例如今年8月,網絡攻擊者欺騙思科公司的一名員工接受了MFA請求,并且能夠訪問關鍵的內部系統。
今年9月,網絡攻擊者在暗網上購買了Uber公司承包商的密碼,并多次試圖登錄竊取的證書。MFA在起初阻止了登錄嘗試,但最終承包商接受了請求,網絡攻擊者最終登錄。他們能夠訪問包括G-Suite和Slack在內的許多公司的工具。
更令人尷尬的是,網絡攻擊者在今年8月侵入Twilio廣泛使用的MFA服務。他們通過欺騙多名Twilio員工來分享他們的證書和MFA授權。包括Okta和Signal在內的100多名Twilio客戶信息被泄露。
MFA網絡保護的變化對企業意味著什么
根據微軟威脅情報中心在今年夏季發布的一份報告,除了破壞MFA平臺和欺騙員工批準非法訪問請求,網絡攻擊者還使用中間對手攻擊繞過MFA認證。在過去的一年中,有10多萬個企業成為了這些攻擊的目標,這些攻擊的工作方式是等待用戶成功登錄系統,然后劫持正在進行的會話。
咨詢機構QDEx Labs公司創始人兼首席執行官Walt Greene表示,“最成功的MFA網絡攻擊都是基于社交工程,最常用的是各種類型的網絡釣魚攻擊。如果實施得當,對毫無戒心的用戶進行攻擊有很大的成功幾率。”
很明顯,只是依靠MFA已經不夠了,數據中心網絡安全管理人員需要開始提前規劃密碼后安全模式。在此之前,應該采取額外的安全措施來加強訪問控制,并限制數據中心環境中的橫向移動。
數據中心不僅應該知道如何使用MFA來保護數據中心的運營,還應了解如何與業務部門或其他客戶合作支持其MFA工作。
超越傳統MFA的進步
蘋果、谷歌和微軟今年春季都承諾采用通用的無密碼登錄標準。
這種基于線上快速身份驗證(FIDO)安全標準的新方法,承諾比傳統的多因素認證(如通過短信發送一次性密碼)更安全。預計它將在明年的某個時候廣泛使用。
在本月初發布的一份聲明中,美國網絡安全與基礎設施網絡安全局(CISA)主任Jen Easterly敦促每個組織和企業將FIDO納入其MFA實施路線圖。
她說,“FIDO是黃金標準。”
特別是,她敦促系統管理員開始使用MFA,并指出目前使用MFA的企業還不足50%。
她說:“系統管理員是特別有價值的目標,他們需要適當地保護這些帳戶。”
她還敦促云計算服務提供商接受100%的FIDO認證。她說,“在今年一系列繞過MFA的事件之后,很明顯,成為一個值得信賴的云計算供應商意味著‘我們不會丟失你的數據,即使我們的員工落入憑證釣魚騙局。’”
添加控件以保護傳統MFA
在轉向無密碼、基于FIDO的身份驗證平臺的同時,數據中心也需要加強安全控制。
此外,即使新的無密碼技術成為主流,這些額外的控制措施(如用戶行為分析)將繼續有用。
調研機構Gartner公司副總裁兼分析師Ant Allan表示,對于大多數安全團隊來說,這些額外的控制將是標準方法。
他表示,例如通過檢查確認登錄來自與用戶手機相同的地理位置,可以降低網絡釣魚的風險。
他補充說:“限制移動設備推送認證失敗的數量可以減少即時轟炸。”即時轟炸是網絡攻擊者的一種策略,他們不斷嘗試登錄,用戶收到太多的MFA請求,他們感到厭煩并接受了這些請求。
還有一些基于人工智能的安全措施,安全團隊可以使用這些措施來發現可能表明賬戶泄露的可疑用戶行為。
Allan說,“雖然MFA是必要的第一步,但投資于高級分析(包括機器學習)將提供更大的靈活性和彈性。”
他說,數據中心也應該在身份威脅檢測和響應能力方面投入更多資金。他補充說,這并不一定意味著購買新工具。數據中心安全管理人員可以利用現有的身份訪問管理和基礎設施安全工具做更多的工作。
他補充說:“白宮備忘錄M-22-09要求防止網絡釣魚的MFA可能是其他監管要求的風向標。但尚不清楚這是否需要全新的方法,或者額外的控制是否足夠。”
咨詢機構Insight公司的首席信息安全官Jason Rader表示,現有的MFA基礎設施將繼續發揮作用。
他說,“威脅行為者通常會從試圖侵入安全性最弱的賬戶開始。面對一個賬戶列表,他們會一直嘗試,直到找到一個沒有MFA要求的賬戶。這就是為什么所有帳戶都應該啟用MFA的原因。”
不幸的是,數據中心用于運維管理的一些遺留應用程序可能根本不支持MFA。
Rader表示 ,對于那些已經存在了10年甚至更長時間的數據中心來說,情況尤其如此。
他說,“網絡攻擊者會利用這一點,完全繞過MFA,我想說的是,如果對手能夠找到一個沒有啟用MFA或啟用傳統身份驗證的賬戶,那么他們成功的幾率很高,因為他們所要做的就是猜測密碼。”
隨著企業繼續將其業務從數據中心轉移到混合設施和云平臺,MFA變得更加關鍵,因為內部部署數據中心的傳統安全系統變得不那么重要。
幸運的是,云計算提供商通常為所有用戶提供MFA選項。不幸的是,很多人沒有利用這一點。微軟公司身份安全副總裁Alex Weinert在上個月舉辦的一次會議上表示,只有26.64%的Azure AD賬戶使用MFA。事實上,消費者帳戶被泄露的可能性比企業帳戶低50倍,因為微軟已經為其消費者用戶制定了自動安全策略。企業需要管理自己的安全策略。
企業數據中心仍然是更廣泛的MFA安全戰略的一部分
Gartner公司的Allan表示,如果企業的MFA工具托管在他們所管理的基礎設施中,數據中心管理人員也將發揮重要作用。
他表示,“所有勞動力用例的MFA都將由網絡安全主管或首席信息安全官負責。數據中心管理人員將負責在他們負責的基礎設施中正確集成企業的MFA工具。”
因此,為企業運行內部部署設施、混合云或云平臺的數據中心管理人員將在企業范圍內的MFA中占有一定的份額,該MFA由公司員工、承包商、合作伙伴和客戶使用。
Allan說:“數據中心管理人員應該在管理企業安全計劃的安全理事會或委員會中擁有一席之地,可以對政策、技術選擇等做出決定。
關于企業網D1net(hfnxjk.com):
國內主流的to B IT門戶,同時在運營國內最大的甲方CIO專家庫和智力輸出及社交平臺-信眾智(www.cioall.com)。同時運營18個IT行業公眾號(微信搜索D1net即可關注)。
版權聲明:本文為企業網D1Net編譯,轉載需注明出處為:企業網D1Net,如果不注明出處,企業網D1Net將保留追究其法律責任的權利。
京公網安備 11010502049343號