多因素身份验证(MFA)继续体现企业IT安全实践的最佳和最差方面。正如RogerGrimes三年前写的关于双因素身份验证黑客攻击的那样,MFA在实施得当时会奏效,但当IT经理走捷径时,MFA就不起作用并且可能是灾难性的。并且,虽然越来越多的公司正在逐步采用各种MFA方法来保护用户登录,但其应用还远未达到普及的程度。事实上,微软去年的一项调查发现,99.9%的受感染帐户根本没有使用MFA,只有11%的企业帐户受到某种MFA方法的保护。对于MFA的推广应用,新冠肺炎疫情既是推动也是阻碍。疫情彻底改变了很多企业用户的日常计算方式。封城和远程办公的浪潮为扩大MFA的部署提供了机会——尽管它也为黑客提供了新的网络钓鱼诱饵。S&PGlobalMarketIntelligence451Research高级研究分析师GarrettBekker表示,由于太多人远程工作,部署MFA的公司数量从去年调查的约一半增加到今年调查的61%。但是,对于大多数企业而言,MFA的采用仍然有限。但是MFA成为未来企业的重中之重,其优先级高于VPN。在最新一期的Verizon《数据泄露调查报告》中,美国特勤局网络入侵响应主管BernardWilson表示:“在大流行期间成为网络攻击受害者的公司占大多数忽略MFA和VPN实施的公司”除了新冠肺炎疫情,还有其他因素推动了MFA的流行:上个月,谷歌启用MFA作为所有用户账户的默认保护。MattTait(前GCHQ分析师,现供职于Corellium)称此举是“十年来最重要的网络安全改进之一”。2020年6月,Apple宣布与iOS14和macOSBigSur一起发布的Safari14将支持FIDO2协议,加入Android和大多数其他主流浏览器的行列。FIDO一直在取得进展,尽管它需要仔细研究如何跨浏览器、不同操作系统版本和智能手机部署应用程序。美国总统乔拜登最近关于改善国家网络安全的行政命令也敦促部署MFA:“在该行政命令发布之日起180天内,(行政)机构应对静态和传输中的数据实施MFA和加密。截止日期是2021年8月中旬。(当然,行政命令中还有很多其他内容。)但是,最近的攻击和事件表明,安全人员在实施双因素方面仍有很多工作要做和多因素身份验证。要做的工作。恶意黑客有多种方法来利用MFA漏洞。MFA攻击的五种基本方法(1)基于短信的中间人攻击。MFA需要解决的最大问题存在于其最常见的实现方式之一:通过短信发送一次性密码。黑客很容易侵入用户的智能手机,将电话号码临时分配给自己控制的手机。可以通过将RSASecureID硬件令牌与公共网络摄像头相结合来利用此弱点。这是极端的,但SMS黑客一直在损害MFA登录的整体可用性。有很多方法可以实现这种攻击。其中之一是贿赂手机客服,让其重新分配手机号码。另一种方式是使用商业服务获取手机账号权限。只要你支付16美元的服务费,黑客就可以轻松将手机账户从路由所有短信到指定号码。(2)供应链攻击。最近最臭名昭著的软件供应链攻击是SolarWinds攻击。攻击导致各种代码组件被感染,目标公司在不知情的情况下下载了后门组件。有很多方法可以防止这种类型的攻击,包括运行时源代码扫描。正如Gartner分析师在2021年1月的博客文章中指出的那样,“请注意,发现SolarWinds攻击是因为一位警觉的安全官想知道为什么一名员工使用第二部手机注册多重身份验证。。这意味着攻击者的目标是利用身份作为攻击媒介,尤其是MFA。“此类攻击一直是一个问题,并于今年4月在Codecov的Bash上传工具中被发现。由于Docker镜像安全性不严,黑客设法篡改了身份验证凭据。该工具会修改代码中插入的环境变量,而追踪此问题需要追踪命令和控制服务器的目标IP地址。(3)使用窃取的MFA绕过身份验证工作流程。LiferayDXPv7.3中MFA模块的拒绝服务漏洞是MFA弱点的又一个例子。这个最近发现的漏洞允许任何注册用户通过修改用户的一次性密码来通过身份验证,导致目标用户无法通过登录。此漏洞现已修复。(4)Cookie传递攻击。这种攻击使用浏览器cookie和将身份验证信息存储在.最初,这样做是为了方便用户,允许他们保持登录到应用程序。但是,如果黑客可以提取这些数据,他们就可以关闭您的帐户。(5)服务器端伪造。虽然不完全是MFA问题,但Hafnium可能是近年来最大的漏洞利用,利用包括服务器端伪造和任意文件写入漏洞在内的一系列攻击来完全绕过MicrosoftExchangeServer的身份验证机制。该攻击涉及Exchange服务器中的四个零日漏洞。微软为此发布了一系列补丁。正确部署双因素身份验证这些只是一些众所周知的漏洞利用案例,它们证明了正确和安全地实施MFA的必要性。451Research的Bekker表示:“MFA实施不当就像戴了一副廉价的太阳镜,根本起不到任何保护作用。而且,MFA未能在企业普及的最大问题是用户体验不佳。”他还指出问了另一个问题,“MFA仍然是一个二元选择,就像夜总会的保安:一旦进入公司网络,你可以为所欲为,没有人会知道你在做什么。如果MFA是为了发挥其作用,必须与零信任和持续认证技术相结合。”如今,许多安全供应商将MFA与自适应身份验证产品相结合,但实施起来过于复杂。帐户恢复选项也值得进一步讨论。许多公司对普通账户登录设置了强大的MFA保护,但如果用户忘记了密码,可以通过发送短信密码的方式启动账户找回流程。这是黑客可以利用的地方。Akamai行业战略顾问GerhardGiese在去年的一篇文章中指出了这一点,描述了MFA可能无法始终防止撞库的情况。他说,IT经理需要“重新检查他们的身份验证工作流程和登录界面,确保攻击者不会查询Web服务器的响应以发现有效凭证,并实施机器人管理解决方案,使攻击者更不容易破解通过。”今年早些时候,美国计算机应急响应小组发布了关于潜在MFA漏洞的警报,其中提到了网络钓鱼和登录凭据暴力破解,还建议对包括帐户恢复在内的所有身份验证活动实施MFA,以及改善特权的安全态势使用权。MFA技术应该成为企业安全关键基础设施的一部分。最近的攻击例子,以及政府和私营行业专家的敦促,应该会为合理实施MFA提供额外的动力。
