繞過多重要素驗證
模仿使用者行為的進階技術
新的網路攻擊正在破壞 MFA 安全性
長期以來,多重要素驗證 (MFA) 一直是身分識別和存取管理的基石。透過要求使用者使用額外的驗證因素(從指紋到單次密碼再到硬體金鑰)來補充傳統的使用者名稱/密碼組合,組織可以更好地保護其網路和資料免受利用被盜認證的攻擊。
然而,攻擊者正在尋找新的方法來規避 MFA。Microsoft 最近偵測到一個網路釣魚活動,該活動使用中間人攻擊技術針對 10,000 多個組織。攻擊者使用反向代理網站偽造成一個欺詐性的 Microsoft 365 登入頁面,他們可以從中攔截使用者的密碼和工作階段 cookie——從而使他們能夠繞過 MFA 措施並獲得對大量電子郵件帳戶的存取權限。
一旦攻擊者入侵了合法使用者帳戶,他們就會建立收件匣規則,使他們能夠對毫無戒心的聯絡人進行有針對性的商業電子郵件入侵 (BEC) 攻擊,並保持對帳戶的存取權限,即使使用者後來變更了密碼也是如此。
這次攻擊為實施了 MFA 的組織敲響了警鐘。畢竟,MFA 措施旨在驗證使用者身分,有助於在授予敏感資訊和系統存取權限之前證明員工、承包商、廠商和其他被授權方是他們所聲稱的身分。當攻擊者能夠成功地冒充合法使用者時,大門就敞開了。
但 MFA 並不是薄弱環節——組織也不應該為了不那麼強大的身分識別和存取管理方法而放棄它。相反,保護使用者和資料免受進階網路攻擊需要全面的 Zero Trust 安全策略,該策略使用強大的驗證措施來持續驗證和監控企業網路上的所有帳戶、應用程式和端點。
攻擊如何繞過傳統的網路安全措施
中間人攻擊並不是攻擊者最近用來破壞 MFA 的唯一方法。FBI 和 CISA 報告了一次俄羅斯網路攻擊,該攻擊使用暴力密碼破解攻擊來存取非政府組織的非作用中帳戶。在攻擊者獲得帳戶的存取權限後,他們會使用一個名為「PrintNightmare」的漏洞來執行程式碼,從而賦予他們系統特權並繞過標準 MFA 控制。
在其他情況下,MFA 由於人為錯誤而受到損害。雪城大學在其內部電子郵件系統上實作 MFA 後,攻擊者試圖透過稱為「MFA 疲勞」的攻擊向學生和教職員工傳送垃圾郵件。攻擊者使用網路釣魚和其他方法獲得對電子郵件認證的存取權限,然後向使用者裝置傳送多個 MFA 請求,希望使用者對請求感到厭煩而不再拒絕它們。一旦使用者核准了授權請求(即使只是為了讓他們的手機靜音),攻擊者就可以進一步存取大學資源和帳戶。
儘管攻擊者繼續尋找破壞 MFA 的新方法,但這並不表示 MFA 通訊協定本身存在弱點。相反:根據負責網路和新興技術的副國家安全顧問 Anne Neuberger 的說法,使用 MFA 可以阻止高達 90% 的網路攻擊企圖。重要的是要記住網路攻擊是複雜的,攻擊者不僅僅是針對 MFA 來入侵帳戶,而只是作為攻擊鏈的一部分,整合過程可能還涉及網路釣魚、惡意軟體、暴力破解密碼、未修補的漏洞利用、被盜認證 ,��或其他策略的組合。
Zero Trust 有助於防止 MFA 利用
依賴任何單一安全策略無法保護組織免受日益複雜的攻擊。正如攻擊者依賴多種策略來存取敏感帳戶一樣,組織也需要多管齊下的安全策略來保護其使用者和資料。
Zero Trust 是現代網路安全的基本原則,本質上不信任任何試圖獲得組織資源存取權限的使用者。這使得攻擊者(無論是存在於組織外部還是在組織內部)更難以入侵網路或帳戶。
實際上,Zero Trust 平台讓組織能透過多種方法保護其網路安全,包括以下方式:
多重要素驗證:MFA 可以使用單次密碼、推播通知、使用者生物特徵辨識(例如指紋或面部識別)、安全金鑰或其他驗證使用者和裝置身分的方法
持續監控和驗證:使用者和裝置必須不斷重新驗證,這樣,即使使用盜用認證,攻擊者也難以始終如一地獲得對網路的存取權
最低權限存取:使用者只能存取他們需要使用的資源,而非存取整個網路
裝置存取控制:連接至網路的裝置必須經過授權,並監控其是否有可疑活動的跡象
防止橫向移動:微分段透過將存取權限限制在網路的特定區域,協助防止橫向移動
使用 Zero Trust 策略,基於 MFA 的攻擊成功的可能性要小得多。即使攻擊者設法存取了使用者帳戶,他們也不會獲得對整個網路不受限制的存取權限,也無法在不經過不斷重新驗證使用者和裝置身分的情況下橫向移動。
使用 Cloudflare 遠離 MFA 攻擊
Cloudflare Zero Trust 有助於保護企業網路和使用者免受複雜的網路攻擊,即使是那些試圖利用 MFA 措施的攻擊。Cloudflare 的整合式 Zero Trust 平台使組織可以輕鬆地跨雲端、內部部署和 SaaS 應用程式實施一致的最低權限存取控制,防止攻擊者破壞敏感系統和資料以及在組織內橫向移動。
Cloudflare 就影響當今技術決策者的最新趨勢和主題發表了一系列文章,本文為其一。
重點
閱讀本文後,您將能夠瞭解:
攻擊者如何使用網路釣魚策略規避 MFA
MFA 受損如何為資料竊取和其他攻擊打開大門
防止 MFA 利用的關鍵策略