受眾

弱身份驗(yàn)證是信息系統(tǒng)的常見漏洞 ，一直是CISA在聯(lián)邦高價(jià)值資產(chǎn)系統(tǒng)中發(fā)現(xiàn)的五大，最常見的發(fā)現(xiàn)之一。此外，2019年Verizon數(shù)據(jù)泄露調(diào)查報(bào)告指出，受損密碼仍然是違規(guī)行為的“突出固定裝置”。 在整個(gè)組織中實(shí)施強(qiáng)身份驗(yàn)證方法可以顯著提高抵御常見網(wǎng)絡(luò)安全威脅(如網(wǎng)絡(luò)釣魚攻擊和憑據(jù)泄露)的彈性。

雖然本指南引用了聯(lián)邦標(biāo)準(zhǔn)和出版物，但它沒有映射到任何機(jī)構(gòu)，也沒有直接與任何機(jī)構(gòu)相關(guān)聯(lián)。這些建議適用于任何尋求改進(jìn)其身份驗(yàn)證過程的組織。

目的

本指南的目的是闡明身份驗(yàn)證的概念，推薦相關(guān)的安全增強(qiáng)功能，并提供指導(dǎo)以幫助規(guī)劃和實(shí)現(xiàn)強(qiáng)身份驗(yàn)證解決方案。強(qiáng)身份驗(yàn)證是縱深防御網(wǎng)絡(luò)安全戰(zhàn)略的眾多支柱之一，但它并不是網(wǎng)絡(luò)安全問題的唯一解決方案。

概念

身份驗(yàn)證是驗(yàn)證用戶身份是否真實(shí)的過程。大多數(shù)系統(tǒng)要求用戶在授予對系統(tǒng)的訪問權(quán)限之前進(jìn)行身份驗(yàn)證。用戶通過輸入密碼，插入智能卡并輸入關(guān)聯(lián)的個(gè)人標(biāo)識號(PIN)，提供生物識別(例如，指紋，語音模式樣本，視網(wǎng)膜掃描)或這些東西的組合來證明他們是他們聲稱的人來做到這一點(diǎn)。將提供的憑據(jù)與以前與用戶關(guān)聯(lián)的憑據(jù)進(jìn)行比較。憑據(jù)匹配可以在正在訪問的系統(tǒng)內(nèi)執(zhí)行，也可以通過受信任的外部源執(zhí)行。如果憑據(jù)匹配，系統(tǒng)將驗(yàn)證身份并授予訪問權(quán)限(請參閱圖 1)。

.圖 1：身份、身份驗(yàn)證和訪問之間的關(guān)系

身份驗(yàn)證方法

不同的系統(tǒng)可以實(shí)現(xiàn)不同的身份驗(yàn)證方法來驗(yàn)證用戶的身份。身份驗(yàn)證方法可以分為三個(gè)因素：

• 您知道的東西 (知識)

示例包括密碼、密碼或 PIN

• 你擁有的東西 (占有)

示例包括智能卡、令牌、查找機(jī)密、一次性密碼設(shè)備或加密 設(shè)備

• 你是某物(遺傳/身體 特征)

示例包括指紋、虹膜、面部特征、語音模式或 步態(tài)

單因素身份驗(yàn)證是一種常見的低安全性身份驗(yàn)證方法。它只需要一個(gè)因素(例如用戶名和密碼)即可訪問系統(tǒng)。(盡管它包含兩條信息，但用戶名和密碼組合仍然是一個(gè)因素，因?yàn)樗鼈兌紒碜酝活悇e。

多重身份驗(yàn)證 (MFA) 是一種強(qiáng)身份驗(yàn)證方法。它需要兩個(gè)或多個(gè)因素才能訪問系統(tǒng)。每個(gè)因素必須來自上面的不同類別(例如，您知道的東西和你擁有的東西)。當(dāng)使用兩個(gè)因素時(shí)，MFA 可以稱為雙因素身份驗(yàn)證或 2FA。

Google、紐約大學(xué)和加州大學(xué)圣地亞哥分校進(jìn)行的一項(xiàng)研究表明，實(shí)施 MFA 對組織抵御惡意攻擊有了顯著的改進(jìn)。該研究發(fā)現(xiàn)，使用MFA阻止了100%的自動(dòng)化機(jī)器人，99%的批量網(wǎng)絡(luò)釣魚攻擊以及66%針對用戶Google賬戶的針對性攻擊。

保證級別

不同的身份驗(yàn)證方法具有不同的保證級別，具體取決于進(jìn)程的穩(wěn)健性以及標(biāo)識是它們所聲稱的身份的可信度。組織可能會確定，為不包含敏感信息且未連接到與包含敏感信息的系統(tǒng)連接到同一網(wǎng)絡(luò)的系統(tǒng)實(shí)施更高保證級別的成本不值得。有關(guān)保證級別的詳細(xì)信息，請參閱美國國家標(biāo)準(zhǔn)與技術(shù)研究院 (NIST) 特別出版物 (SP) 800-63-3 數(shù)字標(biāo)識指南3 和相關(guān)標(biāo)準(zhǔn)，4 其中描述了身份驗(yàn)證保證級別，并提供了一種基于風(fēng)險(xiǎn)的方法來選擇適用于給定系統(tǒng)的身份驗(yàn)證強(qiáng)度。

問題

單因素身份驗(yàn)證 - 每個(gè)人都使用密碼。他們真的那么糟糕嗎?

單因素身份驗(yàn)證(通常意味著用戶名和密碼)為攻擊者提供了一種訪問系統(tǒng)的簡便方法。

由于密碼只是數(shù)據(jù)，攻擊者可以使用許多不同的技術(shù)來竊取密碼而無需實(shí)際存在，包括：

• 暴力 破解攻擊
• 明文密碼 存儲
• 網(wǎng)絡(luò)釣魚
• 憑據(jù) 轉(zhuǎn)儲
• 鍵盤記錄
• 網(wǎng)絡(luò)嗅探
• 社會 工程學(xué)
• 惡意軟件

圖 2：密碼模式使用示例

弱密碼(例如，制造商的默認(rèn)密碼或遵循某種模式的密碼 [見圖 2])使攻擊者更容易破壞密碼。其他不安全的做法可能會加劇泄露的密碼可能對組織產(chǎn)生的影響。

• 密碼重用允許泄露密碼的攻擊者訪問多個(gè)系統(tǒng)、網(wǎng)絡(luò)或數(shù)據(jù)集。組織可以阻止 密碼重用，但沒有技術(shù)控制可以阻止用戶跨多個(gè)系統(tǒng)重用密碼。無法防止密碼重用會使攻擊者可以使用已泄露的密碼來訪問其他系統(tǒng)。
• 管理員密碼共享使 具有提升訪問權(quán)限的特權(quán)(管理)賬戶更有可能受到損害;管理密碼通常被寫下來，位于多個(gè)人有權(quán)訪問它的地方，簡化以使其更易于記憶，并且即使在人們離開組織后也不會頻繁更改。一旦受到威脅，管理密碼就會向攻擊者授予跨網(wǎng)絡(luò)和/或跨多個(gè)系統(tǒng)的提升訪問權(quán)限。

添加另一個(gè)身份驗(yàn)證因素(即，您擁有的東西或您擁有的東西)會大大增加破壞賬戶的難度，因?yàn)橥讌f(xié)現(xiàn)在需要用戶的物理存在或擁有物理對象(如智能卡)。

具有最弱身份驗(yàn)證方法的資產(chǎn)成為繞過其所連接的系統(tǒng)的更強(qiáng)身份驗(yàn)證的潛在路徑。如果有大型打開的窗戶，帶有鋼筋門和精密鎖的混凝土和鋼結(jié)構(gòu)建筑仍然很容易被入侵者進(jìn)入。

若要獲得 MFA

功能的全部好處，組織應(yīng)確保跨所有系統(tǒng)、應(yīng)用程序和資源實(shí)現(xiàn)它。要求多因素身份驗(yàn)證以獲得對組織網(wǎng)絡(luò)(通常是用戶的工作站)的初始訪問權(quán)限是很好的第一步;但是，這僅對組織內(nèi)僅使用單因素身份驗(yàn)證保護(hù)的其他系統(tǒng)和數(shù)據(jù)提供有限的保護(hù)。威脅參與者可能會尋求利用受保護(hù)程度較低的系統(tǒng)，然后移動(dòng)到其他系統(tǒng)并繼續(xù)其惡意操作。

網(wǎng)絡(luò)分段也可能降低攻擊者在整個(gè)網(wǎng)絡(luò)中移動(dòng)的能力，但依賴單因素身份驗(yàn)證的賬戶仍然容易受到損害，并且是最薄弱的環(huán)節(jié)。

能做些什么?

規(guī)劃階段

戰(zhàn)略規(guī)劃

在所有系統(tǒng)、應(yīng)用程序和資源上實(shí)施 MFA 可能具有挑戰(zhàn)性且成本高昂。當(dāng)單獨(dú)訪問時(shí)，每個(gè)都需要自己特定的方法來驗(yàn)證用戶的身份(例如，必須頒發(fā)，管理和撤銷多個(gè)憑據(jù))。因此，通過采用組織范圍的方法并將解決方案作為企業(yè)服務(wù)實(shí)現(xiàn)，而不是嘗試為每個(gè)應(yīng)用程序?qū)崿F(xiàn)冗余、隔離的身份驗(yàn)證解決方案，組織在實(shí)現(xiàn)身份驗(yàn)證方面將最有效。

組織范圍的策略允許身份驗(yàn)證策略和做法的標(biāo)準(zhǔn)化，包括頒發(fā)和管理必要的憑據(jù)，并降低每個(gè)應(yīng)用程序獲取或構(gòu)建自己的身份驗(yàn)證解決方案的成本。組織應(yīng)檢查其現(xiàn)有功能，以確定他們是否已經(jīng)具有在整個(gè)組織中提供 MFA 的可行解決方案。例如，聯(lián)邦機(jī)構(gòu)為用戶提供了基于個(gè)人身份驗(yàn)證(PIV) 的身份驗(yàn)證。其用戶賬戶通過大型商業(yè)提供商進(jìn)行管理的組織可能能夠利用其服務(wù)提供商已提供的 MFA 功能。當(dāng)前沒有可用 MFA 功能的組織應(yīng)采購或設(shè)計(jì) MFA 解決方案。

在決定 MFA 解決方案時(shí)，組織應(yīng)考慮以下事項(xiàng)。

• 用戶對網(wǎng)絡(luò)或系統(tǒng)的初始身份驗(yàn)證
• 在用戶訪問其他系統(tǒng)、應(yīng)用程序或新的基礎(chǔ)架構(gòu)段時(shí)進(jìn)行其他身份驗(yàn)證
• 對外部托管資源的身份驗(yàn)證
• 外部實(shí)體對內(nèi)部資源的身份驗(yàn)證

組織決定使用企業(yè) MFA 解決方案后，可以通過單點(diǎn)登錄 (SSO) 和聯(lián)合身份驗(yàn)證服務(wù)擴(kuò)展身份驗(yàn)證功能。SSO和聯(lián)合身份驗(yàn)證可在組織、系統(tǒng)、應(yīng)用程序和資源之間安全地共享身份驗(yàn)證和身份信息，而無需在每個(gè)系統(tǒng)上單獨(dú)實(shí)現(xiàn) MFA 功能。許多系統(tǒng)都配備了用于 SSO的連接器。SSO和聯(lián)合身份驗(yàn)證通過將對資源的訪問控制權(quán)交到中央身份管理管理員手中來增強(qiáng)組織的安全性，這允許組織在用戶離開或賬戶受到威脅時(shí)快速、全面地撤銷對其所有資源的訪問權(quán)限。這些步驟簡化了標(biāo)識生命周期的管理(包括頒發(fā)給用戶的各種憑據(jù))，并幫助確保在用戶離開時(shí)立即撤銷整個(gè)組織的訪問權(quán)限。

另一個(gè)好處是簡化了用戶體驗(yàn) - 用戶不再需要跟蹤數(shù)十個(gè)憑據(jù) - 同時(shí)將組織漏洞減少到用戶管理多個(gè)憑據(jù)的方式的弱點(diǎn)。

單點(diǎn)登錄

SSO 是一種身份驗(yàn)證方法，其中用戶向集中式 SSO 解決方案進(jìn)行身份驗(yàn)證一次(通常使用組織選擇的強(qiáng) MFA 身份驗(yàn)證解決方案)。其他系統(tǒng)和應(yīng)用程序配置為信任 集中式 SSO 解決方案對用戶進(jìn)行身份驗(yàn)證，而無需進(jìn)一步交互(請參見圖 3)。這減少了對多個(gè)系統(tǒng)和服務(wù)重復(fù)進(jìn)行身份驗(yàn)證的需要。最重要的是，當(dāng)用戶通過 SSO 從其初始身份驗(yàn)證移動(dòng)到其他系統(tǒng)時(shí)，該用戶對初始系統(tǒng)的憑據(jù)不會與其他系統(tǒng)共享。用戶進(jìn)行身份驗(yàn)證后，SSO 解決方案將透明且安全地完成所有相關(guān)系統(tǒng)的過程，而無需進(jìn)一步公開初始系統(tǒng)憑據(jù)。此外，每個(gè)應(yīng)用程序都不需要管理自己的身份憑據(jù)存儲，而是利用整個(gè)組織中的集中式存儲。

。

圖 3：通過 SSO 解決方案預(yù)配了具有訪問權(quán)限的中央組織范圍標(biāo)識可跨內(nèi)部和外部資源保護(hù) MFA 網(wǎng)絡(luò)登錄的安全性。

注意：某些 SSO 提供商可能仍會使用其他系統(tǒng)的用戶名/密碼向該系統(tǒng)進(jìn)行身份驗(yàn)證;組織應(yīng)確保在連接到資源的每個(gè)步驟中都使用強(qiáng)大的、非基于密碼的協(xié)議設(shè)置其 SSO 解決方案。存在將 SSO 功能合并到組織的基礎(chǔ)結(jié)構(gòu)中的多個(gè)技術(shù)選項(xiàng)。選擇 SSO 解決方案時(shí)，組織應(yīng)考慮單一注銷功能(在用戶注銷時(shí)終止所有打開的和活動(dòng)的會話)，以最大程度地降低會話劫持的風(fēng)險(xiǎn)。

聯(lián)合身份驗(yàn)證

盡管聯(lián)合身份驗(yàn)證本身并不是弱身份驗(yàn)證的解決方案。它可以為改進(jìn)身份驗(yàn)證提供實(shí)質(zhì)性的間接支持。聯(lián)合身份驗(yàn)證是指在管理自己的用戶、身份和身份驗(yàn)證的多個(gè)組織之間建立受信任關(guān)系，以便接受彼此的用戶。組織應(yīng)僅與它們信任其身份審查和身份驗(yàn)證過程的其他組織聯(lián)合。例如，兩個(gè)組織管理自己的用戶、標(biāo)識和身份驗(yàn)證，然后在其系統(tǒng)之間建立連接，以減少外部用戶使組織容易受到攻擊的弱身份驗(yàn)證點(diǎn)。例如，假設(shè)Acme Anvil Co.和Coyote Missile Co.有一個(gè)重疊的任務(wù)，要求Acme Anvil與Coyote Missile共享信息，但每個(gè)組織已經(jīng)在自己的身份商店中管理其員工的身份。Acme Anvil 可以選擇與 Coyote Missiles 身份存儲建立信任關(guān)系，以授權(quán)訪問 Acme Anvil 系統(tǒng)，而不是使用資源對需要訪問信息的 Coyote Missile 員工執(zhí)行新的背景調(diào)查，而是選擇與 Coyote Missiles 身份存儲建立信任關(guān)系，因?yàn)?Coyote Missile 已經(jīng)對個(gè)人進(jìn)行了背景調(diào)查并確定了他們的身份(見圖 4)。

圖 4：Acme Anvil 的用戶可以使用 MFA 安全地登錄到其公司工作站，并通過安全的聯(lián)合身份驗(yàn)證訪問由其供應(yīng)商 Coyote Missile 托管的應(yīng)用程序，而無需登錄名或密碼。

因此，聯(lián)合身份驗(yàn)證可以將組織的強(qiáng)身份驗(yàn)證和 SSO 功能進(jìn)一步擴(kuò)展到其用戶訪問的受信任組織擁有的系統(tǒng)，反之亦然。需要與其他組織的用戶共享資源的組織可以使用受信任的聯(lián)合身份用戶標(biāo)識，而無需復(fù)制這些用戶的身份證明或身份管理。如果沒有聯(lián)合身份驗(yàn)證，則與其他組織共享的任何資源的身份驗(yàn)證和身份存儲必須與其主身份存儲分開配置和管理，這會增加復(fù)雜性。

知道何時(shí)繼續(xù)前進(jìn)

組織可以識別包含強(qiáng)身份驗(yàn)證的資源，這些資源將被證明過于昂貴或技術(shù)復(fù)雜。如果發(fā)生這種情況，組織必須在以下兩者之間做出決定：

1)保持當(dāng)前系統(tǒng)并實(shí)施補(bǔ)償控制以解決組織面臨的風(fēng)險(xiǎn);或

2) 遷移到新的現(xiàn)代化系統(tǒng)，允許與強(qiáng)身份驗(yàn)證解決方案集成。組織應(yīng)權(quán)衡每個(gè)選項(xiàng)的成本和風(fēng)險(xiǎn)。

注意：盡管超出了本文檔的范圍，但除了遷移到更新技術(shù)在做出決策時(shí)將提供的強(qiáng)身份驗(yàn)證之外，組織還應(yīng)考慮性能和安全優(yōu)勢。

其他戰(zhàn)略考慮因素

特別是對于大型組織，有關(guān)約束性策略、職責(zé)和預(yù)算的非技術(shù)注意事項(xiàng)可能是相關(guān)的。如果信息系統(tǒng)不是由中央辦公室或首席信息官(CIO)管理和控制的，就有必要與擁有這些系統(tǒng)的不同辦公室進(jìn)行更多的接觸和協(xié)調(diào)，以符合本組織的總體戰(zhàn)略。同樣，如果組織的信息技術(shù) (IT) 預(yù)算未集中管理，則組織可能需要考慮如何從組織的每個(gè)元素中恢復(fù)實(shí)現(xiàn)和操作強(qiáng)身份驗(yàn)證、SSO 或聯(lián)合身份驗(yàn)證組件的成本。

雖然自動(dòng)系統(tǒng)到系統(tǒng)連接并不嚴(yán)格在本指南的范圍內(nèi)(并且 MFA 不是服務(wù)器憑據(jù)的選項(xiàng))，但它們?nèi)匀煌ㄟ^提供“非個(gè)人賬戶”來訪問系統(tǒng)來打開攻擊途徑。如前所述，當(dāng)任何形式的弱身份驗(yàn)證與缺乏有效的網(wǎng)絡(luò)分段相結(jié)合時(shí)，可以進(jìn)一步利用此弱點(diǎn)在網(wǎng)絡(luò)中移動(dòng)，從而破壞在其他地方實(shí)現(xiàn)的強(qiáng)身份驗(yàn)證的好處。組織可以通過使用強(qiáng)憑據(jù)(安全套接字層 [SSL] 證書)、加密通信以及特定于應(yīng)用程序或 IP 地址允許列表來保護(hù)這些連接，從而刪除此路徑，以便攻擊者繞過對系統(tǒng)的強(qiáng)用戶身份驗(yàn)證。

戰(zhàn)術(shù)規(guī)劃

戰(zhàn)術(shù)規(guī)劃涉及發(fā)現(xiàn)當(dāng)前狀態(tài)環(huán)境，確定待定狀態(tài)，并制定過渡計(jì)劃以執(zhí)行經(jīng)濟(jì)高效的方法遷移到目標(biāo)狀態(tài)。

要解決弱身份驗(yàn)證問題，必須 1) 了解“原樣”狀態(tài)，2) 可用功能，以及 3) 了解 實(shí)現(xiàn) 所需狀態(tài) 所需的內(nèi)容。 在規(guī)劃和進(jìn)行這些企業(yè)改進(jìn)工作時(shí)，必須避免分析癱瘓。尋求100%的知識或保證(完美)，無論是針對當(dāng)前還是未來狀態(tài)，都會抑制基于可用(足夠好)信息的漸進(jìn)式改進(jìn)。

了解“按原樣”狀態(tài)

1.對當(dāng)前應(yīng)用程序和系統(tǒng)進(jìn)行編目。

2.確定有權(quán)訪問系統(tǒng)或應(yīng)用程序的用戶和用戶組，包括與您共享數(shù)據(jù)的合作伙伴和外部利益干系人。

3.對與合作伙伴共享的數(shù)據(jù)的性質(zhì)進(jìn)行編目，因?yàn)楸Ｗo(hù)敏感數(shù)據(jù)的需求可能會影響協(xié)議和體系結(jié)構(gòu)方面的考慮。在交換敏感數(shù)據(jù)的情況下，可能需要有關(guān)用戶的更詳細(xì)信息才能強(qiáng)制實(shí)施最小特權(quán)訪問。對于敏感數(shù)據(jù)只是系統(tǒng)中數(shù)據(jù)的子集的系統(tǒng)尤其如此(并且組織不希望在非敏感數(shù)據(jù)上產(chǎn)生額外安全性的財(cái)務(wù)或效率成本)。

4.確定每個(gè)用戶對每個(gè)應(yīng)用程序或系統(tǒng)的身份驗(yàn)證方法。

5.標(biāo)識每個(gè)系統(tǒng)或應(yīng)用程序支持的身份驗(yàn)證協(xié)議。

6.確定體系結(jié)構(gòu)的支持元素(例如也需要保護(hù)的自動(dòng)系統(tǒng)到系統(tǒng)連接)，以確保輔助元素的配置不會引入漏洞。

確定當(dāng)前功能

1.確定組織內(nèi)現(xiàn)有的 MFA 功能，例如 PIV 卡身份驗(yàn)證。

2.評估用于執(zhí)行加強(qiáng)身份驗(yàn)證的計(jì)劃的購置或預(yù)算選項(xiàng)，并結(jié)合與廣泛采用強(qiáng)身份驗(yàn)證的策略相一致的成本回收策略。

3.確定可提供 MFA 功能的應(yīng)用程序的現(xiàn)有資產(chǎn)或許可證。

4.評估要與強(qiáng)身份驗(yàn)證解決方案集成的系統(tǒng)或應(yīng)用程序的許可協(xié)議。支持強(qiáng)身份驗(yàn)證方法或強(qiáng)

SSO/聯(lián)合協(xié)議可能需要額外的許可證或來自應(yīng)用程序的不同類型的許可證才能得到保護(hù);這些許可證與強(qiáng)身份驗(yàn)證解決方案或SSO/聯(lián)合解決方案本身的成本是分開的。了解端到端的實(shí)施成本將為總體擁有成本提供信息，并支持有關(guān)經(jīng)濟(jì)高效的風(fēng)險(xiǎn)管理的決策。

5.確定具有實(shí)施 MFA 功能經(jīng)驗(yàn)的當(dāng)前人員。

了解“未來”狀態(tài)

1.選擇最適合您的環(huán)境和法規(guī)要求的強(qiáng)身份驗(yàn)證解決方案(例如，某些身份驗(yàn)證解決方案可能適用于本地體系結(jié)構(gòu)，但可能不適用于云體系結(jié)構(gòu))。

2.定義用戶將如何對網(wǎng)絡(luò)、每個(gè)后續(xù)系統(tǒng)和應(yīng)用程序以及外部托管資源進(jìn)行身份驗(yàn)證;定義外部用戶如何向內(nèi)部資源進(jìn)行身份驗(yàn)證。

3.確定哪些系統(tǒng)和應(yīng)用程序?qū)⒓傻?SSO 解決方案中。

4.確定要與哪些組織建立受信任的聯(lián)合身份驗(yàn)證。

5.為具有不同身份驗(yàn)證強(qiáng)度的系統(tǒng)設(shè)置邊界，并確保來自較弱身份驗(yàn)證系統(tǒng)或用戶的連接不允許對受較強(qiáng)身份驗(yàn)證保護(hù)的系統(tǒng)進(jìn)行弱身份驗(yàn)證訪問。注意從安全性較低的環(huán)境到更安全環(huán)境中的系統(tǒng)跨越邊界的系統(tǒng)到系統(tǒng)之間的連接。

6.在完全部署計(jì)劃的強(qiáng)身份驗(yàn)證解決方案時(shí)設(shè)計(jì)目標(biāo)體系結(jié)構(gòu)。包括 身份驗(yàn)證解決方案將支持其他組織安全做法(如網(wǎng)絡(luò)分段)的位置。

過渡計(jì)劃

1.制定過渡計(jì)劃和計(jì)劃，從“原樣”狀態(tài)到定義的“準(zhǔn)” 狀態(tài)。

a.使用風(fēng)險(xiǎn)管理策略確定用戶和應(yīng)用程序的優(yōu)先級，以便將其載入解決方案。

b.在系統(tǒng)或應(yīng)用程序中具有提升權(quán)限的用戶對于載入最為關(guān)鍵，那些對交付業(yè)務(wù)任務(wù)、核心組織功能或包含敏感數(shù)據(jù)至關(guān)重要的系統(tǒng)或應(yīng)用程序也是如此。

c.確定組織最關(guān)鍵的系統(tǒng)和資產(chǎn)的優(yōu)先級，這些系統(tǒng)和資產(chǎn)具有最弱的身份驗(yàn)證。

2.如果要使用與其他組織的受信任聯(lián)合身份驗(yàn)證，請確定如何在不對其當(dāng)前訪問產(chǎn)生負(fù)面影響的情況下轉(zhuǎn)換這些用戶 。

3.針對代表性系統(tǒng)測試遷移計(jì)劃 。

執(zhí)行階段

在此階段，您的組織使用在規(guī)劃階段獲得的項(xiàng)目執(zhí)行強(qiáng)身份驗(yàn)證。在執(zhí)行過程中，時(shí)間表和其他工件可能需要根據(jù)“地面條件”和經(jīng)驗(yàn)教訓(xùn)進(jìn)行調(diào)整。因此，正在考慮的調(diào)整應(yīng)經(jīng)歷與規(guī)劃階段對工件相同的嚴(yán)格程度。下面的名義時(shí)間表可以根據(jù)工作的規(guī)模和范圍進(jìn)行調(diào)整。

短期行動(dòng)

1.根據(jù)組織的體系結(jié)構(gòu)分析和風(fēng)險(xiǎn)管理確定來采購或設(shè)計(jì)強(qiáng)身份驗(yàn)證解決方案。

2.獲取實(shí)施規(guī)劃階段定義的過渡計(jì)劃所需的硬件、軟件和許可證(包括 SSO 解決方案)。

3.從集中式身份治理管理點(diǎn)識別和編目用于管理用戶的業(yè)務(wù)流程。

4.開始為 組織的特權(quán)用戶 及其轉(zhuǎn)換計(jì)劃中定義的最高價(jià)值系統(tǒng)和資產(chǎn)實(shí)施強(qiáng)身份驗(yàn)證。

5.將 評估 系統(tǒng)身份驗(yàn)證與組織解決方案兼容性的標(biāo)準(zhǔn) 納入組織對擬議收購或新系統(tǒng)的審查中。

中期行動(dòng)

1.繼續(xù)將系統(tǒng)遷移到強(qiáng)身份驗(yàn)證系統(tǒng)。

2.利用強(qiáng)身份驗(yàn)證解決方案的初始實(shí)現(xiàn)連接到 SSO 解決方案。

3.將身份驗(yàn)證從現(xiàn)有系統(tǒng)和應(yīng)用程序轉(zhuǎn)換到 SSO 解決方案。

4.在采購新購置或建議的系統(tǒng)之前，評估這些系統(tǒng)，以確定與組織的強(qiáng)身份驗(yàn)證解決方案的兼容性。

長期行動(dòng)

1.繼續(xù)將系統(tǒng)遷移到強(qiáng)身份驗(yàn)證系統(tǒng)。

2.與其他組織建立聯(lián)合身份驗(yàn)證的信任關(guān)系。

3.載入非個(gè)人實(shí)體，如服務(wù)賬戶。

4. 通過定期審查和更新 需求、策略和參考體系結(jié)構(gòu)，實(shí)現(xiàn)持續(xù)改進(jìn)。

總結(jié)

通過 MFA 進(jìn)行強(qiáng)身份驗(yàn)證是一項(xiàng)關(guān)鍵且有時(shí)成本高昂的投資，但應(yīng)跨所有網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用程序和資源實(shí)施，以充分保護(hù)組織。因此，建議采用組織范圍的方法。在整個(gè)組織中擴(kuò)展 MFA 功能的一種方法是通過 SSO 解決方案。除了為組織的資源提供更好的安全性之外，SSO 解決方案還改善了用戶體驗(yàn)，因?yàn)樗擞涀∶艽a或管理每個(gè)系統(tǒng)和應(yīng)用程序的多個(gè)憑據(jù)(如 RSA 令牌)的需要。在企業(yè)級別實(shí)現(xiàn)的 SSO 解決方案還可以消除系統(tǒng)所有者花費(fèi)資源來管理自己的身份驗(yàn)證解決方案的需要。SSO 解決方案就位后，組織可以通過與其他組織聯(lián)合身份驗(yàn)證來進(jìn)一步擴(kuò)展強(qiáng)大的身份驗(yàn)證功能。通過將這些概念和其他戰(zhàn)略考慮因素納入對其“原樣”狀態(tài)的評估中，組織可以定義他們想要的“未來”狀態(tài)，并制定實(shí)現(xiàn)目標(biāo)的計(jì)劃。