最近,绕过多因素认证安全措施的网络攻击激增,使数据中心系统处于危险之中。数据中心运营商面临的挑战在于需要与可能保留传统MFA协议的企业安全策略保持一致,并需要超越传统MFA以满足数据中心独特的安全需求。
例如今年8月,网络攻击者欺骗思科公司的一名员工接受了MFA请求,并且能够访问关键的内部系统。
今年9月,网络攻击者在暗网上购买了Uber公司承包商的密码,并多次试图登录窃取的证书。MFA在起初阻止了登录尝试,但最终承包商接受了请求,网络攻击者最终登录。他们能够访问包括G-Suite和Slack在内的许多公司的工具。
更令人尴尬的是,网络攻击者在今年8月侵入Twilio广泛使用的MFA服务。他们通过欺骗多名Twilio员工来分享他们的证书和MFA授权。包括Okta和Signal在内的100多名Twilio客户信息被泄露。
MFA网络保护的变化对企业意味着什么
根据微软威胁情报中心在今年夏季发布的一份报告,除了破坏MFA平台和欺骗员工批准非法访问请求,网络攻击者还使用中间对手攻击绕过MFA认证。在过去的一年中,有10多万个企业成为了这些攻击的目标,这些攻击的工作方式是等待用户成功登录系统,然后劫持正在进行的会话。
咨询机构QDEx Labs公司创始人兼首席执行官Walt Greene表示,“最成功的MFA网络攻击都是基于社交工程,最常用的是各种类型的网络钓鱼攻击。如果实施得当,对毫无戒心的用户进行攻击有很大的成功几率。”
很明显,只是依靠MFA已经不够了,数据中心网络安全管理人员需要开始提前规划密码后安全模式。在此之前,应该采取额外的安全措施来加强访问控制,并限制数据中心环境中的横向移动。
数据中心不仅应该知道如何使用MFA来保护数据中心的运营,还应了解如何与业务部门或其他客户合作支持其MFA工作。
超越传统MFA的进步
苹果、谷歌和微软今年春季都承诺采用通用的无密码登录标准。
这种基于线上快速身份验证(FIDO)安全标准的新方法,承诺比传统的多因素认证(如通过短信发送一次性密码)更安全。预计它将在明年的某个时候广泛使用。
在本月初发布的一份声明中,美国网络安全与基础设施网络安全局(CISA)主任Jen Easterly敦促每个组织和企业将FIDO纳入其MFA实施路线图。
她说,“FIDO是黄金标准。”
特别是,她敦促系统管理员开始使用MFA,并指出目前使用MFA的企业还不足50%。
她说:“系统管理员是特别有价值的目标,他们需要适当地保护这些帐户。”
她还敦促云计算服务提供商接受100%的FIDO认证。她说,“在今年一系列绕过MFA的事件之后,很明显,成为一个值得信赖的云计算供应商意味着‘我们不会丢失你的数据,即使我们的员工落入凭证钓鱼骗局。’”
添加控件以保护传统MFA
在转向无密码、基于FIDO的身份验证平台的同时,数据中心也需要加强安全控制。
此外,即使新的无密码技术成为主流,这些额外的控制措施(如用户行为分析)将继续有用。
调研机构Gartner公司副总裁兼分析师Ant Allan表示,对于大多数安全团队来说,这些额外的控制将是标准方法。
他表示,例如通过检查确认登录来自与用户手机相同的地理位置,可以降低网络钓鱼的风险。
他补充说:“限制移动设备推送认证失败的数量可以减少即时轰炸。”即时轰炸是网络攻击者的一种策略,他们不断尝试登录,用户收到太多的MFA请求,他们感到厌烦并接受了这些请求。
还有一些基于人工智能的安全措施,安全团队可以使用这些措施来发现可能表明账户泄露的可疑用户行为。
Allan说,“虽然MFA是必要的第一步,但投资于高级分析(包括机器学习)将提供更大的灵活性和弹性。”
他说,数据中心也应该在身份威胁检测和响应能力方面投入更多资金。他补充说,这并不一定意味着购买新工具。数据中心安全管理人员可以利用现有的身份访问管理和基础设施安全工具做更多的工作。
他补充说:“白宫备忘录M-22-09要求防止网络钓鱼的MFA可能是其他监管要求的风向标。但尚不清楚这是否需要全新的方法,或者额外的控制是否足够。”
咨询机构Insight公司的首席信息安全官Jason Rader表示,现有的MFA基础设施将继续发挥作用。
他说,“威胁行为者通常会从试图侵入安全性最弱的账户开始。面对一个账户列表,他们会一直尝试,直到找到一个没有MFA要求的账户。这就是为什么所有帐户都应该启用MFA的原因。”
不幸的是,数据中心用于运维管理的一些遗留应用程序可能根本不支持MFA。
Rader表示 ,对于那些已经存在了10年甚至更长时间的数据中心来说,情况尤其如此。
他说,“网络攻击者会利用这一点,完全绕过MFA,我想说的是,如果对手能够找到一个没有启用MFA或启用传统身份验证的账户,那么他们成功的几率很高,因为他们所要做的就是猜测密码。”
随着企业继续将其业务从数据中心转移到混合设施和云平台,MFA变得更加关键,因为内部部署数据中心的传统安全系统变得不那么重要。
幸运的是,云计算提供商通常为所有用户提供MFA选项。不幸的是,很多人没有利用这一点。微软公司身份安全副总裁Alex Weinert在上个月举办的一次会议上表示,只有26.64%的Azure AD账户使用MFA。事实上,消费者帐户被泄露的可能性比企业帐户低50倍,因为微软已经为其消费者用户制定了自动安全策略。企业需要管理自己的安全策略。
企业数据中心仍然是更广泛的MFA安全战略的一部分
Gartner公司的Allan表示,如果企业的MFA工具托管在他们所管理的基础设施中,数据中心管理人员也将发挥重要作用。
他表示,“所有劳动力用例的MFA都将由网络安全主管或首席信息安全官负责。数据中心管理人员将负责在他们负责的基础设施中正确集成企业的MFA工具。”
因此,为企业运行内部部署设施、混合云或云平台的数据中心管理人员将在企业范围内的MFA中占有一定的份额,该MFA由公司员工、承包商、合作伙伴和客户使用。
Allan说:“数据中心管理人员应该在管理企业安全计划的安全理事会或委员会中拥有一席之地,可以对政策、技术选择等做出决定。