美國(guó)網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局(CISA)和美國(guó)聯(lián)邦調(diào)查局(FBI)網(wǎng)絡(luò)部門(mén)最近在聯(lián)合發(fā)布的一份網(wǎng)絡(luò)安全咨詢(xún)(CSA)報(bào)告中警告說(shuō),一些獲得國(guó)家支持的網(wǎng)絡(luò)行為者利用默認(rèn)的多因素身份驗(yàn)證協(xié)議獲得了網(wǎng)絡(luò)訪(fǎng)問(wèn)權(quán)限。
自從發(fā)生俄烏沖突以來(lái),已經(jīng)看到Conti、Anonymous等黑客組織承諾為支持某一方進(jìn)行網(wǎng)絡(luò)攻擊。保險(xiǎn)公司很快將此類(lèi)網(wǎng)絡(luò)攻擊歸類(lèi)為戰(zhàn)爭(zhēng)行為,引發(fā)了保險(xiǎn)豁免條款的變化,以反映沖突地區(qū)以外“溢出損害”風(fēng)險(xiǎn)的上升。由于勒索軟件現(xiàn)在占網(wǎng)絡(luò)保險(xiǎn)索賠的75%,越來(lái)越多的網(wǎng)絡(luò)攻擊團(tuán)伙宣布他們的攻擊行為與俄烏沖突無(wú)關(guān),希望保險(xiǎn)公司繼續(xù)為受害方的贖金提供賠償。
除此之外,像黑客組織Lapsus$這樣的新進(jìn)入者正在使用低技術(shù)方法來(lái)獲取員工憑證,并通過(guò)Telegram宣傳他們聯(lián)系受害者的方式,企業(yè)面臨的網(wǎng)絡(luò)攻擊風(fēng)險(xiǎn)、影響和頻率都在增加。這種情況正在推動(dòng)更多企業(yè)改變其網(wǎng)絡(luò)安全彈性戰(zhàn)略。企業(yè)與其花費(fèi)數(shù)十萬(wàn)美元購(gòu)買(mǎi)在勒索軟件或業(yè)務(wù)中斷情況下可能無(wú)法支付的保險(xiǎn)單,不如投資網(wǎng)絡(luò)安全防御措施,并從一開(kāi)始就對(duì)網(wǎng)絡(luò)攻擊進(jìn)行防范。
多因素身份驗(yàn)證(MFA) ??不會(huì)阻止密碼網(wǎng)絡(luò)釣魚(yú)或欺詐
許多企業(yè)使用多因素身份驗(yàn)證(MFA)??來(lái)防止黑客訪(fǎng)問(wèn)他們的網(wǎng)絡(luò)。但只是依靠多因素身份驗(yàn)證(MFA)是不夠的。因?yàn)槎嘁蛩厣矸蒡?yàn)證(MFA)意味著涉及第二、第三甚至第四因素的身份驗(yàn)證。
在用戶(hù)輸入第一個(gè)因素(通常是密碼)之后,他們會(huì)收到發(fā)送到他們某個(gè)設(shè)備的令牌,然后他們必須單擊該令牌才能接受,或者復(fù)制并粘貼以實(shí)施身份驗(yàn)證。但這僅在用戶(hù)可以依賴(lài)第一個(gè)因素時(shí)才有效。
問(wèn)題是第一個(gè)因素實(shí)際上從一開(kāi)始就受到了影響。在現(xiàn)實(shí)世界中,當(dāng)員工上班時(shí),他們通過(guò)鑰匙或門(mén)禁卡進(jìn)入企業(yè)的辦公大樓、電梯和房間。但在數(shù)字世界中,企業(yè)的做法則相反。要求員工設(shè)置自己的密鑰(密碼)以訪(fǎng)問(wèn)企業(yè)網(wǎng)絡(luò)和基礎(chǔ)設(shè)施。
在這樣做的過(guò)程中,企業(yè)有效地將其訪(fǎng)問(wèn)控制權(quán)移交給了員工,并使自己面臨諸如密碼釣魚(yú)、丟失、盜竊、重用、未經(jīng)授權(quán)的共享和欺詐等人為責(zé)任。在失去訪(fǎng)問(wèn)控制之后,企業(yè)首先應(yīng)該考慮在默認(rèn)情況下所有密碼都會(huì)被泄露,這意味著多因素身份驗(yàn)證(MFA)無(wú)法再保證合法訪(fǎng)問(wèn)。多因素身份驗(yàn)證(MFA)在這里提供的只是一種虛假的安全感。
在沒(méi)有訪(fǎng)問(wèn)控制措施的情況下,多因素身份驗(yàn)證(MFA)漏洞利用的例子很多。早在2021年5月,一些獲得國(guó)家支持的網(wǎng)絡(luò)行為者就通過(guò)利用默認(rèn)的多因素身份驗(yàn)證(MFA)協(xié)議來(lái)控制其網(wǎng)絡(luò),從而獲得了對(duì)其他政府和企業(yè)的訪(fǎng)問(wèn)權(quán)限。
除此之外,黑客組織Lapsus$通過(guò)在凌晨向第三方支持提供商的員工的電話(huà)重復(fù)發(fā)送多因素身份驗(yàn)證(MFA)批準(zhǔn)請(qǐng)求,直到他們?yōu)榱酥匦氯胨鷾?zhǔn)了請(qǐng)求,從而侵入了Okta公司內(nèi)部系統(tǒng)。
多因素身份驗(yàn)證(MFA)并不會(huì)阻止勒索軟件
依靠沒(méi)有訪(fǎng)問(wèn)控制措施的多因素身份驗(yàn)證(MFA)不僅危險(xiǎn),而且與SSO、IAM或PAM等用戶(hù)單一訪(fǎng)問(wèn)解決方案結(jié)合使用時(shí)風(fēng)險(xiǎn)更大。Lapsus$最近實(shí)施的網(wǎng)絡(luò)攻擊行為暴露了企業(yè)將所有數(shù)據(jù)集中在一處面臨的問(wèn)題。
在2月中旬的一次違規(guī)事件中,Lapsus$從Nvidia公司竊取了1TB的數(shù)據(jù),其中包括Nvidia公司71000多名員工的用戶(hù)名和密碼。而Lapsus$最近在Sitel公司的運(yùn)營(yíng)環(huán)境中發(fā)現(xiàn)一個(gè)名為DomAdmins-LastPass.xlsx的Excel文檔之后,其漏洞影響了依賴(lài)Okta驗(yàn)證訪(fǎng)問(wèn)權(quán)限的客戶(hù)。
在這種情況下,失去這一切的可能性對(duì)任何企業(yè)來(lái)說(shuō)都是一場(chǎng)噩夢(mèng),暴露了集中訪(fǎng)問(wèn)的局限性,并使得一旦系統(tǒng)受到破壞,唯一用戶(hù)控制的想法就變得多余了。
停止混淆識(shí)別和身份驗(yàn)證
為了真正建立網(wǎng)絡(luò)彈性,企業(yè)需要吸取現(xiàn)實(shí)世界中的教訓(xùn),并停止混淆身份和訪(fǎng)問(wèn)權(quán)限。這種區(qū)別在物理世界中是很明顯的。例如,當(dāng)有人從銀行提取大筆款項(xiàng)或參加考試以證明身份時(shí),就會(huì)被要求出示身份證件,這就是所謂的身份證明。但是當(dāng)他回家或去公司上班時(shí),大門(mén)卻不會(huì)認(rèn)出他并為他開(kāi)門(mén);如果他有密鑰就可以進(jìn)入,而這就是所謂的身份驗(yàn)證。
人們只需要擁有正確的鑰匙就可以打開(kāi)大門(mén)。就像沒(méi)有人能夠只使用一把鑰匙打開(kāi)他們的房屋、汽車(chē)、辦公室的門(mén)一樣,每個(gè)系統(tǒng)都應(yīng)該有一個(gè)不同的密碼,他們不需要知道或記住。為了有效地收回對(duì)系統(tǒng)訪(fǎng)問(wèn)的控制權(quán),企業(yè)只需要應(yīng)用這些原則。
在實(shí)踐中,對(duì)所有系統(tǒng)訪(fǎng)問(wèn)進(jìn)行分段并將加密的密碼分發(fā)給員工,將完全消除人為錯(cuò)誤的可能性,因?yàn)闆](méi)有人創(chuàng)建、查看或鍵入密碼。解決訪(fǎng)問(wèn)管理問(wèn)題的原因不僅可以幫助企業(yè)重新獲得對(duì)其訪(fǎng)問(wèn)和數(shù)據(jù)的命令和控制權(quán),還可以節(jié)省大量時(shí)間來(lái)培訓(xùn)員工了解無(wú)效的密碼策略。
雖然當(dāng)企業(yè)控制和分割他們的訪(fǎng)問(wèn)權(quán)限時(shí),投資多因素身份驗(yàn)證是有意義的,但僅靠它肯定不能保護(hù)網(wǎng)絡(luò)的安全。為了保護(hù)他們的業(yè)務(wù),企業(yè)應(yīng)該關(guān)注將密碼創(chuàng)建、分發(fā)、使用和到期的整個(gè)過(guò)程集成到他們的管理過(guò)程中,就像他們?cè)诂F(xiàn)實(shí)世界中所采取的安全措施那樣,而不用改變基礎(chǔ)設(shè)施。這將增強(qiáng)他們的網(wǎng)絡(luò)防御能力并阻止支付巨額贖金。
版權(quán)聲明:本文為企業(yè)網(wǎng)D1Net編譯,轉(zhuǎn)載需注明出處為:企業(yè)網(wǎng)D1Net,如果不注明出處,企業(yè)網(wǎng)D1Net將保留追究其法律責(zé)任的權(quán)利。
京公網(wǎng)安備 11010502049343號(hào)