文章來源 / Okta Official Blog
網際網路從未面臨如此為數眾多的惡意攻擊風險。許多組織理解身份與安全存在關係,但很少有人完全理解身份對現代安全策略的根本性意義。在缺乏身份安全的組織,將更容易遇到攻擊或洩密風險。
如果攻擊者控制了正確的身份,他們就可以闖入網路並進行橫向移動,並促進欺詐,提取敏感數據。更別提他們可能一夜之間便損害商譽、降低客戶的忠誠度了。
隨著傳統邊界的消失,人員是最容易獲取敏感數據或資源的途徑。身份管理與確保人員安全相關,這是我們最具擴展性的防禦措施(而不是我們最大的弱點)。
鑑於身份的攻擊激增,這些攻擊變得越來越複雜,並且被刻意設計以規避完善的安全控制。
究竟什麼是MFA疲勞,而攻擊者又是如何利用它來攻擊的呢?
多重因子驗證(MFA)疲勞是攻擊者以大量湧入的點擊驗證推播至使用者裝置,以期使用者在不勝其擾下,最終點擊同意,使得攻擊者得以訪問帳戶或裝置。
此舉已成為眾所周知且非常真實的攻擊媒介。美國資安公司Mandiant發佈了以MFA疲勞技術爲手法的俄羅斯APT攻擊分析報告。
此次攻擊的要點是:
攻擊者已經透過其他方式(最常見的是網路釣魚)竊取了主要用戶名/密碼憑證
攻擊者輸入竊取的憑證,嘗試登錄受點擊MFA保護的帳戶,並連續進行數次
用戶不斷收到有效的點擊驗證通知(通常是透過手機應用程式)
有時,攻擊者甚至仿冒服務台或IT人員,傳訊息或email給用戶,鼓勵其接受該登錄嘗試
最終,用戶對於這些MFA疲勞轟炸感到厭煩,進而點擊「對,這是我。」而非「不,這不是我。」
經歷這一系列事件,我們可以理解為何用戶會選擇接受推播驗證。我們可以提醒用戶,在收到無窮盡MFA推播通知時,不應接受其請求,且應避免與聲稱代表該組織的未知人員交談。但這仍然不夠,我們實際上仍使我們的用戶承受很大的負擔,他們只是想把份內的事做好。
本議題在此並非討論用戶行為或弱MFA,旨在討論缺乏無法在攻擊蔓延前阻擋他們的系統。
如何最佳利用MFA,以及它改變了什麼?
當大多數組織採用基於MFA的驗證機制來抵禦身份攻擊時,他們使用低可靠度因子,像是秘密問題、簡訊、語音、或基於email的一次性密碼(OTP)來實現這一點,此舉很大程度依賴密碼作為引導程序或主要身份驗證器。隨後,攻擊方法演進至鎖定那些被相信是安全,但其實並不安全的驗證因子(如基於簡訊的OTP)。雖然低可靠度因子仍然有其價值,但組織應採取基於風險的方法,透過高可靠度因子來保護其關鍵基礎設施。
在Okta,我們採用縱深防禦方法來防止MFA疲勞攻擊,其幫助我們兼顧保護敏感資料的需求,以及透過快速存取資料維持生產力。我們的方法既主動又被動。
我們大多數的員工,在預設情況下,使用Okta FastPass的高可靠度、無密碼驗證來驗證他們的身份。FastPast使用來自裝置與用戶的雙邊資訊,無縫地驗證用戶身份,並賦予存取資料的權利。當用戶無法使用FastPass時,我們依靠點擊推播來驗證用戶身份,用戶需於應用程式上點擊登陸畫面出現的數字,此舉使得攻擊者難以複製該資訊。Okta同時限制了以低可靠度因子認證登錄用戶的存取權。當員工遭受網路釣魚時,此舉可防止攻擊者於系統內橫向移動。
當員工遭受網路釣魚時,攻擊者將嘗試建立他們能控制的新身份驗證項目,以便在他們的會話丟失時保留訪問權限。在Okta,當用戶的安全驗證方法(登錄憑證,包含那些使用於多重因子驗證的憑證)被改變時,Okta的平台會及時通知用戶。此特色確保了帳戶有任何更改時,用戶得以及時獲得通知,並在用戶未授權此改變時向他們的網路安全團隊通報可能潛在的風險。
透過Okta Workflow,「Report Suspicious Activity(回報可疑活動)」按鈕將觸發多項反應。除了警示網路安全團隊外,也會同時停用該帳戶,此舉將使攻擊者無法繼續竊取資料。Okta Workflow還會通報數個關鍵系統,以終止用戶可能存在的應用程式會話,此舉可防止攻擊者在應用程式會話尚未過期時,趁機存取Slack或Google Workspace等應用程式的現有會話。這些平台功能的分層化有助於確保Okta的安全。
組織要如何將MFA實踐得淋漓盡致呢?
根據我們與工程和產品團隊合作的豐富經驗,以下提供增加MFA安全性及降低受MFA疲勞攻擊的方法:
1. 強制使用反網路釣魚驗證器,並將該驗證器設置為存取過程中必經的一環
最近的攻擊與入侵顯示了網路釣魚與社會工程攻擊的複雜度日益升高。這種情況相當盛行,以至於美國政府發行的OMBM-22-09備忘錄特別呼籲採取如WebAuthn等更強大的驗證方法。
簡訊、電子郵件和語音OTP、秘密問題及推送通知屬於中等安全的身份驗證器,對於網路釣魚的抵抗力較弱。使用採公鑰加密的FIDO(線上快速身份驗證服務)協定之反網路釣魚驗證器,保護高風險數據,並避免共享代碼或秘密,藉此,組織可以降低攻擊者攔截訪問代碼進而連線的能力。反網路釣魚驗證器也同時驗證了來源與目的地的有效性,從而導致僅能在欲訪問網站與用戶裝置間從事有限驗證操作。
2. 無密碼化:降低依賴密碼作為身份驗證器
密碼本質上是共享的秘密,屬於低保證因子。使用如Okta FastPass的無密碼化解決方案可以降低、甚至消除多數基於密碼(包含網路釣魚、憑證填充等)的攻擊,並且也能降低驗證時間、提供無縫體驗。
3. 將基於風險的驗證與您選擇的身份驗證器相結合
除了在每次登錄時實施MFA外,在某些狀況下,我們可以考慮增加基於風險的身份驗證,該驗證需要更強大的身份驗證器才能訪問敏感的應用程式。這些強因子能幫助我們在最終邁向無密碼化的路上,奠定了良好的基礎。
Comentários