MFA不是網(wǎng)絡安全的萬靈藥
責編:gltian |2020-09-30 11:01:43在“零信任”時代,多因素認證(MFA)已經(jīng)成為企業(yè)加強基于身份的網(wǎng)絡安全管理的“必修課”,在“多因素認證六大常見錯誤與誤區(qū)”中,我們了解到錯誤的認知和部署會讓MFA的效用大打折扣。本文,我們將探討MFA技術自身面臨的威脅。
首先,我們要肯定MFA的有效性,今年早些時候,微軟報告稱,其追蹤的違規(guī)賬戶中有99.9%沒有使用MFA。而Gartner上周發(fā)布的2020-2021年十大熱門網(wǎng)絡安全項目中,MFA與SSO和IAM一起,并列最熱門網(wǎng)絡安全項目榜首(遠程辦公安全類)。
隨著越來越多的人在線訪問高價值賬戶,雙因素身份驗證?(2FA) 和多因素身份認證(MFA)?越來越受歡迎。在2019年12月的一份報告中,安全公司Duo Security發(fā)現(xiàn),采用2FA的用戶在兩年內幾乎翻了一番,53%的受訪者使用2FA作為其部分賬戶(2017年為 28%)。根據(jù)這項研究,年輕人更加容易接受2FA和MFA,超過三分之二(34歲以下)年輕人在一些賬戶上使用2FA,而65歲或以上的人中,只有三分之一的人使用這種技術。
但是,隨著越來越多的用戶開始使用多重身份驗證(MFA)加強端點安全,我們也看到攻擊者也正在馬不停蹄地設計新的方法來規(guī)避MFA技術,其中一些嘗試已經(jīng)取得巨大成功。
例如,本月早些時候,安全公司Proofpoint報告了其在Microsoft WS-Trust中披露的關鍵漏洞,這些漏洞可用于繞過微軟云服務的MFA,首當其沖的就是Microsoft 365。Proofpoint指出,網(wǎng)絡罪犯可使用從網(wǎng)絡釣魚和憑據(jù)轉儲中獲得的憑據(jù)登錄到Office 365、Azure和其他Microsoft服務。
此類漏洞是繞過MFA所提供的額外安全性的諸多方式之一。雖然安全專家強調MFA可提高在線用戶的整體安全性,但可利用的漏洞和糟糕的用戶安全意識可能會極大削弱MFA的這種保護。
“在云安全方面,MFA不是靈丹妙藥,”Proofpoint的高級威脅檢測分析人員Or Safran在分析漏洞時說:“隨著更多組織采用該技術,攻擊者將發(fā)現(xiàn)并濫用更多的漏洞。不可否認,MFA可以改善整體安全狀況,尤其是在與以人為中心的威脅可見性和自適應訪問控制相結合時。”
Proofpoint發(fā)現(xiàn)的關鍵漏洞是針對MFA這種日益流行的安全技術的最新利用方案。去年,F(xiàn)BI警告說,網(wǎng)絡罪犯已經(jīng)采取了各種措施來繞過MFA。根據(jù)FBI的通報(下載鏈接在文末),在2019年的一個案例中,一個銀行機構網(wǎng)站的代碼注入錯誤允許攻擊者輸入修改過的多因素字段取代PIN碼,從而繞過第二個認證因素。
然而,雖然這種繞過技術并不罕見,但更常見的攻擊手法是攻擊者滲透MFA流程并竊取密碼或安全令牌。安全培訓公司KnowBe4的數(shù)據(jù)驅動防御分析師羅杰格里姆斯表示,MFA被繞過的原因往往可以追溯到對缺乏警惕性的用戶的欺詐(例如Twitter大規(guī)模賬戶泄露事件中,年輕黑客僅僅是通過電話詐騙就繞過了多因素認證)。
“垃圾郵件發(fā)送者和網(wǎng)絡釣魚者經(jīng)常發(fā)起廣泛攻擊來收集憑據(jù)。MFA可以防止這些類型的攻擊,”格里姆斯說。但是,即使用戶啟用了MFA,往往對攻擊者構不成太大的障礙,在某些情況下,反而會使攻擊更加容易。
最常見的MFA攻擊類型是攔截一次密碼。實時攻擊使用中間人代理來獲取用戶輸入他們認為是合法的網(wǎng)站的一次性密碼。2019年,網(wǎng)絡安全研究人員發(fā)布了一個名為Muraena的工具,可以“收割”第二個認證因素。最為廣泛使用同時又最為脆弱的多因素認證渠道就是短信,這種防御是如此稀碎,以至于美國國家標準與技術研究所(NIST)早在2016年5月就警告不要使用短信發(fā)送多因素認證憑據(jù)。
另一種常見方法是竊取發(fā)送給用戶的安全令牌,以簡化將來的登錄。重復使用令牌可以允許攻擊者訪問用戶帳戶。最后,對軟件的技術攻擊(通常針對對傳統(tǒng)安全技術的支持)可以對受 MFA 保護的服務進行廣泛攻擊。
“根據(jù)我們對電子郵件、云和混合攻擊的監(jiān)控,威脅活動增加最迅猛的是惡意的第三方應用程序濫用OAuth令牌,微軟稱之為‘同意網(wǎng)絡釣魚’。”Proofpoint網(wǎng)絡安全策略執(zhí)行副總裁Ryan Kalember指出。
目前限制MFA繞過攻擊的最佳技術是基于最新的快速身份在線(FIDO)標準FIDO2,它使用設備標識來強化針對遠程攻擊者的身份驗證過程以及各種推送技術,這些技術在注冊設備上提醒用戶任何訪問嘗試,并要求他們批準該訪問。
KnowBe4的格里姆斯說:“有很多很爛的MFA繞過技術,當然也有好的解決方案,無需置疑的是,攻擊者正在開發(fā)更好的繞過技術。”
一切皆可破解。因此,MFA不是可以讓企業(yè)安全管理者高枕無憂的“萬靈藥”。企業(yè)還需要在正確部署MFA的基礎上,加強對最終用戶識別攻擊的安全意識培訓。僅僅擁有MFA并不意味著對攻擊免疫。
參考資料
FBI通告:犯罪分子使用社交工程技術繞過MFA認證
https://www.sc.edu/study/colleges_schools/law/centers/cybersecurity/_docs/fbi_cyber_pin/2019/fbi_pin-20190917_multi-factor_authentication.pdf
- ISC.AI 2025正式啟動:AI與安全協(xié)同進化,開啟數(shù)智未來
- 360安全云聯(lián)運商座談會圓滿落幕 數(shù)十家企業(yè)獲“聯(lián)營聯(lián)運”認證!
- 280萬人健康數(shù)據(jù)被盜,兩家大型醫(yī)療集團賠償超4700萬元
- 推動數(shù)據(jù)要素安全流通的機制與技術
- RSAC 2025前瞻:Agentic AI將成為行業(yè)新風向
- 因被黑致使個人信息泄露,企業(yè)賠償員工超5000萬元
- UTG-Q-017:“短平快”體系下的高級竊密組織
- 算力并網(wǎng)可信交易技術與應用白皮書
- 美國美中委員會發(fā)布DeepSeek調查報告
- 2024年中國網(wǎng)絡與信息法治建設回顧