计算机诞生之日起,用户名和口令就是最基本的访问控制和身份验证方法。然而,对数据泄露的事后分析表明,被盗凭证已成当今黑客主要攻击点。事实上,81%的黑客相关事件都利用了被盗口令、默认口令或弱口令。用户在多个账户和应用间重复使用相同口令,是造成这一惨状的原因之一。比如说,TeleSign的一份报告就显示,73%的用户多个在线账户都用的是同一个口令。
口令重用问题在企业环境中同样存在。同时,被盗账户也为攻击者提供了绝佳掩护,让他们看起来就好像合法用户一样。只要利用了合法凭证,任何安全分析师都会认为是普通的用户在操作,继而引发多米诺骨牌效应,增加攻击者在企业网络内横向移动的风险。
多因子身份验证是救星?
为给网络攻击者增加点障碍,有安全意识的公司在口令之上又增加了双因子或多因子身份验证(MFA)。也就是说,用户想登录App、终端或网络基础设施时需要提供除口令以外的信息或因子。MFA使用以下几种因子的组合:
- 你知道的东西,比如用户名、口令、PIN码、安全问题。
- 你拥有的东西,比如各种形式的软/硬件令牌、智能卡等。
- 你本身,比如指纹、声纹、脸等生物特征。
MFA采用多种方式进行身份验证,也就成为了阻止未授权用户访问敏感数据,限制其在网络内巡游的最佳方法之一。公司企业在MFA的使用上常会犯错误,仅局限在App访问和终端用户身上。然而,只在特定App、用户或资源上应用MFA,公司一样暴露在黑客攻击风险之下。想要最少化攻击链中的弱点,让公司免受被盗凭证之害,MFA就要应用在每个用户(终端用户、特权用户、承包商、合作伙伴)和每一项IT资源(云应用、现场应用、VPN、终端、服务器)上。
然而,尽管MFA好处多多,其采用率却也没达到100%。其中最大的障碍就是对生产力和终端用户体验的影响。比如说,都已经提供用户名和口令了,还要手动输入短信上收到的验证码,这种事在很多人看来都是很麻烦的。不过,技术发展正在消除这种不愿意采用MFA的阻力。用智能手机上的一键点击,来免除用户手动输入一次性验证码到终端上就是一大进步。尽管如此,还是有用户抱怨这额外的步骤烦人——虽然已经相对简化便捷了很多。
隐形访问控制:基于风险的身份验证
最终,最佳安全防护应是透明又省事的。而这正是基于风险的身份验证和机器学习技术的长项。
基于风险的身份验证用机器学习定义并实施基于用户行为的访问策略。分析、机器学习、用户资料和策略实施的结合,可以做出实时访问决策,决定是否免除低风险访问的身份验证,是否在风险上升时增加身份验证强度,或者是否完全禁止访问。为评估每个访问请求的风险,机器学习引擎必须处理多个因子,包括:位置、浏览器类型、操作系统、终端设备状态、用户属性、时间戳、近期异常权限修改、异常指令执行、异常资源访问、异常账户使用、异常权限等等。
基于风险的身份验证如果不应用在所有用户(终端用户、特权用户、承包商、合作伙伴等等)和所有资源(App、基础设施等等)上,企业安全等于空谈。将基于风险的身份验证作为成熟身份与访问策略的一部分用于保护云端和现场的应用、设备、数据和基础设施,可以带来以下好处:
- 基于用户行为和风险实时阻止攻击
- 基于风险调整用户所需进行的验证强度
- 通过机器学习最少化策略创建和修改工作,解放IT资源
- 通过细化到每个用户行为的访问控制改善安全策略
基于风险的身份验证不仅可以提供实时安全,还能标出高风险事件,将它们推送给安全分析师做进一步调查——极大减轻当今混合IT环境中识别威胁的工作量。在访问控制上实现机器学习可以帮助公司企业减少对口令的依赖,或许最终还能彻底摆脱这恼人的口令。