一扇没有锁的门不能为投机取巧的小偷提供一层安全保障. 如果门是锁着的,你至少有一层安全保障. 现在, 想象一下,门上还有一个卡片或指纹识别器,必须与钥匙一起使用才能打开门. 这样,你就有了多层安全保障. 而一个熟练的小偷或攻击者仍然可以想象进入, 这需要更多的时间, 他们可能会转移到更容易的目标.
近年来,针对组织的攻击变得越来越复杂,而基本的攻击——例如 网络钓鱼邮件这些几乎任何人都可以做的事情,仍然是获取组织最敏感和关键信息的相当有效的方法.
多因素身份验证已经发展成为使组织免受远程攻击的最有效的控制方法,并且在正确实现的情况下, 能否阻止大多数威胁参与者轻松地在您的组织中获得初始立足点, 即使凭证被泄露.
多因素身份验证是通过验证两个或多个“因素”来识别用户的过程,或该用户独有的特征.
在认证过程中,通常会使用三个不同的特征作为因素:
双因素身份验证的常见实现包括“您知道的事情”因素(例如.e. 密码)和“你拥有的东西”(i.e. 一次性密码发送到您的智能手机或通过令牌提供).
身份验证是计算机验证用户身份的过程.e. 用户名及密码), 多因素身份验证增加了一层额外的保护和安全性,以防止最常见的泄露类型之一——泄露凭证. 无需通过多因素身份验证添加安全层, 因为密码仍然很容易被猜出,所以要真正验证访问系统的用户就是他们所说的那个人就更加困难了, 裂纹, 或者偷.
本期《明升体育app下载》, Derek Rush与Bill Dean讨论多因素身份验证(MFA). 许多组织已经转向MFA来维护数据安全. 其目标是超越密码,使网络犯罪分子更难攻击. 然而, MFA并不是应对所有安全威胁的灵丹妙药, 尽管最好有个合适的地方, 这不是万无一失的. 在这一集里, 明升体育app下载专家将讨论MFA实施的问题, 以及我们建议客户采取的不同做法.
当连接到互联网上的服务时,多因素身份验证也是类似的. 用户凭据很容易因密码和网络钓鱼攻击而受到损害. 而员工则需要接受 安全意识培训在美国,网络钓鱼威胁正变得越来越复杂,而用户可能不会 充分了解风险 如果黑客利用被破坏的凭据,网络就会暴露.
而不是创造一个强有力的传球短语 (不及格)词),当提示时,他们只做最少的工作. 威胁行为者知道这一点,只要有机会就会利用这一点. 和, 如果您的网络连接到Internet, 你没有使用多重身份验证登录, 那些威胁分子可以直接从前门进来.
对多因素身份验证的需求也超出了您的直接网络. 如果您的组织使用任何第三方服务的帮助, 他们还应该使用多因素身份验证.
原因如下:
你可以强制执行 密码复杂度规则, 但你不能强迫人们对你公司使用的所有第三方服务使用不同的密码. 现在, 想象一下,一个威胁参与者通过猜测或成功地对用户进行网络钓鱼获得了用户的密码. 他们试图使用受损的凭证登录到您安装了MFA的公司网络. 第一个因素是成功, 但是当谈到第二个因素时, 恶意用户无法成功登录.
他们可能会拿着受损的凭证,在组织常用的第三方服务上进行尝试,直到它在某个地方起作用. So, 而威胁行为者可能无法直接访问您的网络, 如果您没有在这些第三方服务上安装MFA,他们仍然可以访问敏感数据或业务流程.
另一个需要MFA的场景是在包含高度敏感数据的网络分段区域内, 例如持卡人数据环境(CDE). 即使需要多因素身份验证才能登录到您的网络, 您仍然需要添加一个额外的MFA层来登录cde -即使它没有直接连接到互联网.
这一额外的安全层不仅有助于遵从性, 但这对于保护组织所持有的最敏感数据也很重要. 因为,虽然多因素身份验证在正确执行的情况下是有效的,但它并不是绝对正确的.
考虑一下这个例子:
您为您的网络实现MFA,教员工正确使用它,然后继续前进. 您已经安装了MFA并激活了所有公司服务(电子邮件), 远程访问, (包括第三方服务),将用户重定向到需要MFA的单点登录(SSO)身份验证门户. 你可以走了,对吧?
不完全是.
在一个未公开的地点,一个威胁行为者试图访问你的一个新员工的账户,这个新员工可能在新员工安全意识培训期间没有密切关注. 这名员工一直在手机上收到来自他们开始在公司工作时安装的MFA应用程序的提醒.
员工知道他们不是在尝试登录,但他们把它当作技术故障而不予理会. 员工最终会厌倦自己的手机铃声, 所以用户确认从MFA应用程序的登录请求.
就这样,一个威胁行为者进入了你的网络,即使你已经安装了MFA.
信息安全没有保证. 而你可以尽可能地为自己做好准备, 用户错误应该始终在您的决策和基础设施中发挥作用. 是否在安全监控过程中对大量成功登录但失败的MFA尝试发出警报?
网络的需求可以根据组织的规模和类型而变化. 决定如何最好地保护你的资产和教育你的员工可能会带来意想不到的独特挑战. 所以,如果你正在寻找一些关于如何最好地保护你的网络或实现MFA的指导, 让我们知道我们很乐意今天就帮你开始工作.
跨组织的面向internet的资产实现多因素身份验证是防止对敏感数据进行未经授权访问的最有效方法之一. 多因素身份验证, 当实现正确时, 可以用来保护经常被忽视的身份验证点吗, 例如电子邮件和商业应用程序. 没有这层额外的保护, 攻击者可以利用暴露的电子邮件帐户或破坏保护较差的应用程序来访问其他用户信息——甚至更糟, 使用妥协作为“立足点”来升级特权并获得对整个环境的超级用户访问权限.
当威胁参与者试图对启用了多因素身份验证的帐户进行身份验证时,可以看到多因素身份验证的一个经常被忽视的好处, 目标员工接收第二个认证因素. 员工, 如果训练得当, 是否应该意识到这种危害,并将其报告给他或她的安全或it部门,以便解决和进一步预防.
多因素身份验证可以用于任何场景(内部或外部),在这些场景中需要额外的保护和安全层,以防止凭据受损. 多因素身份验证最重要的应用之一是远程访问和管理网络环境. 因为访问远程环境不需要攻击者在场就能获得对计算资源的访问, 它创建了一个匿名层,攻击者可以利用它来获得优势. 无论何时谈到远程访问, 我们还想考虑像多因素身份验证这样的辅助控制,以确保访问远程资源的人确实是他们所说的那个人. 多因素身份验证在远程环境中提供这种保证,强烈建议用于任何远程访问, 对于云服务的远程管理尤其如此.
随着对组织的网络攻击的增加, 密码强度不能作为组织防止威胁参与者获得未经授权访问的唯一保护层. 虽然不是防弹的, 多因素身份验证是一种经过验证的方法,可以减少因密码泄露而导致数据泄露的可能性.
坏人总是在寻找阻力最小的道路, 获得未经授权访问的最简单方法之一就是从已批准的用户那里窃取凭据. 这就是网络钓鱼攻击背后的思想, 但它也代表了在2016年雅虎(Yahoo)等事件中瞄准用户凭证的推动力! 违反, 其中至少有5亿个账户的账户信息和加密密码被盗.
用户重复使用密码/口令总是一个问题, 当然,员工在创建第三方网站账户时使用自己的工作凭证也并不罕见. 因此, 如果第三方数据泄露导致数亿用户名和密码组合被广泛公开披露, 未经授权的用户可以使用这些工具成功地远程访问您的环境.
这种未经授权的访问可能表现为通过VPN远程登录或访问在线Web门户(特别是电子邮件)。. 远程访问需要第二个身份验证因素, 比如发送到用户手机上的短信, 有助于降低泄露的密码或密码短语授予未经授权的用户对组织环境和/或资源的外部访问权的可能性. 许多组织已经在VPN访问中使用双因素身份验证, 但在线门户网站和电子邮件往往被忽视. 从这些门户获得的信息对于恶意行为者在执行侦察时非常有用, 因此,在考虑是否对外部门户和电子邮件访问使用双因素时,请考虑对环境的这种风险.
系统管理员当然不能避免密码/密码短语重用问题. 由于他们经常与组织内高度敏感的资源和信息打交道, 应该要求系统管理员对本地和远程访问使用双因素身份验证. 他们在你的组织中拥有很大的权力, 和, 借用一个老漫画书的比喻, 权力越大,责任越大——这就需要双因素认证.
明升体育app下载团队随时准备为您提供广泛的网络防御服务.
希望了解更多关于LBMC专家如何通过多因素身份验证帮助您的组织防止攻击的信息? 明升体育app下载 今天!
