RV-D-1695 |
Обход MFA при недоступности MULTIFACTOR API |
Правило выявляет случаи обхода второго фактора аутентификации вследствие недоступности сервиса MULTIFACTOR. Детектирование основано на корреляции событий ошибки обращения к MULTIFACTOR API (error_occured) и последующего события пропуска второго фактора (bypass_second) для одного пользователя, ресурса и идентификатора сессии (field1). Подобная ситуация означает, что пользователь получил доступ к защищенному ресурсу без прохождения MFA-проверки. Такие события могут свидетельствовать о деградации инфраструктуры MFA, ошибках конфигурации или потенциальных попытках обхода механизмов усиленной аутентификации. |
-
Credential Access (TA0006)
-
Modify Authentication Process (T1556)
-
Multi-Factor Authentication (T1556.006)
|
RV-D-1703 |
Множественные запросы второго фактора аутентификации в MULTIFACTOR |
Правило выявляет множественные запросы второго фактора аутентификации для одного пользователя в инфраструктуре MULTIFACTOR. Детектирование основано на регистрации десяти и более запросов доступа (received_accessrequest) в течение пяти минут. Подобная активность может свидетельствовать о попытке реализации техники MFA Fatigue (MFA Prompt Bombing), при которой атакующий, обладая корректными учетными данными пользователя, инициирует большое количество MFA-запросов в надежде добиться их подтверждения. |
|
RV-D-1705 |
Второй фактор подтвержден без предварительного MFA-запроса |
Правило выявляет случаи подтверждения второго фактора аутентификации в системе MULTIFACTOR без предварительного явного запроса MFA. Детектирование основано на корреляции события отправки MFA-запроса (received_accessrequest) и события успешной валидации второго фактора (accessaccept_sent) в рамках одной сессии. Отсутствие связанного запроса может свидетельствовать о некорректной интеграции, ошибках синхронизации состояния MFA или потенциальной попытке обхода механизма аутентификации. |
-
Credential Access (TA0006)
-
Modify Authentication Process (T1556)
-
Multi-Factor Authentication (T1556.006)
|
RV-D-1708 |
Получен доступ без прохождения MFA-челленджа |
Правило выявляет случаи предоставления доступа пользователю к ресурсу без зафиксированного прохождения MFA-челленджа в MULTIFACTOR. Детектирование основано на корреляции события успешного предоставления доступа (accessaccept_sent) и события обработки MFA-челленджа (challenge_*) в рамках одной сессии. Отсутствие события прохождения челленджа может свидетельствовать о нарушении цепочки многофакторной аутентификации, ошибках интеграции MultiFactor Radius Adapter, рассинхронизации состояния MFA либо потенциальной попытке обхода механизма второго фактора. |
-
Credential Access (TA0006)
-
Modify Authentication Process (T1556)
-
Multi-Factor Authentication (T1556.006)
|
RV-D-1713 |
Подбор пароля для подтверждения второго фактора аутентификации |
Правило выявляет попытки подбора кода подтверждения второго фактора аутентификации в системе MULTIFACTOR. Детектирование основано на корреляции множественных событий отправки запроса на проверку второго фактора (sending_request с передачей введенного пользователем кода в ChallengeDto) в рамках одной транзакции (src_object_id) и последующего успешного прохождения MFA-челленджа (challenge_* с результатом accept). Наличие серии таких событий может свидетельствовать о переборе OTP/кода подтверждения для обхода механизма многофакторной аутентификации. |
|