首頁 > 關于我們 > 新聞動態 > 深度解讀

多因素認證(MFA)是最有效的防御措施

發布時間 2022-10-25
隨著云計算、大數據、人工智能、物聯網、5G等新興技術的飛速發展與普及,以數據泄露為代表的安全事件在全球范圍愈加頻發。據IBM Security《2022年數據泄露成本報告》顯示,數據泄露的平均成本已達 435 萬美元,較2020年增長了近13%。數據泄露給企業安全帶來嚴峻考驗的同時,也引發其對安全能力建設新的思考。


憑證是最大的攻擊向量


Verizon《2022年數據泄露調查報告》顯示,2022年數據泄露事件中82%的違規行為涉及人為因素,勒索軟件泄露事件增加了13%,超過去五年的總和。目前有四個主要途徑會威脅到數據資產:憑證竊取、網絡釣魚、漏洞利用和僵尸網絡,其中憑證竊取排第一,是最大的攻擊向量。


憑證竊取成為威脅數據資產的首要途徑

圖1:憑證竊取成為威脅數據資產的首要途徑


攻擊者常常使用密碼噴射、憑證填充、中間機器等攻擊向量竊取憑證,以直接獲取的姿態盜取數據。為何憑證竊取會成為數據泄露的首要途徑?歸根結底,是因為單因素認證。它是一種單一驗證自己身份的方法,嚴重依賴于將一個因素(例如密碼)與用戶名匹配以獲取對系統的訪問權限,安全性無疑是最低的,加之單因素認證還常常伴生弱口令這種高風險漏洞,更極大的增加網絡犯罪分子接管帳號權限的可能性。

 

盡管每年都會出現數據泄露的事件,但組織可以尋求創新方法來防止數據泄露并減輕潛在損害。例如,在2014年iCloud被攻擊之后,Apple開始積極鼓勵用戶采用雙因素身份驗證,以加強數據安全性。

 

《Delinea 2022全球研究報告》指出:根據來自全球2100名安全專家的數據,50%的公司使用安全密鑰保護特權訪問。此外,這些公司中已有48%使用多因素認證(MFA)或雙因素認證(2FA),只有41%使用密碼輪換。


48%公司已使用MFA或2FA

圖2:48%公司已使用MFA或2FA


因此,單一的靜態口令認證已不能適應當前復雜多變的網絡對抗形勢!面對攻擊行為,我們需要啟用額外的認證安全層保護敏感的關鍵資源,多因素認證(MFA)是最有效的防御措施。如果您還沒有考慮過這種技術,那么是時候開始了!


加強多因素認證已成為標準規范


1、國內:多個政策嚴密規范安全合規建設


等保2.0《信息安全技術—網絡安全等級保護基本要求》身份鑒別要求章節,針對第三級系統的身份鑒別提出:應采用口令、密碼技術、生物技術等兩種或兩種以上組合的鑒別技術對用戶進行身份鑒別。


《網絡安全等級保護測評高風險判定指引(T/ISEAA 001-2020)》針對第三級及以上系統明確:關鍵網絡設備、安全設備、操作系統如果不滿足雙因素鑒別要求,則可判定為高風險項。


FYB/T 59007—2020《運維服務過程安全管理規范》7.2.2 身份鑒別管理章節要求應具備管理帳號多因素強認證功能,不限于通過Radius、Tacacs等認證協議接管網絡設備、安全設備、主機、數據庫的認證。


2、國外:單因素身份驗證被CISA添加到不良做法列表


CISA 2021年8月在“高風險”網絡安全實踐的不良做法列表中添加了“使用單因素身份驗證對系統進行遠程或管理訪問”這一項。文中指出使用單因素身份驗證對支持關鍵基礎設施運行的系統進行遠程或管理訪問是危險的,并顯著增加了對國家安全、國家經濟安全以及國家公共衛生和安全的風險。


UIAM--有效防御數據泄露的更優選擇


啟明星辰集團于2020年發布了多因素認證的安全產品,即統一身份認證系統(簡稱UIAM)。UIAM為針對性滿足等保2.0認證測評相關要求而設計的一款產品,支持通過標準認證協議(Radius、Tacacs+、Ldap)接管目標資源認證,進行統一認證管理和統一帳號管理,實現用戶登錄資源時進行雙因素認證,滿足等保合規要求。任意類型的目標資源,無論是主機設備、網絡設備、安全設備、數據庫還是其他,只要支持標準認證協議,都可以快速配置從而接入UIAM認證,實現認證加固。


啟明星辰多因素認證產品UIAM

圖3:啟明星辰多因素認證產品UIAM


1、網絡運維安全威脅難題解析


目前與運維網關相關聯的攻擊方式,主要包括:

攻擊者獲取了憑證,則以“合法身份”登錄運維網關,暢通無阻;

資源外部網絡可達,外部攻擊者可對其直接實施網絡攻擊;

網絡配置失誤,遠程管理資源時可繞過運維網關,導致其面臨內部惡意人員網絡攻擊;

資源自身存在重大安全漏洞,導致同網段或路由可達的資源面臨網絡攻擊。


與運維網關相關聯的攻擊方式

圖4:與運維網關相關聯的攻擊方式


同時,從歷次攻防演練來看,憑證的泄露只是運維網關遭受攻擊的其中一面,其最大的問題在于資源自身認證安全性太低,大多數資源僅為單一靜態認證方式,由于沒有雙因素等強鑒別措施保障,導致攻擊者可利用獲取的憑據或管理用戶的簡單方式假冒用戶身份。


2、UIAM:多重機制有效保障企業數據安全


在原本靜態帳號密碼認證的基礎上增加認證因子,有效防止決靜態密碼被竊取后導致的非授權訪問和數據泄密問題,保護所有資源免受基于憑據的攻擊向量。

通過標準協議直接在目標資源實現雙因素認證加固,滿足等保2.0身份鑒別合規性要求。

消滅傳統運維管控盲點,解決繞開運維網關直接登錄設備的安全問題。

實現網絡設備AAA管理,解決網絡中心多種類型設備統一認證管理難題,通過簡單的配置和集中的訪問管理節省管理資源。


啟明星辰集團二十余年來一直深耕安全領域,擁有深厚的核心技術沉淀及全面的數據安全產品,并且立足于行業和社會需求,將自身技術手段與實際應用場景相結合,為企業數字化轉型提供強有力的技術能力支撐,切實保障網絡安全建設與發展。

上一篇 下一篇