面对网络攻击 多重身份认证毫无用处

最近，规避多因素认证(MFA)安全措施的网络攻击数量激增，导致数据中心系统岌岌可危。数据中心面临的挑战在于需要与可能符合传统MFA协议的整体企业安全策略保持一致，并超越传统MFA以满足数据中心独特的安全需求。

今年8月，攻击者诱骗思科的一名员工接受MFA请求，从而获得关键内部系统的访问权限。

优步声称，今年9月，攻击者在暗网上购买了优步承包商的密码，并多次试图用窃取的凭据登录系统。起初，MFA阻止了登录的尝试，但最终承包商接受了请求，因此攻击者径直驶入。攻击者访问了许多公司工具，包括G-Suite和Slack。

更尴尬的是，今年8月，攻击者入侵了Twilio广泛使用的MFA服务。他们通过欺骗Twilio的员工来共享凭证和MFA授权。结果招了100多个Twilio的客户，包括Okta和Signal。

MFA网络保护方面的变化对用户意味着什么？

根据微软威胁情报中心今年夏天发布的报告，除了攻击MFA平台和诱骗员工批准非法访问请求，攻击者还使用中间人攻击来绕过MFA验证机制。在过去的一年中，超过10，000个组织成为这些攻击的目标，这些攻击的工作方式是等待用户成功登录系统，然后劫持正在进行的会话。

咨询公司QDEx Labs的创始人兼首席执行官沃尔特格林(Walt Greene)表示，最成功的MFA网络攻击都是基于社会工程伎俩，最常用的伎俩是各种网络钓鱼。如果实施得当，这些攻击对于不知情的用户来说有相当大的成功机会。

显然，单靠MFA是不够安全的，数据中心网络安全管理员需要提前开始规划后密码安全模式。在此之前，应部署额外的安全措施，以加强访问控制并限制数据中心环境内的横向移动。

数据中心不仅应该知道如何使用多因素身份认证来保护数据中心运营，还应该知道如何与业务部门或其他客户合作来支持他们的MFA工作。

传统MFA之外的进步

今年春天，苹果、谷歌和微软都承诺采用通用的无密码登录标准。

这种基于FIDO安全标准的新方法承诺比传统的多因素安全(如短信发送的一次性密码)更安全。预计明年某个时候会被广泛使用。

在本月早些时候发布的一份声明中，网络安全和基础设施安全局(CISA)局长Jen Easterly敦促每个组织将FIDO纳入MFA实施路线图。她说FIDO是一个安全标准，每个组织都应该把它落实到位。

她特别敦促系统管理员开始使用MFA，并指出目前使用MFA的不到50%。系统管理员是特别有价值的目标，组织需要适当地保护他们的帐户。

她还敦促云服务提供商接受100%的FIDO验证。在今年一系列绕过MFA的安全事件被曝光后，成为一个“值得信赖”的云服务提供商显然意味着“我们不会丢失你的数据，即使我们的员工陷入凭证钓鱼的陷阱”。

加强控制措施以保护传统MFA

即使在迁移到无密码的基于FIDO的身份认证平台之前，数据中心也需要加强安全控制。

此外，即使新的免密码技术确实成为主流，这些额外的控制措施(如用户行为分析)仍将继续有用。

Gartner副总裁兼分析师Ant Allan表示，对于大多数安全团队来说，这些薪酬控制将是标准方法。例如，检查以确认登录来自与用户移动电话相同的地理位置，可以降低网络钓鱼的风险。

他补充说，限制移动推送认证失败的次数可以减少提示轰炸。即时轰炸是袭击者的一种战术。他们不断尝试登录，用户收到太多的MFA请求，所以他们不厌其烦地接受这些请求。

还有一些基于人工智能的安全措施，安全团队可以用来发现可能表明帐户泄漏的可疑用户行为。虽然MFA是必要的第一步，但是购买高级分析(包括机器学习)技术会带来更多的灵活性和弹性。

数据中心还应该加大对身份威胁检测和响应能力的投资，这并不一定意味着购买新工具。数据中心安全经理可以利用现有的身份访问管理和基础设施安全工具完成更多工作。

白宫M-22-09备忘录要求MFA防止网络钓鱼，这很可能为其他监管要求树立榜样。然而，不清楚这是否需要新的方法，或者补偿控制是否足够。

咨询公司Insight的首席信息安全官Jason Rader表示，现有的MFA基础设施将继续发挥作用。

他说，威胁通常始于试图闯入最不安全的账户。如果他们有条不紊的浏览所有账号，他们会一直尝试，直到找到一个没有MFA要求的账号。这就是为什么所有帐户都应该启用MFA。

不幸的是，一些用于数据中心运营管理的传统应用程序可能根本不支持MFA。对于已经存在10年或更长时间的数据中心来说尤其如此。

坏人会利用这一点，完全绕过MFA。如果攻击者能够找到一个未启用MFA或传统身份验证的帐户，他们成功的几率很高，因为他们只需正确猜测密码。

随着企业不断将数据中心迁移到混合模式和云模式，MFA变得越来越重要，因为本地数据中心的传统安全系统变得越来越不重要。

幸运的是，云服务提供商通常会向所有用户提供MFA选项。不幸的是，许多用户没有充分利用这个选项。微软负责身份安全的副总裁亚历克斯韦纳特(Alex Weinert)在上个月的一次会议上表示，只有26.64%的Azure广告账户使用MFA。事实上，消费者账户被攻击的可能性只有企业账户的1/50，因为微软为消费者用户设置了自动安全策略。企业需要管理自己的安全策略。

企业数据中心仍然是更广泛的MFA安全战略的一部分

Gartner的Allan表示，如果企业MFA工具托管在内部管理的基础设施中，数据中心管理员也将发挥作用。他说，数据中心管理员和其他人将负责在他们负责的基础设施中正确集成企业MFA工具。

因此，为企业运行本地数据中心、混合数据中心或云数据中心的数据中心管理员将关系到覆盖整个企业的MFA的成败，公司的员工、承包商、合作伙伴和客户都使用这个MFA。

数据中心管理员应该在管理组织安全计划的安全委员会中占有一席之地，并对政策和技术选择做出决策。