抗网络钓鱼的多因素认证:为什么组合策略是您的选择

时间：2024-04-11作者：安策信息技术（上海）有限公司浏览：27

来自IC内部 泰利斯可信网络技术公司
作者是吉姆狄更斯先生。泰利斯公司CTO，可信网络技术认证产品经理
当涉及到为网络安全部署多因素认证(MFA)解决方案时,一个额外的问题是,这些解决方案现在必须能够抵抗网络钓鱼,以阻止威胁行为的无情攻击。不幸的是,这个问题没有单一的"现成的"解决办法。根据您的代理机构的特殊需求,您可能需要考虑将防网络钓鱼的MFA与增强认证体验相结合。
从当前的报告中可以清楚地看到,对抗网络钓鱼的MFA的需求。根据StationX的报告, 2024年**网络钓鱼统计:较新数字和趋势 该公司表示,"每天有34亿封电子邮件是由网络犯罪分子发送的,这些电子邮件看起来像是来自可信的发送者。这是**过一万亿的钓鱼电子邮件每年。"该报告指出,36%的违规行为源于网络钓鱼,而网络钓鱼占所有勒索软件攻击的45%。坏人不再需要闯入了。他们欺骗你,让你提供你的证书,然后他们就可以直接登录。
在这篇文章中,我们将论证为什么联邦机构必须改进访问控制。让我们从联邦零信任策略开始,了解它是如何融入到各种MFA策略中的。
了解关于外交部的联邦零信任战略
2021年5月,** *14028号行政命令 .**在声明中强调,联邦**和任何与**有业务往来的公司都必须采取行动,确保云服务和零信任架构的安全。这个体系结构包括多因素身份验证和加密。
"零信任"战略非常重视加强企业身份和访问控制,包括MFA。它**防范复杂的网络钓鱼,指导机构巩固身份系统,以更好地保护和监测--"联邦工作人员拥有企业管理的账户,使他们能够访问他们工作所需的一切,同时可靠地受到保护,免遭有针对性的、复杂的网络钓鱼攻击。"
**管理和预算办公室( OMB)M-22-09号 提供关于零信任的支持性指导,并大力强调加强企业身份和访问控制,包括MFA。它**防范复杂的网络钓鱼,指导机构巩固身份系统,以更好地保护和监测。
CISA表示,"MFA减少入侵风险的较重要的网络安全做法之一--据行业研究,启用MFA的用户账户泄露的可能性降低了99%。"
CISA零信任成熟度模型2.0版本中详细的介绍了身份认证较佳做法,其中包括提高成熟度级别,每个标准都有各自的要求。初始成熟度级别要求使用MFA"可能包括密码作为一个因素。"
先进的和较佳的成熟度级别要求使用抗网络钓鱼的MFA。高级级别声明,"代理机构开始使用防网络钓鱼的MFA和属性验证所有身份,包括初始密码的实施。为了达到较佳状态,"机构不断地用抗网络钓鱼的MFA验证身份,而不仅仅是在较初授权访问时。"
尽管*部并没有特别要求在零信任参考架构 (ZTA)中使用防网络钓鱼的MFA,但它详细规定了动态、连续认证的要求,这些要求与(OBM) M-22-09号报告要求的MFA元素一致 .ZTA指出,"两个因素认证、身份验证令牌、用户名和密码登录没有跟上业界的多因素身份验证进展。"
ZTA还指出,"动态、连续的认证过程始于用户/NPE访问请求。例如属性数据,如CAC和证书或生物鉴别将提供给身份代理进行验证。"这些基于属性的访问控制是抗网络钓鱼的MFA的基石。
三大抗网络钓鱼MFA组件
联邦机构在开发防网络钓鱼的多因素认证系统时,需要有三个核心身份识别和访问管理功能:
企业身份证系统。 企业身份管理系统必须与通用的机构应用程序兼容,并应在机构之间和与外部操作的云服务相集成。幸运的是,现代开放标准可以在这方面有所帮助。然而,重要的是要注意,严格的访问控制意味着机构必须利用来自不同来源的数据,包括设备和用户信息的分析。
多因素认证。 并非所有的多因素认证方法都能防止复杂的钓鱼攻击。因此,必须向机构工作人员、承包商和合作伙伴提供防网络钓鱼的MFA解决方案,如PIV、FIDO2和基于网络认的身份验证器,以及公钥基础设施认证型智能卡。
用户授权。 目前,联邦系统通常依靠基于角色的访问控制(rbac)。静态预先定义的角色分配给用户,这些角色设置每个用户的权限。相比之下,零信任体系结构必须具有更基本的动态定义权限,例如基于属性的访问控制(ABAC)。
根据NIST的说法，ABAC必须处理这样的情况:“主体对对象执行操作的请求是根据主体的*属性、对象的*属性、环境条件以及根据这些属性和条件*的一组策略来批准或拒绝的。”
授权系统在规范对企业资源的访问时,至少应在认证用户的身份信息中加入一个设备级信号。
然而,验证者的问题是,所有使用共享秘密的MFA流程都很容易受到钓鱼攻击。这包括依靠记住的秘密、查找机密、包括推入通知在内的带外认证(SMS/PSTN)和一次性密码(TP)的认证方法。
NIST认为短信认证是不安全的。它被NIST列为一种"受限制的"认证手段,因为它在当今的威胁环境中不太可靠。使用公用交换电话网络的认也被认为是不安全的,因为存在设备感染,认证垃圾邮件和其他社会工程的可能性。SMS或PSTN认证可能是种更好的方法,但是NIST仍然不认为它是抗网络钓鱼攻击的。
由于抗网络钓鱼的MFA方法可能不适合于所有的环境和环境,NIST建议,除了抗网络钓鱼的MFA,组织至少应该有一个其他的不受限制的认证器,以满足被选中的应用程序或服务的必要的保证水平。
因此,尽管OTP不具有抗网络钓鱼能力,但它们仍然可以作为对某些MFA服务的辅助方法--这取决于用户和数据敏感性。
通过将PUSH OTP与条件和上下文身份验证相结合，可以强化基于手机的身份验证应用程序。
如果登录上下文被认为是高风险的(例如，由于地理位置)，则可能要求用户提供额外的身份验证方法。
因此，将PUSH oTP与设备原生生物识别技术相结合，可以自信地证明特定设备-个体配对的有效性。
通过风险监控、端点安全和异常检测，可以确保认证的完整性。
综合安全措施的重要性
不过,一个更好的安全性方法将是提供抗网络钓鱼的MFA增强认证体验的方法。在这种情况下,各机构应该考虑将FIDO2设备与生物识别技术相结合。
FIDO2(或快速在线身份)认证使用标准的安全密钥来快速和安全地对在线服务进行认。当用FIDO2身份验证器替换密码时,应用程序和用户可以有一个无密码的MFA体验。这种方法基本上是抵抗网络钓鱼攻击和账户接管的,并简化了用户使用。
把FIDO2与生物识别技术结合起来也有好处。在FIDO2认证中添加生物鉴别验证,将创建一个具有额外健壮安全性的增强认证体验。虽然FIDO2提供了一个强大的安全机制,但生物鉴别验证通过验证用户的身体特征增加了一层额外的保护。这一组合确保较终用户拥有无缝认证体验,同时为机构的IT部门提供了他们的系统兼容和安全的保证。
通过将这两种认证技术与NFC相结合,组织可以开发出一种方便用户的认证体验。使用生物测定技术、FIDO2和NFC系统的用户可以有一个健壮的、非接触式的登录体验,不需要记住需要在键盘上输入的密码或pin。他们只需点击有嵌入式指纹读取器的卡片,然后进行身份验证。
总的来说,这种方法可以帮助提高用户采用率、生产率和总体满意度。更好的是,生物统计数据在身份验证设备上是安全的,没有被传输。这确保了用户的数据隐私得到保护。
将FIDO与生物鉴别认证相结合的理想案例包括办公室员工,他们每天都从桌面上访问敏感信息。需要访问应用程序、信息传递和共享移动设备上敏感文件的**员工也可能是这种方法。
没有一刀切的办法
然而,所有这些都表明,在遵守MFA合规性方面没有一刀切的办法,特别是在MFA也必须具有抗网络钓鱼的情况下。通过了解零信任认证的指导方针,以及为MFA提供的各种服务,你将改善你的网络安全态势,即使你正在减少社会工程和网络钓鱼造成的损害威胁。
作为大多数系统的较有效的入口,用户访问是大多数联邦机构的**道防线。因此,更好的访问控制必须是保护这个国家敏感数据和资源的防御矛的尖端。
关于泰利斯-TCT
泰雷兹可信网络技术是泰雷兹防务与安全公司的一个业务领域，保护从核心到云再到现场的较重要数据。我们为美国联邦**提供可靠的网络安全解决方案。我们的解决方案使各机构能够部署一个的数据保护生态系统，其中数据和加密密钥得到保护和管理，访问和分发受到控制。
关于IC Insiders
ICInsiders是一个特别赞助的功能，提供深入的分析，与IC**者的访谈，从行业*的观点，以及更多。了解您的公司如何成为IC内部人士。

安策信息技术（上海）有限公司专注于数据安全,加密机,加密狗等

• 词条

  词条说明

• 如何让防勒索充分有效？

  当黑客攻击数据服务器时，如果高效检测和阻止任何潜在的勒索软件攻击，请看下图的架构及解决方案。我们可以看如果要保护一个文件服务器，防止未经授权的访问和恶意软件攻击。我们有什么好的系统方案，如下图：防止未经授权的访问和恶意软件攻击图从这幅图中，我们看到是以防勒索软件产品CipherTrust Transparent Encryption - Ransomware Protection (CTE-RWP

• SafeNet HSM的优势

  SafeNet HSM(硬件模块)**是一种专为保护加密密钥生命周期而设计的加密处理器，它在保护数据和提供加密服务方面发挥着关键作用。以下是对SafeNet HSM的详细阐述：一、SafeNet HSM的基本特性SafeNet HSM是一种高度、的硬件设备，它通过在防篡改的环境中地管理、处理和保存加密密钥，为组织提供了强有力的加密基础设施保护。该模块不仅支持对称和非对称加密算法操作，还提供了丰富的

• SAFEnet加密机的灵活性和可扩展性

  SAFEnet加密机是一款功能强大、的加密设备，它在网络领域发挥着的作用。下面将从特点、功能、应用及优势等方面对SAFEnet加密机进行详细介绍。一、特点的加密算法和技术：SAFEnet加密机采用了的加密算法和技术，确保和存储的性。它支持多种加密算法，包括对称加密算法、非对称加密算法以及哈希算法等，能够满足不同场景下的需求。的数据处理能力：该加密机采用了硬件加速技术，大幅提高了加密和解密的速度，使

• 数据库加密的密钥管理

  数据库加密是保护存储在数据库中的数据性和隐私性的重要手段，特别是在当前网络攻击日益猖獗、数据泄露事件频发的背景下，其重要性加凸显。以下是对数据库加密的详细阐述：一、数据库加密概述数据库加密指的是对存储在数据库中的数据进行加密处理，以确保数据在存储、传输过程中的性和隐私性。这种加密技术能够有效防止未授权访问和数据泄露，是企业和个人保护敏感信息的关键措施。二、数据库加密的分类数据库加密通常分为两大类：