来自IC内部 泰利斯可信网络技术公司

　　作者是吉姆狄更斯先生。泰利斯公司CTO，可信网络技术认证产品经理

　　当涉及到为网络安全部署多因素认证(MFA)解决方案时,一个额外的问题是,这些解决方案现在必须能够抵抗网络钓鱼,以阻止威胁行为的无情攻击。不幸的是,这个问题没有单一的"现成的"解决办法。根据您的代理机构的特殊需求,您可能需要考虑将防网络钓鱼的MFA与增强认证体验相结合。

　　从当前的报告中可以清楚地看到,对抗网络钓鱼的MFA的需求。根据StationX的报告, 2024年顶级网络钓鱼统计:最新数字和趋势 该公司表示,"每天有34亿封电子邮件是由网络犯罪分子发送的,这些电子邮件看起来像是来自可信的发送者。这是超过一万亿的钓鱼电子邮件每年。"该报告指出,36%的违规行为源于网络钓鱼,而网络钓鱼占所有勒索软件攻击的45%。坏人不再需要闯入了。他们欺骗你,让你提供你的证书,然后他们就可以直接登录。

　　在这篇文章中,我们将论证为什么联邦机构必须改进访问控制。让我们从联邦零信任策略开始,了解它是如何融入到各种MFA策略中的。

　　了解关于外交部的联邦零信任战略

　　2021年5月,拜登政府 第14028号行政命令 .白宫在声明中强调,联邦政府和任何与政府有业务往来的公司都必须采取行动,确保云服务和零信任架构的安全。这个体系结构包括多因素身份验证和加密。

　　"零信任"战略非常重视加强企业身份和访问控制,包括MFA。它优先防范复杂的网络钓鱼,指导机构巩固身份系统,以更好地保护和监测--"联邦工作人员拥有企业管理的账户,使他们能够访问他们工作所需的一切,同时可靠地受到保护,免遭有针对性的、复杂的网络钓鱼攻击。"

　　白宫管理和预算办公室( OMB)M-22-09号报告 提供关于零信任的支持性指导,并大力强调加强企业身份和访问控制,包括MFA。它优先防范复杂的网络钓鱼,指导机构巩固身份系统,以更好地保护和监测。

　　CISA表示,"MFA减少入侵风险的最重要的网络安全做法之一--据行业研究,启用MFA的用户账户泄露的可能性降低了99%。"

　　CISA零信任成熟度模型2.0版本中详细的介绍了身份认证最佳做法,其中包括提高成熟度级别,每个标准都有各自的要求。初始成熟度级别要求使用MFA"可能包括密码作为一个因素。"

　　先进的和最佳的成熟度级别要求使用抗网络钓鱼的MFA。高级级别声明,"代理机构开始使用防网络钓鱼的MFA和属性验证所有身份,包括初始密码的实施。为了达到最佳状态,"机构不断地用抗网络钓鱼的MFA验证身份,而不仅仅是在最初授权访问时。"

　　尽管国防部并没有特别要求在零信任参考架构 (ZTA)中使用防网络钓鱼的MFA,但它详细规定了动态、连续认证的要求,这些要求与(OBM) M-22-09号报告要求的MFA元素一致 .ZTA指出,"两个因素认证、身份验证令牌、用户名和密码登录没有跟上业界的多因素身份验证进展。"

　　ZTA还指出,"动态、连续的认证过程始于用户/NPE访问请求。例如属性数据,如CAC和证书或生物鉴别将提供给身份代理进行验证。"这些基于属性的访问控制是抗网络钓鱼的MFA的基石。

　　三大抗网络钓鱼MFA组件

　　联邦机构在开发防网络钓鱼的多因素认证系统时,需要有三个核心身份识别和访问管理功能:

　　企业身份证系统。 企业身份管理系统必须与通用的机构应用程序兼容,并应在机构之间和与外部操作的云服务相集成。幸运的是,现代开放标准可以在这方面有所帮助。然而,重要的是要注意,严格的访问控制意味着机构必须利用来自不同来源的数据,包括设备和用户信息的分析。

　　多因素认证。 并非所有的多因素认证方法都能防止复杂的钓鱼攻击。因此,必须向机构工作人员、承包商和合作伙伴提供防网络钓鱼的MFA解决方案,如PIV、FIDO2和基于网络认证的身份验证器,以及公钥基础设施认证型智能卡。

　　用户授权。 目前,联邦系统通常依靠基于角色的访问控制(rbac)。静态预先定义的角色分配给用户,这些角色设置每个用户的权限。相比之下,零信任体系结构必须具有更基本的动态定义权限,例如基于属性的访问控制(ABAC)。

　　根据NIST的说法，ABAC必须处理这样的情况:“主体对对象执行操作的请求是根据主体的指定属性、对象的指定属性、环境条件以及根据这些属性和条件指定的一组策略来批准或拒绝的。”

　　授权系统在规范对企业资源的访问时,至少应在认证用户的身份信息中加入一个设备级信号。

　　然而,验证者的问题是,所有使用共享秘密的MFA流程都很容易受到钓鱼攻击。这包括依靠记住的秘密、查找机密、包括推入通知在内的带外认证(SMS/PSTN)和一次性密码(TP)的认证方法。

　　NIST认为短信认证是不安全的。它被NIST列为一种"受限制的"认证手段,因为它在当今的威胁环境中不太可靠。使用公用交换电话网络的认证也被认为是不安全的,因为存在设备感染,认证垃圾邮件和其他社会工程的可能性。SMS或PSTN认证可能是种更好的方法,但是NIST仍然不认为它是抗网络钓鱼攻击的。

　　由于抗网络钓鱼的MFA方法可能不适合于所有的环境和环境,NIST建议,除了抗网络钓鱼的MFA,组织至少应该有一个其他的不受限制的认证器,以满足被选中的应用程序或服务的必要的保证水平。

　　因此,尽管OTP不具有抗网络钓鱼能力,但它们仍然可以作为对某些MFA服务的辅助方法--这取决于用户和数据敏感性。

　　通过将PUSH OTP与条件和上下文身份验证相结合，可以强化基于手机的身份验证应用程序。

　　如果登录上下文被认为是高风险的(例如，由于地理位置)，则可能要求用户提供额外的身份验证方法。

　　因此，将PUSH oTP与设备原生生物识别技术相结合，可以自信地证明特定设备-个体配对的有效性。

　　通过风险监控、端点安全和异常检测，可以确保认证的完整性。

　　综合安全措施的重要性

　　不过,一个更好的安全性方法将是提供抗网络钓鱼的MFA增强认证体验的方法。在这种情况下,各机构应该考虑将FIDO2设备与生物识别技术相结合。

　　FIDO2(或快速在线身份认证)认证使用标准认证的安全密钥来快速和安全地对在线服务进行认证。当用FIDO2身份验证器替换密码时,应用程序和用户可以有一个无密码的MFA体验。这种方法基本上是抵抗网络钓鱼攻击和账户接管的,并简化了用户使用。

　　把FIDO2与生物识别技术结合起来也有好处。在FIDO2认证中添加生物鉴别验证,将创建一个具有额外健壮安全性的增强认证体验。虽然FIDO2认证提供了一个强大的安全机制,但生物鉴别验证通过验证用户的身体特征增加了一层额外的保护。这一组合确保最终用户拥有无缝认证体验,同时为机构的IT部门提供了他们的系统兼容和安全的保证。

　　通过将这两种认证技术与NFC相结合,组织可以开发出一种方便用户的认证体验。使用生物测定技术、FIDO2和NFC系统的用户可以有一个健壮的、非接触式的登录体验,不需要记住需要在键盘上输入的密码或pin。他们只需点击有嵌入式指纹读取器的卡片,然后进行身份验证。

　　总的来说,这种方法可以帮助提高用户采用率、生产率和总体满意度。更好的是,生物统计数据在身份验证设备上是安全的,没有被传输。这确保了用户的数据隐私得到保护。

　　将FIDO与生物鉴别认证相结合的理想案例包括办公室员工,他们每天都从桌面上访问敏感信息。需要访问应用程序、信息传递和共享移动设备上敏感文件的前线员工也可能是这种方法。

　　没有一刀切的办法

　　然而,所有这些都表明,在遵守MFA合规性方面没有一刀切的办法,特别是在MFA也必须具有抗网络钓鱼的情况下。通过了解零信任认证的指导方针,以及为MFA提供的各种服务,你将改善你的网络安全态势,即使你正在减少社会工程和网络钓鱼造成的损害威胁。

　　作为大多数系统的最有效的入口,用户访问是大多数联邦机构的第一道防线。因此,更好的访问控制必须是保护这个国家敏感数据和资源的防御矛的尖端。

　　关于泰利斯-TCT

　　泰雷兹可信网络技术是泰雷兹防务与安全公司的一个业务领域，保护从核心到云再到现场的最重要数据。我们为美国联邦政府提供可靠的网络安全解决方案。我们的解决方案使各机构能够部署一个全面的数据保护生态系统，其中数据和加密密钥得到保护和管理，访问和分发受到控制。

　　关于IC Insiders

　　ICInsiders是一个特别赞助的功能，提供深入的分析，与IC领导者的访谈，从行业专家的观点，以及更多。了解您的公司如何成为IC内部人士。

当涉及到为网络安全部署多因素认证(MFA)解决方案时,一个额外的问题是,这些解决方案现在必须能够抵抗网络钓鱼,以阻止威胁行为的无情攻击。不幸的是,这个问题没有单一的"现成的"解决办法。根据您的代理机构的特殊需求,您可能需要考虑将防网络钓鱼的MFA与增强认证体验相结合。