听众弱身份验证是信息系统中的一个常见漏洞,并且一直是CISA在联邦高价值资产系统中最常见的五项发现之一。此外,2019年Verizon数据泄露调查报告指出,密码泄露仍然是数据泄露的“突出问题”。在整个组织中实施强大的身份验证方法可以显着提高抵御常见网络安全威胁(例如网络钓鱼攻击和凭证泄露)的弹性。虽然本指南引用了联邦标准和出版物,但它不映射到任何机构,也不直接与任何机构相关联。这些建议适用于任何希望改进其身份验证过程的组织。目的本指南的目的是阐明身份验证概念,推荐相关的安全增强功能,并提供指导以帮助规划和实施强身份验证解决方案。强身份验证是纵深防御网络安全策略的众多支柱之一,但它并不是解决网络安全问题的唯一方法。概念认证是验证用户是否真实的过程。大多数系统要求用户在授予系统访问权限之前进行身份验证。用户通过输入密码、插入智能卡并输入相关的个人识别码(PIN)、提供生物特征(例如指纹、语音模式样本、视网膜扫描)或这些东西的组合来证明他们是谁来做到这一点自称是一点。将提供的凭据与之前与用户关联的凭据进行比较。可以在被访问的系统内或通过受信任的外部源执行凭证匹配。如果凭据匹配,系统将进行身份验证并授予访问权限(参见图1)。.图1:身份、认证和访问之间的关系认证方法不同的系统可以实现不同的认证方法来验证用户的身份。身份验证方法可以分为三个因素:您知道的东西(知识)例如密??码、密码或PIN您拥有的东西(拥有)例如智能卡、令牌、查找秘密、一次性密码设备或加密device你是某物(遗传/物理特征)的例子包括指纹、虹膜、面部特征、声音模式或步态单因素身份验证是一种常见的低安全性身份验证方法。它只需要一个因素,例如用户名和密码就可以访问系统。(虽然它包含两条信息,但用户名和密码组合仍然是一个因素,因为它们都来自同一类别。多因素身份验证(MFA)是一种强身份验证方法。它需要两个或更多因素才能获得访问权限一个系统。每个因素必须来自上面不同的类别(例如,你知道的东西与你拥有的东西)。当使用两个因素时,MFA可以称为双因素身份验证或2FA。谷歌、纽约大学和加州大学圣地亚哥分校进行的一项研究表明,实施MFA显着提高了组织对恶意攻击的防御能力。该研究发现,使用MFA可阻止100%的自动机器人程序、99%的批量网络钓鱼攻击以及66%的针对用户Google帐户的针对性攻击。保证级别不同的身份验证方法具有不同的保证级别,具体取决于过程的稳健性和对身份与其所声称的身份的信心。组织可能会确定,为不包含敏感信息且未连接到与包含敏感信息的系统相同的网络的系统实施更高级别的保证的成本是不值得的。有关保证级别的更多信息,请参阅美国国家标准与技术研究院(NIST)特别出版物(SP)800-63-3GuidelinesforDigitalIdentification3和相关标准4,其中描述了身份验证保证级别并提供了一种基于风险的选择方法给定系统的适当身份验证强度。问题单因素身份验证-每个人都使用密码。他们真的那么糟糕吗?单因素身份验证(通常意味着用户名和密码)为攻击者提供了一种轻松访问系统的方法。由于密码只是数据,攻击者可以使用许多不同的技术在没有物理存在的情况下窃取密码,包括:暴力攻击明文密码存储网络钓鱼凭据转储键盘记录器网络嗅探社会工程恶意软件遵循某种模式[参见图2])使攻击者更容易破解密码。其他不安全的做法会加剧密码泄露对组织的影响。密码重用允许破解密码的攻击者获得对多个系统、网络或数据集的访问权限。组织可以防止密码重复使用,但没有技术控制来防止用户跨多个系统重复使用密码。如果未能防止密码重用,攻击者可能会使用泄露的密码来访问其他系统。管理员密码共享使具有更高访问权限的特权(管理)帐户更有可能受到威胁;管理员密码通常被写下来,位于多人可以访问的地方,并进行了简化以使其更容易记住,即使在人们离开组织后也不会经常更改。一旦遭到破坏,管理密码就会授予攻击者跨网络和/或跨多个系统的提升访问权限。添加另一个身份验证因素(即,您拥有的东西或您拥有的东西)会大大增加破坏帐户的难度,因为现在破坏需要用户的实际存在或拥有物理对象(例如智能卡)。具有最弱身份验证方法的资产成为绕过与其连接的系统的更强身份验证的潜在路径。带有钢门和精密锁具的混凝土和钢结构建筑,如果窗户开得很大,仍然容易受到入侵者的攻击。要获得MFA功能的全部好处,组织应确保在所有系统、应用程序和资源中实施它。要求多因素身份验证以获得对组织网络(通常是用户工作站)的初始访问权限是一个很好的第一步;然而,这只为组织内仅使用单因素身份验证保护的其他系统和数据提供了有限的覆盖范围。威胁行为者可能会寻求利用保护较少的系统,然后转移到其他系统并继续他们的恶意操作。网络分段也可能会降低攻击者在整个网络中移动的能力,但依赖单因素身份验证的帐户仍然容易受到攻击,是最薄弱的环节。可以做什么?规划阶段战略规划跨所有系统、应用程序和资源实施MFA可能具有挑战性且成本高昂。当单独访问时,每个都需要自己特定的方法来验证用户(例如,必须颁发、管理和撤销多个凭证)。因此,组织将通过采用组织范围的方法并将解决方案作为企业服务来实施身份验证,而不是尝试为每个应用程序实施冗余的、孤立的身份验证解决方案,从而最有效地实施身份验证。组织范围的策略允许身份验证策略和实践的标准化,包括发布和管理必要的凭证,并降低每个应用程序获取或构建自己的身份验证解决方案的成本。组织应该检查他们现有的能力,以确定他们是否已经拥有在整个组织内交付MFA的可行解决方案。例如,联邦机构为用户提供基于个人身份验证(PIV)的身份验证。通过大型商业提供商管理用户帐户的组织可能能够利用其服务提供商已经提供的MFA功能。当前不具备MFA功能的组织应购买或设计MFA解决方案。在决定MFA解决方案时,组织应考虑以下因素。用户对网络或系统的初始身份验证在用户访问其他系统、应用程序或新的基础架构部分时的额外身份验证外部托管资源的身份验证外部实体对内部资源的身份验证组织决定使用企业MFA解决方案之后,身份验证功能可以通过单点登录(SSO)和联合身份验证服务进行扩展。SSO和联合身份验证可以跨组织、系统、应用程序和资源安全地共享身份验证和身份信息,而无需在每个系统上单独使用MFA功能。许多系统都配备了用于SSO的连接器。SSO和身份联合通过将对资源的访问控制权交到中央身份管理管理员手中来增强组织的安全性,这使组织能够在用户离开或帐户权限受损时快速全面地撤销对其所有资源的访问权限。这些步骤简化了身份生命周期(包括颁发给用户的各种凭证)的管理,并有助于确保在用户离开时立即撤销整个组织的访问权限。另一个好处是简化了用户体验——用户不再需要跟踪数十个凭据——同时减少了组织漏洞,即用户管理多个凭据的方式中的弱点。单点登录SSO是一种身份验证方法,其中用户对集中式SSO解决方案进行一次身份验证(通常使用组织选择的强MFA身份验证解决方案)。其他系统和应用程序配置为信任集中式SSO解决方案,无需进一步交互即可对用户进行身份验证(参见图3)。这减少了对多个系统和服务重复进行身份验证的需要。最重要的是,当用户通过SSO从他们的初始身份验证转移到另一个系统时,该用户对初始系统的凭据不会与其他系统共享。一旦用户通过身份验证,SSO解决方案将透明且安全地完成所有相关系统的过程,而无需进一步暴露初始系统凭据。此外,每个应用程序不需要管理自己的身份凭证存储,而是利用整个组织的集中存储。.图3:通过SSO解决方案提供具有访问权限的中央组织范围身份可保护跨内部和外部资源的MFA网络登录。注意:某些SSO提供商可能仍会使用该系统的用户名/密码向其他系统进行身份验证;组织应确保在连接到资源解决方案的每一步都使用强大的、非基于密码的协议来设置他们的SSO。存在多种用于将SSO功能合并到组织的基础结构中的技术选项。选择SSO解决方案时,组织应考虑单点注销功能(在用户注销时终止所有打开和活动的会话)以最大限度地降低会话劫持的风险。身份联合尽管身份联合本身并不是弱身份验证的解决方案。它可以为改进的身份验证提供实质性的间接支持。身份联合是在管理自己的用户、身份和身份验证的多个组织之间建立信任关系,以便接受彼此的用户。组织应该只与他们信任其身份审查和身份验证过程的其他组织联合。例如,两个组织管理他们自己的用户、身份和身份验证,然后在他们的系统之间建立连接以减少使组织易受攻击的外部用户的弱身份验证点。例如,假设AcmeAnvilCo.和CoyoteMissileCo.的任务重叠,需要AcmeAnvil与CoyoteMissile共享信息,但每个组织都已在自己的身份存储中管理其员工的身份。AcmeAnvil可以选择与CoyoteMissiles身份存储建立信任关系以授权访问AcmeAnvil系统,而不是使用资源对需要访问信息的CoyoteMissile员工执行新的背景调查,AcmeAnvil可以选择建立一个与CoyoteMissiles身份存储的信任关系,因为CoyoteMissile对个人进行了背景调查并识别了他们(参见图4)。图4:AcmeAnvil的用户可以使用MFA安全地登录到他们的公司工作站,并通过安全联合访问由他们的供应商CoyoteMissile托管的应用程序,而无需登录名或密码。因此,身份联合可以进一步将组织的强大身份验证和SSO功能扩展到其用户访问的可信组织拥有的系统,反之亦然。需要与其他组织的用户共享资源的组织可以使用受信任的联合用户身份,而无需复制这些用户的凭证或身份管理。如果没有身份联合,与其他组织共享的任何资源的身份验证和身份存储必须与其主要身份存储分开配置和管理,这增加了复杂性。知道何时向前推进组织可以识别包含强身份验证的资源,这些资源将被证明过于昂贵或技术复杂。如果发生这种情况,组织必须在以下两者之间做出决定:1)保持当前系统并实施补偿性控制以解决组织面临的风险;或2)迁移到允许程序集成的新的现代系统。组织应权衡每个选项的成本和风险。注意:尽管超出了本文档的范围,但组织在做出决定时应考虑迁移到更新技术将提供的强大身份验证之外的性能和安全优势。其他战略考虑尤其对于大型组织而言,有关约束性政策、责任和预算的非技术考虑可能是相关的。如果信息系统不是由中央办公室或首席信息官(CIO)管理和控制的,则有必要与拥有这些系统的不同办公室进行更多的参与和协调,以与组织的总体战略保持一致。同样,如果组织的信息技术(IT)预算未集中管理,则组织可能需要考虑如何从组织的每个元素中回收实施和操作强身份验证、SSO或联合组件的成本。虽然自动系统到系统连接不严格在本指南的范围内(并且MFA不是服务器凭据的选项),但它们仍然通过提供“非个人帐户”来访问系统来打开攻击媒介。如前所述,当任何形式的弱身份验证与缺乏有效的网络分段相结合时,可以进一步利用此弱点在网络中移动,从而破坏在其他地方实施的强身份验证的好处。组织可以通过使用强凭据(安全套接字层[SSL]证书)、加密通信和特定于应用程序或IP地址的允许列表保护这些连接来删除此路径,从而允许攻击者绕过强用户访问系统身份验证。战术规划战术规划涉及发现当前状态环境、识别未决状态以及制定过渡计划以执行迁移到目标状态的具有成本效益的方法。解决弱身份验证需要1)了解“现状”状态,2)可用功能,以及3)了解实现所需状态所需的条件。在规划和执行这些企业改进工作时,必须避免分析瘫痪。寻求100%的知识或保证(完美),无论是针对当前状态还是未来状态,都会抑制基于可用(足够好)信息的增量改进。了解“原样”状态1.对当前应用程序和系统进行编目。2.确定有权访问系统或应用程序的用户和用户组,包括与您共享数据的合作伙伴和外部利益相关者。3.对与合作伙伴共享的数据的性质进行分类,因为保护敏感数据的需要可能会影响协议和架构方面的考虑。在交换敏感数据的情况下,可能需要有关用户的更多详细信息以强制执行最低权限访问。对于敏感数据只是系统中数据子集的系统尤其如此(并且组织不希望在非敏感数据上承担额外安全性的财务或效率成本)。4.确定每个用户将如何向每个应用程序或系统进行身份验证。5.确定每个系统或应用程序支持的身份验证协议。6.确定架构的支持元素(例如也需要保护的自动系统到系统连接)以确保支持元素的配置不会引入漏洞。识别当前功能1.识别组织内现有的MFA功能,例如PIV卡身份验证。2.评估用于实施计划的采购或预算选项以加强认证,结合与广泛采用强认证相一致的成本回收策略。3.确定提供MFA功能的应用程序的现有资产或许可证。4.评估与强认证解决方案集成的系统或应用程序的许可协议。支持强大的身份验证方法或强大的SSO/联合协议可能需要额外的许可证或与要保护的应用程序不同类型的许可证;这些许可证的成本与强身份验证解决方案或SSO/联合解决方案本身的成本是分开的。了解端到端实施成本将为总体拥有成本提供信息,并支持有关具有成本效益的风险管理的决策。5.确定具有实施MFA能力经验的现有人员。了解“未来”状态1.选择最适合您的环境和法规要求的强身份验证解决方案(例如,某些身份验证解决方案可能适用于本地架构,但可能不适用于云架构)。2.定义用户如何向网络、每个后续系统和应用程序以及外部托管资源进行身份验证;定义外部用户将如何对内部资源进行身份验证。3.确定哪些系统和应用程序将集成到SSO解决方案中。4.决定与哪些组织建立可信联盟。5.为具有不同身份验证强度的系统设置边界,并确保来自较弱身份验证系统或用户的连接不允许弱身份验证访问受更强身份验证保护的系统。请注意从不太安全的环境到更安全的环境中的系统的跨边界的系统到系统连接。6.在全面部署规划的强认证方案时,设计目标架构。包括身份验证解决方案将支持其他组织安全实践(例如网络分段)的位置。过渡规划1.制定过渡计划并计划从“现状”状态到定义的“现状”状态。A。使用风险管理策略来确定用户和应用程序的优先级,以便加入解决方案。b.在系统或应用程序中具有更高权限的用户对于入职最为关键,那些对于交付业务任务、核心组织功能或包含敏感数据至关重要的系统或应用程序也是如此。C。使用最弱的身份验证对组织最关键的系统和资产进行优先排序。2.如果您打算与其他组织使用受信任的联盟,请确定如何在不对他们当前访问产生负面影响的情况下转换这些用户。3.针对代表性系统测试迁移计划。执行阶段在此阶段,您的组织使用在规划阶段获得的项目强制执行强身份验证。在执行过程中,可能需要根据“地面条件”和吸取的教训调整时间表和其他工件。因此,考虑中的调整应该与计划阶段的工件一样严格。下面的名义时间表可以根据工作的大小和范围进行调整。短期行动1.根据组织架构分析和风险管理的决定,采购或设计强大的身份验证解决方案。2.获取实施规划阶段定义的过渡计划所需的硬件、软件和许可证(包括SSO解决方案)。3.从集中的身份治理管理点识别和分类用于管理用户的业务流程。4.开始对组织的特权用户及其过渡计划中定义的最高价值系统和资产实施强身份验证。5.将评估系统认证与组织解决方案兼容性的标准纳入组织对拟议收购或新系统的审查。中期行动1.继续向强认证系统迁移。2.利用强身份验证解决方案的初始实施来连接到SSO解决方案。3.将身份验证从现有系统和应用程序转变为SSO解决方案。4.在采购新的采购或提议的系统之前,评估这些系统以确定与组织的强身份验证解决方案的兼容性。长期行动1.继续向强认证系统迁移。2.与其他组织建立联邦身份信任关系。3.加入非个人实体,例如服务帐户。4.通过定期审查和更新需求、政策和参考架构来实现持续改进。总结通过MFA进行的强身份验证是一项关键且有时成本高昂的投资,但应在所有网络、系统、应用程序和资源中实施,以充分保护组织。因此,建议采用全组织范围的方法。在整个组织中扩展MFA功能的一种方法是通过SSO解决方案。除了为组织的资源提供更好的安全性之外,SSO解决方案还改善了用户体验,因为它消除了为每个系统和应用程序记住密码或管理多个凭据(例如RSA令牌)的需要。在企业级实施的SSO解决方案还可以消除系统所有者花费资源管理他们自己的身份验证解决方案的需要。一旦SSO解决方案到位,组织就可以通过与其他组织联合身份验证来进一步扩展强大的身份验证功能。通过将这些概念和其他战略考虑纳入他们对其“现状”状态的评估,组织可以定义他们想要的“未来”状态并制定实现该状态的计划。
