绕过多因素身份验证
模拟用户行为的先进技术
新的网络攻击正在破坏 MFA 的安全性
多因素身份验证 (MFA) 长期以来一直是身份和访问管理的基石。通过要求用户使用额外的身份验证因素(从指纹到一次性密码到硬件密钥)作为对传统的用户名/密码组合的补充,组织可以更好地保护网络和数据免遭利用被盗凭证的攻击。
然而,攻击者正在寻找新的方法来规避 MFA。微软最近检测到了一次网络钓鱼活动,该活动使用在途攻击技术将目标瞄准了 10,000 多个组织。攻击者使用反向代理网站来冒充一个虚假的 Microsoft 365 登录页面,他们可以从该页面截获用户的密码和会话 cookie,从而绕过 MFA 措施并获得对许多电子邮件账户的访问权限。
一旦攻击者侵入合法的用户账户,他们就会创建收件箱规则,支持他们对毫无戒备的联系人进行有针对性的商业电子邮件泄露 (BEC) 攻击,并保持对账户的访问权限,哪怕用户后来更改了密码也可继续访问。
这次攻击向实施了 MFA 的组织敲响了警钟。毕竟,MFA 措施旨在验证用户身份,帮助证明员工、承包商、供应商和其他授权方身份无误,再授予对敏感信息和系统的访问权限。当攻击者能够成功冒充合法用户时,大门就全开了。
但 MFA 并非薄弱环节,组织也不应该因为其身份和访问管理方法不够强大而将其抛弃。相反,保护用户和数据免受高级网络攻击需要全面的 Zero Trust 安全策略,使用强大的身份验证措施来持续验证和监控企业网络上的所有账户、应用程序和端点。
攻击如何绕过传统的网络安全措施
在途攻击并非攻击者最近用来破坏 MFA 的唯一方法。联邦调查局和 CISA 报告了俄罗斯的一起网络攻击,为获得一个非政府组织的不活动账户的访问权限,该攻击使用了暴力密码攻击。攻击者一进入账户,就利用一个名为“PrintNightmare”的漏洞来运行代码,给予系统权限并绕过标准的 MFA 控制。
在另一些情况下,MFA 由于人为错误而遭到破坏。雪城大学 (Syracuse University) 在其内部电子邮件系统上实施 MFA 后,攻击者试图向学生和工作人员滥发邮件,发起“MFA 疲劳”攻击。攻击者利用网络钓鱼和其他方法获得了电子邮件凭证,然后向用户设备发送多个 MFA 请求,希望用户因太过厌烦而不再拒绝请求。一旦用户批准了授权请求(即使只是将手机静音),攻击者就能进一步访问学校资源和账户。
虽然攻击者不断寻找破坏 MFA 的新方法,但这并不表明 MFA 协议本身存在弱点。相反,主管网络和新兴技术的副国家安全顾问 Anne Neuberger 表示,使用 MFA 可以防止高达 90% 的网络攻击企图。关键是要记住,网络攻击是复杂的,攻击者并非仅瞄准 MFA 来攻破账户,而是作为一连串攻击的一部分,可能还涉及网络钓鱼、恶意软件、暴力密码破解、未打补丁的漏洞利用、盗取凭证,或其他各种战术的组合。
Zero Trust 有助于防止 MFA 利用
依靠任何单一的安全策略都无法保护组织免受日益复杂的攻击。正如攻击者依靠多种战术来访问敏感账户一样,组织需要一个多管齐下的安全策略来保护用户和数据。
Zero Trust 是现代网络安全的一个基本原则,在本质上不信任任何试图访问组织资源的用户。这使得攻击者(无论在组织外部还是内部)更难攻破网络或账户。
在实践中,Zero Trust 平台通过以下多种方法帮助组织确保网络安全:
多因素身份验证:MFA 可以使用一次性密码、推送通知、用户生物特征识别(例如指纹或面部识别)、安全密钥或其他方法来验证用户和设备的身份
持续监控和验证:必须不断重新験证用户和设备的身份,让攻击者即使使用盗窃的凭证也难以持续访问网络。
最低权限的访问:仅授予用户需要使用的资源的访问权限,而非整个网络的访问权限。
设备访问控制:连接到网络的设备必须获得授权,并监测其可疑活动迹象。
防止横向移动:微分段通过限制对网络特定区域的访问权限,帮助防止横向移动。
部署 Zero Trust 策略后,基于 MFA 的攻击更不可能取得成功。即使攻击者设法访问了一个用户账户,他们也不会获得对整个网络不受限制的访问权限,也不能在没有不断重新验证用户和设备身份的情况下横向移动。
利用 Cloudflare 规避 MFA 攻击
Cloudflare Zero Trust 帮助保护企业网络和用户免受复杂的网络攻击,甚至那些试图利用 MFA 措施的攻击。通过 Cloudflare 综合的 Zero Trust 平台,组织能够简单地在云、本地和 SaaS 应用程序中实施一致的最低权限访问控制,防止攻击者破坏敏感系统和数据以及在组织内横向移动。
Cloudflare 就影响当今技术决策者的最新趋势和主题发布了系列文章,本文为其一。
关键要点
阅读本文后,您将能够了解:
攻击者如何利用网络钓鱼来规避 MFA
MFA 破坏如何为数据盗窃和其他攻击打开大门。
防止 MFA 漏洞利用的关键策略