最近，繞過多因素認(rèn)證安全措施的網(wǎng)絡(luò)攻擊激增，使數(shù)據(jù)中心系統(tǒng)處于危險之中。數(shù)據(jù)中心運營商面臨的挑戰(zhàn)在于需要與可能保留傳統(tǒng)MFA協(xié)議的企業(yè)安全策略保持一致，并需要超越傳統(tǒng)MFA以滿足數(shù)據(jù)中心獨特的安全需求。

例如今年8月，網(wǎng)絡(luò)攻擊者欺騙思科公司的一名員工接受了MFA請求，并且能夠訪問關(guān)鍵的內(nèi)部系統(tǒng)。

今年9月，網(wǎng)絡(luò)攻擊者在暗網(wǎng)上購買了Uber公司承包商的密碼，并多次試圖登錄竊取的證書。MFA在起初阻止了登錄嘗試，但最終承包商接受了請求，網(wǎng)絡(luò)攻擊者最終登錄。他們能夠訪問包括G-Suite和Slack在內(nèi)的許多公司的工具。

更令人尷尬的是，網(wǎng)絡(luò)攻擊者在今年8月侵入Twilio廣泛使用的MFA服務(wù)。他們通過欺騙多名Twilio員工來分享他們的證書和MFA授權(quán)。包括Okta和Signal在內(nèi)的100多名Twilio客戶信息被泄露。

MFA網(wǎng)絡(luò)保護(hù)的變化對企業(yè)意味著什么

根據(jù)微軟威脅情報中心在今年夏季發(fā)布的一份報告，除了破壞MFA平臺和欺騙員工批準(zhǔn)非法訪問請求，網(wǎng)絡(luò)攻擊者還使用中間對手攻擊繞過MFA認(rèn)證。在過去的一年中，有10多萬個企業(yè)成為了這些攻擊的目標(biāo)，這些攻擊的工作方式是等待用戶成功登錄系統(tǒng)，然后劫持正在進(jìn)行的會話。

咨詢機(jī)構(gòu)QDEx Labs公司創(chuàng)始人兼首席執(zhí)行官Walt Greene表示，“最成功的MFA網(wǎng)絡(luò)攻擊都是基于社交工程，最常用的是各種類型的網(wǎng)絡(luò)釣魚攻擊。如果實施得當(dāng)，對毫無戒心的用戶進(jìn)行攻擊有很大的成功幾率?！?/p>

很明顯，只是依靠MFA已經(jīng)不夠了，數(shù)據(jù)中心網(wǎng)絡(luò)安全管理人員需要開始提前規(guī)劃密碼后安全模式。在此之前，應(yīng)該采取額外的安全措施來加強訪問控制，并限制數(shù)據(jù)中心環(huán)境中的橫向移動。

數(shù)據(jù)中心不僅應(yīng)該知道如何使用MFA來保護(hù)數(shù)據(jù)中心的運營，還應(yīng)了解如何與業(yè)務(wù)部門或其他客戶合作支持其MFA工作。

超越傳統(tǒng)MFA的進(jìn)步

蘋果、谷歌和微軟今年春季都承諾采用通用的無密碼登錄標(biāo)準(zhǔn)。

這種基于線上快速身份驗證(FIDO)安全標(biāo)準(zhǔn)的新方法，承諾比傳統(tǒng)的多因素認(rèn)證(如通過短信發(fā)送一次性密碼)更安全。預(yù)計它將在明年的某個時候廣泛使用。

在本月初發(fā)布的一份聲明中，美國網(wǎng)絡(luò)安全與基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全局(CISA)主任Jen Easterly敦促每個組織和企業(yè)將FIDO納入其MFA實施路線圖。

她說，“FIDO是黃金標(biāo)準(zhǔn)?！?/p>

特別是，她敦促系統(tǒng)管理員開始使用MFA，并指出目前使用MFA的企業(yè)還不足50%。

她說:“系統(tǒng)管理員是特別有價值的目標(biāo)，他們需要適當(dāng)?shù)乇Ｗo(hù)這些帳戶。”

她還敦促云計算服務(wù)提供商接受100%的FIDO認(rèn)證。她說，“在今年一系列繞過MFA的事件之后，很明顯，成為一個值得信賴的云計算供應(yīng)商意味著‘我們不會丟失你的數(shù)據(jù)，即使我們的員工落入憑證釣魚騙局?！?/p>

添加控件以保護(hù)傳統(tǒng)MFA

在轉(zhuǎn)向無密碼、基于FIDO的身份驗證平臺的同時，數(shù)據(jù)中心也需要加強安全控制。

此外，即使新的無密碼技術(shù)成為主流，這些額外的控制措施(如用戶行為分析)將繼續(xù)有用。

調(diào)研機(jī)構(gòu)Gartner公司副總裁兼分析師Ant Allan表示，對于大多數(shù)安全團(tuán)隊來說，這些額外的控制將是標(biāo)準(zhǔn)方法。

他表示，例如通過檢查確認(rèn)登錄來自與用戶手機(jī)相同的地理位置，可以降低網(wǎng)絡(luò)釣魚的風(fēng)險。

他補充說:“限制移動設(shè)備推送認(rèn)證失敗的數(shù)量可以減少即時轟炸?！奔磿r轟炸是網(wǎng)絡(luò)攻擊者的一種策略，他們不斷嘗試登錄，用戶收到太多的MFA請求，他們感到厭煩并接受了這些請求。

還有一些基于人工智能的安全措施，安全團(tuán)隊可以使用這些措施來發(fā)現(xiàn)可能表明賬戶泄露的可疑用戶行為。

Allan說，“雖然MFA是必要的第一步，但投資于高級分析(包括機(jī)器學(xué)習(xí))將提供更大的靈活性和彈性?！?/p>

他說，數(shù)據(jù)中心也應(yīng)該在身份威脅檢測和響應(yīng)能力方面投入更多資金。他補充說，這并不一定意味著購買新工具。數(shù)據(jù)中心安全管理人員可以利用現(xiàn)有的身份訪問管理和基礎(chǔ)設(shè)施安全工具做更多的工作。

他補充說：“白宮備忘錄M-22-09要求防止網(wǎng)絡(luò)釣魚的MFA可能是其他監(jiān)管要求的風(fēng)向標(biāo)。但尚不清楚這是否需要全新的方法，或者額外的控制是否足夠?！?/p>

咨詢機(jī)構(gòu)Insight公司的首席信息安全官Jason Rader表示，現(xiàn)有的MFA基礎(chǔ)設(shè)施將繼續(xù)發(fā)揮作用。

他說，“威脅行為者通常會從試圖侵入安全性最弱的賬戶開始。面對一個賬戶列表，他們會一直嘗試，直到找到一個沒有MFA要求的賬戶。這就是為什么所有帳戶都應(yīng)該啟用MFA的原因。”

不幸的是，數(shù)據(jù)中心用于運維管理的一些遺留應(yīng)用程序可能根本不支持MFA。

Rader表示 ，對于那些已經(jīng)存在了10年甚至更長時間的數(shù)據(jù)中心來說，情況尤其如此。

他說，“網(wǎng)絡(luò)攻擊者會利用這一點，完全繞過MFA，我想說的是，如果對手能夠找到一個沒有啟用MFA或啟用傳統(tǒng)身份驗證的賬戶，那么他們成功的幾率很高，因為他們所要做的就是猜測密碼?！?/p>

隨著企業(yè)繼續(xù)將其業(yè)務(wù)從數(shù)據(jù)中心轉(zhuǎn)移到混合設(shè)施和云平臺，MFA變得更加關(guān)鍵，因為內(nèi)部部署數(shù)據(jù)中心的傳統(tǒng)安全系統(tǒng)變得不那么重要。

幸運的是，云計算提供商通常為所有用戶提供MFA選項。不幸的是，很多人沒有利用這一點。微軟公司身份安全副總裁Alex Weinert在上個月舉辦的一次會議上表示，只有26.64%的Azure AD賬戶使用MFA。事實上，消費者帳戶被泄露的可能性比企業(yè)帳戶低50倍，因為微軟已經(jīng)為其消費者用戶制定了自動安全策略。企業(yè)需要管理自己的安全策略。

企業(yè)數(shù)據(jù)中心仍然是更廣泛的MFA安全戰(zhàn)略的一部分

Gartner公司的Allan表示，如果企業(yè)的MFA工具托管在他們所管理的基礎(chǔ)設(shè)施中，數(shù)據(jù)中心管理人員也將發(fā)揮重要作用。

他表示，“所有勞動力用例的MFA都將由網(wǎng)絡(luò)安全主管或首席信息安全官負(fù)責(zé)。數(shù)據(jù)中心管理人員將負(fù)責(zé)在他們負(fù)責(zé)的基礎(chǔ)設(shè)施中正確集成企業(yè)的MFA工具?！?/p>

因此，為企業(yè)運行內(nèi)部部署設(shè)施、混合云或云平臺的數(shù)據(jù)中心管理人員將在企業(yè)范圍內(nèi)的MFA中占有一定的份額，該MFA由公司員工、承包商、合作伙伴和客戶使用。

Allan說:“數(shù)據(jù)中心管理人員應(yīng)該在管理企業(yè)安全計劃的安全理事會或委員會中擁有一席之地，可以對政策、技術(shù)選擇等做出決定。