефона с SMS/голосовым кодом. Это странно: ключевые учетные записи, которые управляют защитой иногда для тысяч устройств, по-прежнему защищены только шестизначным SMS-кодом, отправляемым на указанный номер телефона. Мы знаем, что SMS-аутентификация рискованна, и есть три хорошо известных пути атаки:

  • SIM swapping — когда злоумышленник связывается с оператором сотовой связи, выдавая себя за вас, и убеждает перевести ваш номер на SIM-карту под его контролем. После этого все SMS-коды будут приходить ему.
  • Phishing — например, поддельная страница входа, которая работает как обычно, но перехватывает ваш SMS-код после ввода, захватывает его и сразу же использует для атаки на ваш настоящий аккаунт.
  • Interception — когда продвинутые, обычно близкие к государственным, атакующие используют известные уязвимости SMS, чтобы перехватывать сообщения в пути.

Хотя для большинства небольших и средних компаний третья угроза, вероятно, не является первоочередной, а от второй можно частично защититься, если никогда не переходить по ссылкам из письма для доступа к важным учетным записям, первый сценарий вполне по силам целеустремленным атакующим.

Еще видео

0 seconds of 9 minutes, 31 seconds Volume 0%

Press shift question mark to access a list of keyboard shortcuts

Keyboard Shortcuts Enabled Disabled

Shortcuts Open/Close/ or ?

Fullscreen/Exit Fullscreen f

Decrease Caption Size-

Increase Caption Size+ or =

Off Automated Captions — en-US

White Black Red Green Blue Yellow Magenta Cyan

200%175%150%125%100%75%50%

Arial Courier Georgia Impact Lucida Console Tahoma Times New Roman Trebuchet MS Verdana

None Raised Depressed Uniform Drop Shadow

White Black Red Green Blue Yellow Magenta Cyan

White Black Red Green Blue Yellow Magenta Cyan

White Black Red Green Blue Yellow Magenta Cyan

Auto 270p 1080p 720p 406p 270p 180p

Дырка в ведре

Последствия успешной атаки могут быть серьезными. Получив доступ к скомпрометированной учетной записи ABM, злоумышленник может переназначить зарегистрированные устройства на MDM-сервер, который он контролирует, стереть устройства или отправить на них вредоносные приложения, профили или конфигурации. Эти последствия, мягко говоря, нежелательны.

Я уверен, что Apple об этом подумала. В конце концов, компания внедрила целый набор средств защиты для всех своих устройств, включая управляемые устройства. Но в этом случае она оставила систему немного более открытой, чем следовало бы. Эта слабость особенно критична, потому что система Apple допускает лишь небольшое число администраторов для каждой конфигурации ABM, независимо от размера компании.

В результате атакующий может проникнуть в компанию с, возможно, десятками тысяч пользователей, просто определив пять имен для нацеливания на них с помощью любого или всех описанных выше методов атаки. Apple не нужно оставлять эту дыру в своем ведре безопасности.

Что можно сделать, чтобы улучшить защиту?

Есть несколько простых шагов, если вы пытаетесь защитить свой бизнес, используя текущую систему Apple:

  • Лучшей практикой, похоже, является использование администраторами отдельного номера телефона, который применяется только для работы с ABM и больше ни для чего.
  • На этом номере должна быть включена защита от SIM swapping. Возможно, это можно настроить, позвонив оператору связи и попросив применить такую защиту к учетной записи.
  • Количество активных учетных записей администраторов следует свести к минимуму, чтобы сузить поверхность атаки.

Что Apple может сделать лучше?

Apple нужно изменить подход. И это не должно быть чудовищно сложно: большинство таких мер уже реализовано в других частях экосистемы компании. Вот несколько предложений:

  • Расширить поддержку authenticator для учетных записей администраторов ABM.
  • Добавить Passkeys для учетных записей администраторов.
  • Реализовать поддержку FIDO2, чтобы администраторы при желании могли использовать аппаратные ключи безопасности для аутентификации.
  • Добавить меры вроде conditional access, чтобы входы из неожиданных мест не принимались.
  • Добавить поддержку Sign in with Apple, используя биометрические данные на конкретном устройстве как второй фактор.

Все эти средства защиты уже доступны в экосистеме Apple; Apple нужно лишь направить немного средств R&D на внедрение тех же механизмов в Apple Business Manager. Судя по тому, что я вижу, сообщество администраторов Apple пришло бы в восторг, если бы компания так и сделала. Думаю, команда Apple Business уже добивается того, чтобы найти на это ресурсы.

Computerworld Smart Answers

http://www.computerworld.com/smart-answers

Изучить связанные вопросы

Спросить

Материал — перевод статьи с английского.

Оригинал: Apple needs to fix admin authentication in ABM

Подписаться на новости в Telegram