最近,规避多因素身份验证(MFA)安全措施的网络攻击数量激增,导致数据中心的系统岌岌可危。数据中心面临的挑战在于需要与可能遵守传统MFA协议的整体企业安全策略保持一致,还需要超越传统MFA,以满足数据中心独特的安全要求。
今年8月,攻击者诱骗思科的一名员工接受了MFA请求,因而得以访问关键的内部系统。
优步声称,今年9月,攻击者在暗网上购买了优步承包商的密码,并多次试图用窃取的凭据登录系统。起初,MFA阻止了企图登录的活动,但最终承包商接受了请求,攻击者因此长驱直入。攻击者访问了包括G-Suite和Slack在内的许多公司工具。
更令人尴尬的是,今年8月,攻击者侵入了Twilio广泛使用的MFA服务。他们是通过诱骗Twilio的多名员工共享凭据和MFA授权来实现的。结果Twilio的100多家客户中招,包括Okta和Signal。
MFA网络保护方面的变化对用户意味着什么?
据微软威胁情报中心今年夏天发布的一份报告显示,除了攻击MFA平台和诱骗员工批准非法访问请求外,攻击者还利用中间人攻击来绕过MFA验证机制。在过去的一年里,10000多家组织成为了这些攻击的目标,其工作原理是等待用户成功登录系统,然后劫持正在进行的会话。
咨询公司QDEx Labs的创始人兼首席执行官Walt Greene表示,最成功的MFA网络攻击都基于社会工程伎俩,最常用的花招就是各种各样的网络钓鱼。如果实施得当,这些攻击对毫无戒心的用户来说有相当大的成功几率。
很显然,仅靠MFA已经不够安全,数据中心网络安全管理员们需要开始为后密码安全模式提前规划。在此之前,应该部署另外的安全措施来加强访问控制,并限制在数据中心环境内的横向移动。
数据中心不仅应该知道如何使用多因素身份验证来保护数据中心的运营,还应该知道如何与业务部门或其他客户合作以支持他们的MFA工作。
传统MFA之外的进步
今年春天,苹果、谷歌和微软都承诺采用一种通用的无密码登录标准。
这种基于FIDO安全标准的新方法承诺比传统的多因素安全(比如通过短信发送的一次性密码)更安全。预计它将在明年某个时候得到广泛使用。
在本月早些时候发布的一份声明中,网络安全和基础设施安全局(CISA)主任Jen Easterly敦促每家组织将FIDO纳入MFA实施路线图。她表示,FIDO堪称安全标准,每家组织都应落实到位。
她尤其敦促系统管理员们开始使用MFA,并特别指出目前使用MFA的不足50%。系统管理员是特别具有价值的目标,组织需要适当保护这些人的帐户。
她还敦促云服务提供商接受100%的FIDO验证。在今年曝出一系列MFA被绕过的安全事件之后,成为一家“值得信赖的”云服务供应商显然意味着“我们不会丢失您的数据,哪怕我们的员工落入了凭据网络钓鱼的圈套”。
加强控制措施以保护传统MFA
即使在迁移到无密码的、基于FIDO的身份验证平台之前,数据中心也需要加强安全控制。
此外,即使新的无密码技术确实成为了主流,这些另外的控制措施(比如用户行为分析)也会继续有用。
Gartner副总裁兼分析师Ant Allan表示,对于大多数安全团队来说,这些补偿控制措施将是标准方法。比如说,检查以确认登录来自与用户手机相同的地理位置,可以降低网络钓鱼的风险。
他补充道,而限制移动推送身份验证失败的数量可以减少提示轰炸。提示轰炸是攻击者的一种策略,他们不断尝试登录,用户收到太多的MFA请求,于是在不厌其烦的情况下接受了这些请求。
还有一些基于人工智能的安全措施,安全团队可以用来发现可能表明帐户泄露的可疑用户行为。虽然MFA是必要的第一步,但购置高级分析(包括机器学习)技术将带来更大的灵活性和弹性。
数据中心还应该在身份威胁检测和响应能力方面加大投入,这并不一定意味着购买新工具。数据中心安全管理人员可以利用现有的身份访问管理和基础设施安全工具做更多的工作。
美国白宫M-22-09备忘录要求MFA能防止网络钓鱼,很可能对其他监管要求起到示范作用。但目前尚不清楚这是否需要全新的方法或者补偿控制是否足够了。
咨询公司Insight的首席信息安全官Jason Rader表示,现有的MFA基础设施将继续发挥作用。
他表示,威胁分子通常会从试图闯入安全性最弱的帐户入手。如果他们有条不紊地浏览全部帐户,就会一直尝试,直至找到没有MFA要求的帐户。这就是为什么所有帐户都应该启用MFA。
遗憾的是,数据中心用于运营管理的一些传统应用程序可能根本不支持MFA。对于那些已经存在了10年或更长时间的数据中心来说,情况尤为如此。
坏人就会利用这一点,完全绕过MFA。如果攻击者能够找到没有启用MFA的帐户或启用了传统身份验证,他们成功的几率就很高,因为他们只要猜中密码。
随着企业继续将数据中心转移到混合模式和云模式,MFA变得更至关重要,因为本地数据中心的传统安全系统变得越来越不重要。
幸好,云服务提供商通常为所有用户提供MFA选项。遗憾的是,许多用户并没有充分利用这个选项。微软身份安全副总裁Alex Weinert在上个月的一次会议上表示,只有26.64%的Azure AD帐户使用MFA。实际上,消费者帐户被攻击的可能性只有企业帐户的1/50,因为微软为消费者用户设置了自动安全策略。企业需要管理自己的安全策略。
企业数据中心仍然是更广泛的MFA安全战略的一部分
Gartner的Allan表示,如果企业MFA工具托管在内部管理的基础设施中,数据中心管理员也将发挥作用。他表示,数据中心管理员以及其他人将负责在他们负责的基础设施中正确集成企业MFA工具。
因此,为企业运行本地数据中心、混合数据中心或云数据中心的数据中心管理员将事关覆盖整个企业的MFA的成败,而公司员工、承包商、合作伙伴和客户都使用该MFA。
数据中心管理员应该在管理组织安全计划的安全理事会或委员会中有一席之地,针对政策和技术选择等方面做出决定。
本文翻译自:https://www.datacenterknowledge.com/security/cyberattacks-are-bypassing-multi-factor-authentication如若转载,请注明原文地址