本文來(lái)自微信公眾號(hào)“安全牛”。
在“零信任”時(shí)代,多因素認(rèn)證(MFA)技術(shù)已經(jīng)成為現(xiàn)代企業(yè)組織加強(qiáng)身份安全管理的“必修課”。然而,當(dāng)前MFA技術(shù)在實(shí)際應(yīng)用中的表現(xiàn)卻遠(yuǎn)遠(yuǎn)稱(chēng)不上完美,有很多企業(yè)的MFA最終成了擺設(shè),甚至成了企業(yè)網(wǎng)絡(luò)安全工作中的“負(fù)能量”和“摩擦力”。
研究人員發(fā)現(xiàn),在很多失敗的MFA應(yīng)用案例中,往往并不是MFA產(chǎn)品本身有問(wèn)題,而是企業(yè)在實(shí)施部署時(shí)存在了至少一種及以上的認(rèn)知錯(cuò)誤或?qū)嵤╁e(cuò)誤。MFA技術(shù)只有更有效地實(shí)施和應(yīng)用才有意義。日前,BehavioSec公司系統(tǒng)工程總監(jiān)Marco Fanti根據(jù)其MFA項(xiàng)目實(shí)際建設(shè)經(jīng)驗(yàn),梳理總結(jié)了有效實(shí)施MFA方案的5個(gè)關(guān)鍵要素,涉及供應(yīng)商選擇、實(shí)施流程控制以及如何獲得用戶(hù)支持等方面。
01
選擇合適的MFA認(rèn)證方式
當(dāng)企業(yè)組織開(kāi)始部署MFA技術(shù)之前,首先應(yīng)該為不同類(lèi)型的人員確定合適的MFA方法,比如員工、合作伙伴、客戶(hù)及其他人員等。
常見(jiàn)的MFA認(rèn)證方法包括如下:
●基于時(shí)間的一次性驗(yàn)證碼,主要通過(guò)文本或電子郵件發(fā)送;
●通過(guò)用戶(hù)設(shè)備上的身份驗(yàn)證程序認(rèn)證;
●硬件安全密鑰認(rèn)證;
●通過(guò)生物特征識(shí)別技術(shù)認(rèn)證,包括臉部或指紋識(shí)別;
●自適應(yīng)身份驗(yàn)證,比如通過(guò)位置或設(shè)備使用情況對(duì)用戶(hù)進(jìn)行身份驗(yàn)證。
企業(yè)應(yīng)該根據(jù)MFA方法對(duì)安全與用戶(hù)體驗(yàn)(UX)的影響來(lái)綜合權(quán)衡其利弊。比如說(shuō),短信對(duì)用戶(hù)來(lái)說(shuō)很便捷,但是安全性卻難以保證。攻擊者可以打電話(huà)給供應(yīng)商,謊稱(chēng)丟了手機(jī),要求把號(hào)碼換成這個(gè)新的SIM卡號(hào),然后接管用戶(hù)的號(hào)碼,欺騙使用短信的MFA。因此,建議企業(yè)組織能夠選擇通行密鑰(passkey)等安全性更高的認(rèn)證方式。
02
讓所有員工了解MFA的應(yīng)用價(jià)值與要求
當(dāng)企業(yè)選定MFA認(rèn)證方法以后,應(yīng)該盡快向所有相關(guān)人員(包括員工、客戶(hù)和供應(yīng)商)說(shuō)明對(duì)安全方面的要求和價(jià)值。雖然MFA對(duì)安全團(tuán)隊(duì)而言并非新技術(shù),但很多業(yè)務(wù)部門(mén)員工和客戶(hù)可能不了解其具體性質(zhì)、如何影響他們以及他們?cè)撊绾翁幚怼?/p>
無(wú)論組織正是實(shí)施的MFA方案功能多強(qiáng)大,所有利益相關(guān)者必須充分認(rèn)知到MFA的優(yōu)缺點(diǎn),以及攻擊者們會(huì)如何繞過(guò)這些防御機(jī)制。因此,企業(yè)必須對(duì)所有員工進(jìn)行培訓(xùn),以盡快發(fā)現(xiàn)和報(bào)告使用中發(fā)現(xiàn)的異常情況;員工須特別小心他們可能遇到的社會(huì)工程陷阱。此外,他們應(yīng)該使用足夠強(qiáng)壯的密碼,以避免憑據(jù)被盜。
03
為可能出現(xiàn)的用戶(hù)摩擦做好預(yù)案
MFA可以幫助企業(yè)提高安全性,防止用戶(hù)賬戶(hù)遠(yuǎn)離惡意分子,但確實(shí)也會(huì)減慢用戶(hù)登錄到賬戶(hù)的速度,從而造成業(yè)務(wù)部門(mén)和安全管理團(tuán)隊(duì)的摩擦,從而影響到用戶(hù)體驗(yàn)。此外,采取額外的安全措施有時(shí)也會(huì)讓使用者感到麻煩,比如需要多次查收通過(guò)應(yīng)用程序或電子郵件發(fā)送的身份驗(yàn)證碼。
當(dāng)MFA方案實(shí)際投入使用之前,企業(yè)就應(yīng)該預(yù)料到一些經(jīng)常會(huì)出現(xiàn)的阻力和不滿(mǎn)。不過(guò),如果能夠通過(guò)采取一些積極的措施幫助用戶(hù)逐漸適應(yīng),相關(guān)的不滿(mǎn)和抱怨就會(huì)很快減少。一種辦法是采用新一代的MFA認(rèn)證方法,比如說(shuō)生物特征識(shí)別,既安全又便捷,同時(shí)也不會(huì)大大延長(zhǎng)業(yè)務(wù)系統(tǒng)的登錄過(guò)程。
此外,采用行為驗(yàn)證和持續(xù)性驗(yàn)證也有利于企業(yè)降低MFA技術(shù)應(yīng)用時(shí)的阻力。兩者都可以在不改變用戶(hù)與設(shè)備交互方式的情況下增強(qiáng)賬戶(hù)安全性。比如說(shuō),當(dāng)IAM監(jiān)測(cè)到用戶(hù)試圖從非經(jīng)常登錄的地方發(fā)起訪(fǎng)問(wèn),就會(huì)發(fā)出提醒,這樣就可以減少對(duì)用戶(hù)體驗(yàn)的干擾。
04
對(duì)基于身份的攻擊活動(dòng)做好防范措施
MFA是一種防止密碼泄露和賬戶(hù)接管攻擊的強(qiáng)大工具,但惡意攻擊者已學(xué)會(huì)了如何通過(guò)社會(huì)工程伎倆繞過(guò)MFA認(rèn)證的控制。為了解決這個(gè)問(wèn)題,企業(yè)可以采取很多措施來(lái)降低MFA方案被攻擊的可能性,包括向用戶(hù)登錄環(huán)節(jié)添加更多的信息和上下文,包括設(shè)備名稱(chēng)、全局ID和設(shè)備位置等信息,這樣可以讓用戶(hù)對(duì)所訪(fǎng)問(wèn)的對(duì)象更放心。MFA方案還應(yīng)該和特定的URL、設(shè)備和主機(jī)進(jìn)行綁定,這樣可以有效阻止中間人攻擊。此外,企業(yè)還可以使用成熟的加密技術(shù)來(lái)加強(qiáng)MFA方案安全性,并對(duì)重置和繞過(guò)密碼的流程進(jìn)行嚴(yán)格的管理。
05
選擇有能力的MFA技術(shù)提供商
選擇有能力的MFA技術(shù)提供商對(duì)任何企業(yè)有效實(shí)施MFA方案非常關(guān)鍵。企業(yè)需要根據(jù)組織的實(shí)際情況和需求,選擇綜合性MFA服務(wù)商,也可以選擇專(zhuān)精型MFA方案提供商。
在Fanti給出的實(shí)施建議中,將微軟公司的Entra ID(即之前的Azure Active Directory)作為一種功能強(qiáng)大的MFA方案進(jìn)行了推薦,對(duì)于那些已經(jīng)在使用微軟產(chǎn)品企業(yè)這是一種不錯(cuò)的選擇。而對(duì)于很多在身份安全認(rèn)證方面有更高要求的企業(yè),也可以采用Cisco Duo等方案作為增強(qiáng)的輔助身份驗(yàn)證因素。
對(duì)于大量采用了云計(jì)算服務(wù)的企業(yè),可以關(guān)注云身份安全企業(yè)Okta,它提供基于云的員工和客戶(hù)MFA產(chǎn)品,分別是Okta Workforce Identity和Okta Customer Identity,較全面的覆蓋了身份驗(yàn)證、治理和生命周期管理等功能。
除了上述供應(yīng)商,F(xiàn)anti還提到了ForgeRock、Ping Identity和1Kosmos等供應(yīng)商,它們的一大特點(diǎn)是可以提供免費(fèi)的試用服務(wù)和開(kāi)源版MFA產(chǎn)品,企業(yè)既可以在采購(gòu)前充分測(cè)試產(chǎn)品的性能,同時(shí)也能夠在項(xiàng)目實(shí)施過(guò)程中得到更多的自定義支持和幫助。