安全转型
第二集:绕过 MFA
重要摘录:
什么是 MFA?
Michael Keane: [00:00:39]
……身份验证通常是指验证某人是否其所声称的身份。您可能听说过双因素身份验证,即尝试使用两种不同形式的保证,而多因素身份验证将其进一步扩展为两个或更多的身份验证因素……理想的方式是使用密码加安全密钥或密码加指纹。您不应该仅使用密码和安全问题进行身份验证,因为黑客可以轻易地通过研究来获取这些信息……
Michael Keane: [00:02:48]
……鉴于如今网络钓鱼大行其道,窃�取密码比以往任何时候都更容易……随着安全性提高,攻击者也不断推陈出新……
Michael Keane: [00:04:21]
……使用防钓鱼能力更强的 MFA 形式,例如兼容 FIDO2 标准的安全密钥,可以防止中间人攻击……
MFA 的类型
Michael Keane: [00:07:12]
不幸的是,由于短信验证码的普及,SIM 卡交换成为一种常见的攻击方式。然后我们采用现代化的身份验证方式,例如指纹识别、面部识别和其他生物识别技术。这些技术更难伪造,确实是更强大的身份验证方式。人们普遍认为,符合 FIDO2 标准的任何产品,例如我们的安全密钥,都是防钓鱼能力最高、最强大的身份验证方式之一。
Ashley Valera: [00:08:34]
……即使您已经采用了防钓鱼的 MFA,例如使用硬件密钥,但这仍然不足以完全防止这些攻击。正如攻击者使用多种策略来绕过 MFA 一样,组织也需要采取类似的多管齐下的安全策略来进行防御。
立刻开始使用 Zero Trust (零信任服务)
Michael Keane: [00:09:10]
Zero Trust 就是这一套指导原则,这是一个非常高层次的框架,永不信��任,始终验证,或者没有隐式信任……MFA 与访问的相关性最高,后者与 Zero Trust 网络访问相关。这提供对各种企业资源的个人访问权限,无论是 SaaS,本地资源,还是非 Web 资源,例如供开发人员使用的 SSH 终端。MFA 和以上访问控制的关系最为密切,我们可以将其作为 ZTNA 策略的一部分来实施。对很多组织而言,其 Zero Trust 旅程很可能就从这里开始,首先锁定访问权限。
Michael Keane: [00:10:46]
如果您的企业有一个已有 20 年历史的应用程序,它所在的数据中心可能无法原生支持这些较新的 ZTNA 标准。ZTNA 在中间作为聚合层,帮助我们实施任何类型的 MFA。采用统一的安全策略方法,帮助各种不同的安全措施更有效地协同工作,从多个角度保护网络安全。
关键要点
实施 Zero Trust 安全策略如何有助 防止 MFA 利用
什么是 MFA? [00:00:39]
MFA 的类型 [00:07:12]
开始使用 Zero Trust [00:09:10]