如何弥合 MFA 差距

快速阅读: 据《The Register》称，本文探讨了多因素身份验证（MFA）的重要性及其实施挑战，强调正确部署MFA能有效保护企业免受网络攻击，但不当实施可能适得其反。Specops软件通过其产品如Specops Secure Access简化MFA管理，提供统一的认证体验，增强安全性并减轻帮助台压力。

标题：牙线与多因素身份验证的共同点

牙线和多因素身份验证（MFA）有何共同之处？答案是：两者都极其有益，但真正坚持下去的人却寥寥无几。MFA能够有效保护组织免受基于凭证的攻击，然而根据网络安全准备研究所的数据，全球仅有35%的企业采取了这一措施。这项研究显示，MFA部署的主要障碍在于资金短缺和技术专长匮乏。这一观点与Specops软件公司的高级产品经理达伦·詹姆斯的观点不谋而合。他提到，企业内部存在多种令人困惑的MFA选项。“MFA种类越多，用户就越容易感到迷茫，”詹姆斯说道。这种困惑可能导致员工面对用于VPN访问的YubiKey认证、电子邮件的Microsoft Authenticator、短信验证码以及各种不同的生物识别技术时无所适从。原本旨在强化安全性的手段反而成了困扰。

不当实施的MFA可能适得其反
詹姆斯指出，实施不当的MFA系统可能会阻碍而非帮助。当员工忘记哪种认证方式适用于哪个系统时，求助电话的数量会激增。服务人员不得不频繁处理认证失败的问题，并在设备变更后重新注册用户到不同的MFA系统中。这些负担不仅会导致认证延迟，还会降低工作效率。此外，多个MFA系统还会扩大公司的攻击面。帮助台工作人员在导航多种认证系统时更容易成为社会工程攻击的目标。例如，2023年9月针对美高梅度假村的攻击就是一个典型案例。攻击者成功说服帮助台工作人员通过社会工程手段重置MFA，最终导致公司遭遇勒索软件攻击，损失超过1亿美元。此外，SIM交换攻击同样遵循类似模式，攻击者通过说服移动运营商将电话号码转移至自己设备上实现攻击。

Specops观察到其他几种针对MFA的攻击形式，包括所谓的“MFA疲劳攻击”（又称“推送轰炸”），攻击者向受害者发送大量认证请求，直至受害者因沮丧而点击“批准”。另一种攻击方式是会话劫持，它利用网页会话管理中的漏洞，在初始认证之后接管合法用户的会话。在此过程中，反向代理网络钓鱼工具包发挥了重要作用。攻击者还常利用单点登录（SSO）系统，通过窃取Cookie或会话劫持的方式获取对某个账户的访问权，再以此访问多个服务。詹姆斯强调，SSO仍需依赖其他机制进行初始登录，因此不可避免地存在初始的安全漏洞。他进一步指出，SSO的实现往往为了提升用户体验而牺牲安全性，这与零信任原则背道而驰。

如何让MFA变得更好
詹姆斯解释说，即便弥补了一些实施上的漏洞，MFA依然是有益的。“你必须正确地实施MFA，仅在少数地方实施毫无意义。即使拥有多种类型的MFA也没用，”他说，“你需要让用户保持简便，并将其应用于所有关键领域。”全面覆盖意味着在所有重要的接入点提供MFA保护，包括但不限于应用程序访问、初始机器登录、机器解锁、VPN连接以及远程桌面协议（RDP）。一套优质的MFA解决方案还应包含自助密码重置和账户恢复功能。

MFA的实施还应解决一个常常被忽视的问题——服务台的身份验证。詹姆斯警告称，传统的帮助台验证方法存在不足。许多方法依赖于可以通过社交媒体或公开记录找到答案的安全问题，同时采用容易被社会工程或人工智能技术击败的语音识别技术。詹姆斯继续指出，使用MFA来验证用户是现代IT服务台的基本要求。他们还应该具备动态变化的验证方式，并通过多个通信渠道提供实时验证。例如，通过手机应用进行生物特征验证，以及向已注册设备发送推送通知。此外，他还补充道，可用性也是重要因素。到2025年，即使是技术最不熟练的用户也应该能够正确使用MFA。这意味着不同系统之间需要有相同的认证界面和工作流程，不仅在日常使用时如此，在注册阶段也应如此。当主要身份验证失败时，他们应该能够使用标准化的备用选项，并且对于身份验证问题应该有一致的帮助和支持资源。正确满足这些需求将为企业带来实际利益。你可以预期用户培训费用减少，帮助台呼叫量下降。这还将有助于安全合规性。

Specops如何助力
对于许多已经在处理多个MFA解决方案的组织而言，这种理想化的实施无疑是一大挑战。Specops软件通过其产品，如Specops Secure Access，解决了这些难题。Specops Secure Access是一种基于其Specops Authentication平台构建的MFA聚合工具。“Specops Secure Access关注的是组织如何不仅在初始登录时，而且在自助密码重置、验证拨打服务台的用户、获取BitLocker恢复密钥或登录Web应用程序等方面运用MFA，”詹姆斯说。

Specops Secure Access作为一个平台运行，组织的所有MFA流程都通过它完成。它优化并统一用户体验，同时为其自身功能增加了增强整体MFA过程的能力。管理员对此十分满意，因为它为所有认证场景提供统一的管理界面，并在不同访问类型上执行一致的策略。詹姆斯解释说，这种基于策略的方法可以根据不同的风险情境进行调整，结合地理位置和网络信息为用户登录提供更多上下文。例如，当尝试认证时，平台会查看您是在公司网络内还是外部网络上。它还会检查您的地理位置，判断您是否位于系统上被限制或阻止的国家，从而帮助排除来自已知威胁行为者的访问请求。软件会检查用户的IP地址并评估其声誉，同时还会查看其历史访问模式，判断此次会话请求中是否存在任何异常。

Specops Secure Access还提供了集成报告和审计功能，以及共享注册流程，以减轻用户的负担。它为Windows登录和屏幕解锁提供MFA访问，并支持VPN认证和RDP会话。批量重置密码
Specops Secure Access与其他产品Specops uReset相互配合，在客户站点进行大规模自助密码重置。Specops uReset在瑞典的卡利克斯市证明了自己的价值，卡利克斯在2021年12月遭受了勒索软件攻击。攻击者利用弱密码渗透并关闭了所有市政计算机系统，影响了从医疗服务交付到工资处理等关键服务。卡利克斯锁定所有账户，并告知员工使用Mobile BankID进行身份验证。这是瑞典的电子身份证系统，全国范围内普遍采用。卡利克斯通过自助服务门户使用uReset重置了2000个密码，使组织能够在事件后迅速恢复运营。此举还帮助缓解了恢复期间帮助台的压力。使用Mobile BankID作为MFA方式阻止了攻击者利用大规模重置过程。

与微软Active Directory目录服务集成，能够存储政府ID系统中使用的个人身份号码，使卡利克斯能够实现快速的全组织覆盖。Specops Secure Access甚至可以找回他们的BitLocker密钥。这些通常是Active Directory密码使用的三个关键点。该平台最具创新性的功能之一是MFA疲劳保护。这解决了“推送轰炸”攻击，攻击者不断骚扰受害者发送MFA认证请求，直至受害者屈服。Specops Secure Access通过限制认证请求的速率来防止洪水泛滥，从而对抗这种网络犯罪骚扰。它会标记异常的认证请求数量，最终阻止重复请求。它还与安全监控系统集成，用于威胁检测。该软件提醒用户注意可疑的认证模式，还支持更抗疲劳攻击的认证方法。这些包括需要用户启动的一次性密码（OTP）应用程序和不能远程触发的硬件令牌。

与Active Directory集成
Specops Secure Access与微软Active Directory目录服务集成，詹姆斯说鉴于其悠久的历史和广泛的支持，这一点非常重要。他解释说，其多个域控制器为Specops Secure Access的实施提供了冗余性和可扩展性。“Active Directory是可扩展的，它运作良好，而且非常可靠。”这种集成还使Specops客户能够使用现有的用户和组管理流程，以及现有的身份验证和授权策略。詹姆斯补充道，这使他们在当前的IT操作和程序中保持一致性。詹姆斯警告说，尽管对某些人而言转向MFA可能是一项艰巨的任务，但这不是削减开支的理由。他提倡简单、标准化且覆盖所有接入点的通用系统，而不仅仅是Web应用程序。然而，他承认，对企业而言从头开始实施MFA并排除他们可能已经使用的解决方案是不现实的。因此，一种平台化方法，即规范化底层复杂性，是朝着正确保护用户迈出的积极一步。
（由Specops软件赞助）

(以上内容均由Ai生成)