MFA不是网络安全的万灵药

在“零信任”时代,多因素认证(MFA)已经成为企业加强基于身份的网络安全管理的“必修课”,在“多因素认证六大常见错误与误区”中,我们了解到错误的认知和部署会让MFA的效用大打折扣。本文,我们将探讨MFA技术自身面临的威胁。

首先,我们要肯定MFA的有效性,今年早些时候,微软报告称,其追踪的违规账户中有99.9%没有使用MFA。而Gartner上周发布的2020-2021年十大热门网络安全项目中,MFA与SSO和IAM一起,并列最热门网络安全项目榜首(远程办公安全类)。

随着越来越多的人在线访问高价值账户,双因素身份验证 (2FA) 和多因素身份认证(MFA) 越来越受欢迎。在2019年12月的一份报告中,安全公司Duo Security发现,采用2FA的用户在两年内几乎翻了一番,53%的受访者使用2FA作为其部分账户(2017年为 28%)。根据这项研究,年轻人更加容易接受2FA和MFA,超过三分之二(34岁以下)年轻人在一些账户上使用2FA,而65岁或以上的人中,只有三分之一的人使用这种技术。

但是,随着越来越多的用户开始使用多重身份验证(MFA)加强端点安全,我们也看到攻击者也正在马不停蹄地设计新的方法来规避MFA技术,其中一些尝试已经取得巨大成功。

例如,本月早些时候,安全公司Proofpoint报告了其在Microsoft WS-Trust中披露的关键漏洞,这些漏洞可用于绕过微软云服务的MFA,首当其冲的就是Microsoft 365。Proofpoint指出,网络罪犯可使用从网络钓鱼和凭据转储中获得的凭据登录到Office 365、Azure和其他Microsoft服务。

此类漏洞是绕过MFA所提供的额外安全性的诸多方式之一。虽然安全专家强调MFA可提高在线用户的整体安全性,但可利用的漏洞和糟糕的用户安全意识可能会极大削弱MFA的这种保护。

“在云安全方面,MFA不是灵丹妙药,”Proofpoint的高级威胁检测分析人员Or Safran在分析漏洞时说:“随着更多组织采用该技术,攻击者将发现并滥用更多的漏洞。不可否认,MFA可以改善整体安全状况,尤其是在与以人为中心的威胁可见性和自适应访问控制相结合时。”

Proofpoint发现的关键漏洞是针对MFA这种日益流行的安全技术的最新利用方案。去年,FBI警告说,网络罪犯已经采取了各种措施来绕过MFA。根据FBI的通报(下载链接在文末),在2019年的一个案例中,一个银行机构网站的代码注入错误允许攻击者输入修改过的多因素字段取代PIN码,从而绕过第二个认证因素。

然而,虽然这种绕过技术并不罕见,但更常见的攻击手法是攻击者渗透MFA流程并窃取密码或安全令牌。安全培训公司KnowBe4的数据驱动防御分析师罗杰格里姆斯表示,MFA被绕过的原因往往可以追溯到对缺乏警惕性的用户的欺诈(例如Twitter大规模账户泄露事件中,年轻黑客仅仅是通过电话诈骗就绕过了多因素认证)。

“垃圾邮件发送者和网络钓鱼者经常发起广泛攻击来收集凭据。MFA可以防止这些类型的攻击,”格里姆斯说。但是,即使用户启用了MFA,往往对攻击者构不成太大的障碍,在某些情况下,反而会使攻击更加容易。

最常见的MFA攻击类型是拦截一次密码。实时攻击使用中间人代理来获取用户输入他们认为是合法的网站的一次性密码。2019年,网络安全研究人员发布了一个名为Muraena的工具,可以“收割”第二个认证因素。最为广泛使用同时又最为脆弱的多因素认证渠道就是短信,这种防御是如此稀碎,以至于美国国家标准与技术研究所(NIST)早在2016年5月就警告不要使用短信发送多因素认证凭据。

另一种常见方法是窃取发送给用户的安全令牌,以简化将来的登录。重复使用令牌可以允许攻击者访问用户帐户。最后,对软件的技术攻击(通常针对对传统安全技术的支持)可以对受 MFA 保护的服务进行广泛攻击。

“根据我们对电子邮件、云和混合攻击的监控,威胁活动增加最迅猛的是恶意的第三方应用程序滥用OAuth令牌,微软称之为‘同意网络钓鱼’。”Proofpoint网络安全策略执行副总裁Ryan Kalember指出。

目前限制MFA绕过攻击的最佳技术是基于最新的快速身份在线(FIDO)标准FIDO2,它使用设备标识来强化针对远程攻击者的身份验证过程以及各种推送技术,这些技术在注册设备上提醒用户任何访问尝试,并要求他们批准该访问。

KnowBe4的格里姆斯说:“有很多很烂的MFA绕过技术,当然也有好的解决方案,无需置疑的是,攻击者正在开发更好的绕过技术。”

一切皆可破解。因此,MFA不是可以让企业安全管理者高枕无忧的“万灵药”。企业还需要在正确部署MFA的基础上,加强对最终用户识别攻击的安全意识培训。仅仅拥有MFA并不意味着对攻击免疫。

参考资料

FBI通告:犯罪分子使用社交工程技术绕过MFA认证

https://www.sc.edu/study/colleges_schools/law/centers/cybersecurity/_docs/fbi_cyber_pin/2019/fbi_pin-20190917_multi-factor_authentication.pdf

上一篇:Akamai:边缘安全,企业数字化转型的保护伞

下一篇:狮子大开口:这家勒索软件的赎金价码高达数百万美元