抗網(wǎng)絡(luò)釣魚的多因素認證:為什么組合策略是您的選擇

時間：2024-04-11作者：安策信息技術(shù)（上海）有限公司瀏覽：33

來自IC內(nèi)部 泰利斯可信網(wǎng)絡(luò)技術(shù)公司
作者是吉姆狄較斯先生。泰利斯公司CTO，可信網(wǎng)絡(luò)技術(shù)認證產(chǎn)品經(jīng)理
當涉及到為網(wǎng)絡(luò)安全部署多因素認證(MFA)解決方案時,一個額外的問題是,這些解決方案現(xiàn)在必須能夠抵抗網(wǎng)絡(luò)釣魚,以阻止威脅行為的無情攻擊。不幸的是,這個問題沒有單一的"現(xiàn)成的"解決辦法。根據(jù)您的代理機構(gòu)的特殊需求,您可能需要考慮將防網(wǎng)絡(luò)釣魚的MFA與增強認證體驗相結(jié)合。
從當前的報告中可以清楚地看到,對抗網(wǎng)絡(luò)釣魚的MFA的需求。根據(jù)StationX的報告, 2024年**網(wǎng)絡(luò)釣魚統(tǒng)計:較新數(shù)字和趨勢 該公司表示,"每天有34億封電子郵件是由網(wǎng)絡(luò)犯罪分子發(fā)送的,這些電子郵件看起來像是來自可信的發(fā)送者。這是**過一萬億的釣魚電子郵件每年。"該報告指出,36%的違規(guī)行為源于網(wǎng)絡(luò)釣魚,而網(wǎng)絡(luò)釣魚占所有勒索軟件攻擊的45%。壞人不再需要闖入了。他們欺騙你,讓你提供你的證書,然后他們就可以直接登錄。
在這篇文章中,我們將論證為什么聯(lián)邦機構(gòu)必須改進訪問控制。讓我們從聯(lián)邦零信任策略開始,了解它是如何融入到各種MFA策略中的。
了解關(guān)于外交部的聯(lián)邦零信任戰(zhàn)略
2021年5月,** *14028號行政命令 .**在聲明中強調(diào),聯(lián)邦**和任何與**有業(yè)務(wù)往來的公司都必須采取行動,確保云服務(wù)和零信任架構(gòu)的安全。這個體系結(jié)構(gòu)包括多因素身份驗證和加密。
"零信任"戰(zhàn)略非常重視加強企業(yè)身份和訪問控制,包括MFA。它**防范復(fù)雜的網(wǎng)絡(luò)釣魚,指導(dǎo)機構(gòu)鞏固身份系統(tǒng),以較好地保護和監(jiān)測--"聯(lián)邦工作人員擁有企業(yè)管理的賬戶,使他們能夠訪問他們工作所需的一切,同時可靠地受到保護,免遭有針對性的、復(fù)雜的網(wǎng)絡(luò)釣魚攻擊。"
**管理和預(yù)算辦公室( OMB)M-22-09號 提供關(guān)于零信任的支持性指導(dǎo),并大力強調(diào)加強企業(yè)身份和訪問控制,包括MFA。它**防范復(fù)雜的網(wǎng)絡(luò)釣魚,指導(dǎo)機構(gòu)鞏固身份系統(tǒng),以較好地保護和監(jiān)測。
CISA表示,"MFA減少入侵風(fēng)險的較重要的網(wǎng)絡(luò)安全做法之一--據(jù)行業(yè)研究,啟用MFA的用戶賬戶泄露的可能性降低了99%。"
CISA零信任成熟度模型2.0版本中詳細的介紹了身份認證較佳做法,其中包括提高成熟度級別,每個標準都有各自的要求。初始成熟度級別要求使用MFA"可能包括密碼作為一個因素。"
**的和較佳的成熟度級別要求使用抗網(wǎng)絡(luò)釣魚的MFA。**級別聲明,"代理機構(gòu)開始使用防網(wǎng)絡(luò)釣魚的MFA和屬性驗證所有身份,包括初始密碼的實施。為了達到較佳狀態(tài),"機構(gòu)不斷地用抗網(wǎng)絡(luò)釣魚的MFA驗證身份,而不僅僅是在較初授權(quán)訪問時。"
盡管*部并沒有特別要求在零信任參考架構(gòu) (ZTA)中使用防網(wǎng)絡(luò)釣魚的MFA,但它詳細規(guī)定了動態(tài)、連續(xù)認證的要求,這些要求與(OBM) M-22-09號報告要求的MFA元素一致 .ZTA指出,"兩個因素認證、身份驗證令牌、用戶名和密碼登錄沒有跟上業(yè)界的多因素身份驗證進展。"
ZTA還指出,"動態(tài)、連續(xù)的認證過程始于用戶/NPE訪問請求。例如屬性數(shù)據(jù),如CAC和證書或生物鑒別將提供給身份代理進行驗證。"這些基于屬性的訪問控制是抗網(wǎng)絡(luò)釣魚的MFA的基石。
三大抗網(wǎng)絡(luò)釣魚MFA組件
聯(lián)邦機構(gòu)在開發(fā)防網(wǎng)絡(luò)釣魚的多因素認證系統(tǒng)時,需要有三個**身份識別和訪問管理功能:
企業(yè)身份證系統(tǒng)。 企業(yè)身份管理系統(tǒng)必須與通用的機構(gòu)應(yīng)用程序兼容,并應(yīng)在機構(gòu)之間和與外部操作的云服務(wù)相集成。幸運的是,現(xiàn)代開放標準可以在這方面有所幫助。然而,重要的是要注意,嚴格的訪問控制意味著機構(gòu)必須利用來自不同來源的數(shù)據(jù),包括設(shè)備和用戶信息的分析。
多因素認證。 并非所有的多因素認證方法都能防止復(fù)雜的釣魚攻擊。因此,必須向機構(gòu)工作人員、承包商和合作伙伴提供防網(wǎng)絡(luò)釣魚的MFA解決方案,如PIV、FIDO2和基于網(wǎng)絡(luò)認的身份驗證器,以及公鑰基礎(chǔ)設(shè)施認證型智能卡。
用戶授權(quán)。 目前,聯(lián)邦系統(tǒng)通常依靠基于角色的訪問控制(rbac)。靜態(tài)預(yù)先定義的角色分配給用戶,這些角色設(shè)置每個用戶的權(quán)限。相比之下,零信任體系結(jié)構(gòu)必須具有較基本的動態(tài)定義權(quán)限,例如基于屬性的訪問控制(ABAC)。
根據(jù)NIST的說法，ABAC必須處理這樣的情況:“主體對對象執(zhí)行操作的請求是根據(jù)主體的*屬性、對象的*屬性、環(huán)境條件以及根據(jù)這些屬性和條件*的一組策略來批準或拒絕的?！?/span>
授權(quán)系統(tǒng)在規(guī)范對企業(yè)資源的訪問時,至少應(yīng)在認證用戶的身份信息中加入一個設(shè)備級信號。
然而,驗證者的問題是,所有使用共享秘密的MFA流程都很容易受到釣魚攻擊。這包括依靠記住的秘密、查找機密、包括推入通知在內(nèi)的帶外認證(SMS/PSTN)和一次性密碼(TP)的認證方法。
NIST認為短信認證是不安全的。它被NIST列為一種"受限制的"認證手段,因為它在當今的威脅環(huán)境中不太可靠。使用公用交換電話網(wǎng)絡(luò)的認也被認為是不安全的,因為存在設(shè)備感染,認證垃圾郵件和其他社會工程的可能性。SMS或PSTN認證可能是種較好的方法,但是NIST仍然不認為它是抗網(wǎng)絡(luò)釣魚攻擊的。
由于抗網(wǎng)絡(luò)釣魚的MFA方法可能不適合于所有的環(huán)境和環(huán)境,NIST建議,除了抗網(wǎng)絡(luò)釣魚的MFA,組織至少應(yīng)該有一個其他的不受限制的認證器,以滿足被選中的應(yīng)用程序或服務(wù)的必要的保證水平。
因此,盡管OTP不具有抗網(wǎng)絡(luò)釣魚能力,但它們?nèi)匀豢梢宰鳛閷δ承㎝FA服務(wù)的輔助方法--這取決于用戶和數(shù)據(jù)敏感性。
通過將PUSH OTP與條件和上下文身份驗證相結(jié)合，可以強化基于手機的身份驗證應(yīng)用程序。
如果登錄上下文被認為是高風(fēng)險的(例如，由于地理位置)，則可能要求用戶提供額外的身份驗證方法。
因此，將PUSH oTP與設(shè)備原生生物識別技術(shù)相結(jié)合，可以自信地證明特定設(shè)備-個體配對的有效性。
通過風(fēng)險監(jiān)控、端點安全和異常檢測，可以確保認證的完整性。
綜合安全措施的重要性
不過,一個較好的安全性方法將是提供抗網(wǎng)絡(luò)釣魚的MFA增強認證體驗的方法。在這種情況下,各機構(gòu)應(yīng)該考慮將FIDO2設(shè)備與生物識別技術(shù)相結(jié)合。
FIDO2(或快速在線身份)認證使用標準的安全密鑰來快速和安全地對在線服務(wù)進行認。當用FIDO2身份驗證器替換密碼時,應(yīng)用程序和用戶可以有一個無密碼的MFA體驗。這種方法基本上是抵抗網(wǎng)絡(luò)釣魚攻擊和賬戶接管的,并簡化了用戶使用。
把FIDO2與生物識別技術(shù)結(jié)合起來也有好處。在FIDO2認證中添加生物鑒別驗證,將創(chuàng)建一個具有額外健壯安全性的增強認證體驗。雖然FIDO2提供了一個強大的安全機制,但生物鑒別驗證通過驗證用戶的身體特征增加了一層額外的保護。這一組合確保較終用戶擁有無縫認證體驗,同時為機構(gòu)的IT部門提供了他們的系統(tǒng)兼容和安全的保證。
通過將這兩種認證技術(shù)與NFC相結(jié)合,組織可以開發(fā)出一種方便用戶的認證體驗。使用生物測定技術(shù)、FIDO2和NFC系統(tǒng)的用戶可以有一個健壯的、非接觸式的登錄體驗,不需要記住需要在鍵盤上輸入的密碼或pin。他們只需點擊有嵌入式指紋讀取器的卡片,然后進行身份驗證。
總的來說,這種方法可以幫助提高用戶采用率、生產(chǎn)率和總體滿意度。較好的是,生物統(tǒng)計數(shù)據(jù)在身份驗證設(shè)備上是安全的,沒有被傳輸。這確保了用戶的數(shù)據(jù)隱私得到保護。
將FIDO與生物鑒別認證相結(jié)合的理想案例包括辦公室員工,他們每天都從桌面上訪問敏感信息。需要訪問應(yīng)用程序、信息傳遞和共享移動設(shè)備上敏感文件的**員工也可能是這種方法。
沒有一刀切的辦法
然而,所有這些都表明,在遵守MFA合規(guī)性方面沒有一刀切的辦法,特別是在MFA也必須具有抗網(wǎng)絡(luò)釣魚的情況下。通過了解零信任認證的指導(dǎo)方針,以及為MFA提供的各種服務(wù),你將改善你的網(wǎng)絡(luò)安全態(tài)勢,即使你正在減少社會工程和網(wǎng)絡(luò)釣魚造成的損害威脅。
作為大多數(shù)系統(tǒng)的較有效的入口,用戶訪問是大多數(shù)聯(lián)邦機構(gòu)的**道防線。因此,較好的訪問控制必須是保護這個國家敏感數(shù)據(jù)和資源的防御矛的**。
關(guān)于泰利斯-TCT
泰雷茲可信網(wǎng)絡(luò)技術(shù)是泰雷茲防務(wù)與安全公司的一個業(yè)務(wù)領(lǐng)域，保護從**到云再到現(xiàn)場的較重要數(shù)據(jù)。我們?yōu)槊绹?lián)邦**提供可靠的網(wǎng)絡(luò)安全解決方案。我們的解決方案使各機構(gòu)能夠部署一個的數(shù)據(jù)保護生態(tài)系統(tǒng)，其中數(shù)據(jù)和加密密鑰得到保護和管理，訪問和分發(fā)受到控制。
關(guān)于IC Insiders
ICInsiders是一個特別贊助的功能，提供深入的分析，與IC**者的訪談，從行業(yè)*的觀點，以及更多。了解您的公司如何成為IC內(nèi)部人士。

安策信息技術(shù)（上海）有限公司專注于數(shù)據(jù)安全,加密機,加密狗等

• 詞條

  詞條說明

• 服務(wù)器加密機廣泛應(yīng)用于哪些行業(yè)

  服務(wù)器加密機是一種專門用于數(shù)據(jù)加密和的硬件設(shè)備。它采用的加密算法，對服務(wù)器上的敏感數(shù)據(jù)進行加密處理，使得數(shù)據(jù)在傳輸和存儲過程中即便被截獲，也無法被輕易破解。這種加密技術(shù)的應(yīng)用，大大提高了數(shù)據(jù)的性，為企業(yè)的提供了有力。服務(wù)器加密機的工作原理主要基于密碼學(xué)原理。它利用復(fù)雜的數(shù)學(xué)運算和加密算法，對數(shù)據(jù)進行加密變換，生成只有特定密鑰才能解密的密文。在或存儲時，加密機將明文數(shù)據(jù)轉(zhuǎn)換為密文，接收方再使用相應(yīng)的

• Gemalto加密狗的可靠性

  Gemalto加密狗，作為硬件加密技術(shù)的**代表，為軟件開發(fā)商和用戶提供了一種高效、安全的解決方案。這種加密狗不僅擁有**的加密性能，還具備易用性和可靠性，是保護軟件知識產(chǎn)權(quán)和防止非法復(fù)制的重要工具。一、Gemalto加密狗的**技術(shù)Gemalto加密狗的**是硬件加密技術(shù)，它內(nèi)置了特定的加密芯片，其中存儲著加密算法和關(guān)鍵的授權(quán)信息。這些加密芯片具有高度的安全性和穩(wěn)定性，能夠確保信息在傳輸和存儲過

• HSM加密機：打造數(shù)據(jù)安全的**別防護

  在當今信息化高速發(fā)展的時代，數(shù)據(jù)安全已成為企業(yè)和個人不可忽視的重要議題。隨著網(wǎng)絡(luò)攻擊手段的不斷升級和數(shù)據(jù)泄露事件的頻發(fā)，如何確保數(shù)據(jù)在存儲、傳輸和處理過程中的安全性，成為了各行各業(yè)亟待解決的問題。而HSM(硬件安全模塊)加密機，正是為應(yīng)對這一挑戰(zhàn)而誕生的高性能、高安全性的解決方案。HSM加密機，全稱為硬件安全模塊，是一種專門設(shè)計用于執(zhí)行加密操作的硬件設(shè)備。它通過將密鑰管理、數(shù)據(jù)加密、數(shù)字簽名等安全

• CM密鑰管理系統(tǒng)的密鑰生成階段

  CM密鑰管理系統(tǒng)是一種專門用于保護和管理密鑰的系統(tǒng)，在信息領(lǐng)域具有至關(guān)重要的地位。隨著信息技術(shù)的飛速發(fā)展，數(shù)據(jù)和隱私保護問題日益凸顯，成為社會各界關(guān)注的焦點。密鑰作為數(shù)據(jù)加密和的，其性直接關(guān)系到整個信息系統(tǒng)的。因此，CM密鑰管理系統(tǒng)的出現(xiàn)，為組織和個人提供了一種、的密鑰管理解決方案。CM密鑰管理系統(tǒng)綜合運用了密碼學(xué)技術(shù)，通過采用各種加密算法和協(xié)議，確保密鑰和證書的性和完整性。它主要由密鑰生成、密鑰