2022年,身份安全加速成為網絡安全對話的前沿。當涉及到應用程序、密碼和設備的使用時,大多數用戶習慣在專業活動和個人活動之間切換,基于身份的攻擊已經成為威脅行為者的首選滲透方法。這些攻擊活動的復雜程度和規模各不相同,但它們都可能對組織的數字環境、業務運營和聲譽產生毀滅性的影響。

多因素身份認證(MFA)已迅速成為身份安全的常見組成部分,組織爭相注冊用戶及其設備,以試圖遏制賬戶被占用。雖然MFA可能是組織抵御這些攻擊的首選數字防御手段,但實際上,這通常是遠遠不夠的。從每周都有新聞報道的一系列高調的基于身份的攻擊就可以看出,即使是MFA也可以被現代身份攻擊技術所繞過。要挫敗網絡攻擊者,首先要了解他們繞過MFA的技術,然后用一種全面的、多層的身份安全策略來應對,以填補這些空白。

威脅行為者圍繞MFA的主要攻擊策略

通常來說,基于身份的攻擊大多始于社會工程網絡釣魚活動,誘騙受害者在不知不覺中提供他們的登錄憑據。一旦獲得用戶名和密碼,攻擊者就會開始應用多種技術來繞過MFA:

1. MFA疲勞

試想一下,用戶在一周內會收到多少次一次性代碼或推送通知。從他們最喜歡的電子商務品牌結賬信息到通過云訪問其工作電子郵件,當他們在手機上收到提醒時,用戶已經習慣于簡單地遵循MFA的指示。

許多網絡攻擊者現在正利用用戶這種習慣因素來確保當他們試圖非法登錄設備而設備推送通知出現時,終端用戶會在沒有質疑甚至是察覺的情況下按下“允許”按鍵。

2. MFA洪水

類似于利用受害者的MFA疲勞,MFA洪水通過不斷的推送通知讓受害者精疲力竭。最終,受害者可能會對不斷的警報感到沮喪和厭倦,他們可能最終會妥協,點擊“允許”按鈕來獲得一些和平和安靜,而威脅者則開始制造混亂。

3. 中間人(AiTM)代理

AiTM攻擊指的是網絡犯罪分子攔截受害者和合法軟件之間的通信。例如,攻擊者可以創建一個看起來和操作起來很像在線銀行的真正單點登錄(SSO)的登錄頁面,使受害者不僅自愿輸入他們的用戶名和密碼,而且還愿意輸入他們的一次性代碼。或者,他們可以在向釣魚網站輸入憑據后同時收到推送通知,假設請求來自他們自己的設備,他們就會按下“允許”鍵。實際上,威脅行為者只是在幕后工作,利用自動化將通過釣魚網站獲得的被盜憑據同時輸入到真實的登錄頁面。

4. MFA重置

攻擊者通常也會通過繞過目標受害者轉而選擇聯系他們的IT幫助臺來繞過MFA。通過假裝受害者,他們可以要求好心的IT幫助臺技術人員重置他們的賬戶,因為聲稱丟失了設備,這將允許他們在登錄時注冊一個新的因素,或者在MFA政策提供的重置寬限期內采取行動。

5. SIM卡交換攻擊

在SIM卡交換攻擊中,攻擊者會冒充受害者并要求網絡提供商將受害者的電話號碼轉移到他們擁有的另一張SIM卡上。他們通常會謊稱丟失了原來的號碼,想移植到一個新的號碼。

當網絡提供商啟動端口時,攻擊者將開始接收受害者的所有消息和通知。他們會嘗試登錄受害者的帳戶,并輸入系統發送到他們號碼的驗證碼。

對于這種情況,您可以通過要求網絡提供商在您的賬戶上創建一個端口阻塞來防止SIM卡交換攻擊,這樣就沒有人能夠用您的號碼做這件事,尤其是通過電話。您還可以添加除短信以外的其他認證媒介。基于設備的身份驗證,即系統將代碼發送到您連接到帳戶的特定移動設備就足夠了。

6. 通道劫持

通道劫持是指攻擊者通過感染惡意軟件強行接管受害者的手機、應用程序或瀏覽器等通道的過程。攻擊者可以使用中間人(MitM)黑客技術竊聽受害者的通信并檢索其在該通道上傳輸的所有信息。

如果您在單個通道上設置了MFA身份驗證,一旦威脅行為者攔截它,他們就可以訪問和利用通道接收到的MFA代碼。

通過使用虛擬專用網絡(VPN)隱藏您的IP地址,并僅限瀏覽更安全的HTTPS網站,可以減少網絡犯罪分子利用MFA的機會。

7. 基于OTP的攻擊

一次性密碼(OTP)是系統自動生成并發送給試圖登錄應用程序以驗證其身份的用戶的代碼。作為反黑客措施,無法提供OTP的網絡攻擊者無法登錄到所述網絡。

網絡威脅行為者會劫持包含OTP的介質,這樣他們就可以訪問它。為了防止MFA中基于OTP的漏洞,可以實現移動威脅防御(MTD)系統來識別和抵御可能暴露代碼的威脅向量。

8. 恢復攻擊

恢復攻擊者指的是黑客利用受害者忘記登錄憑據并試圖恢復它們以獲得訪問權限的情況。當受害者通過替代方法啟動恢復過程的操作時,他們會破壞這些訪問信息的方法。

防止恢復嘗試的一種有效方法是使用密碼管理器來存儲密碼,這樣就不會忘記密碼并求助于恢復選項。

積極主動的身份安全計劃來填補MFA空白

一旦了解了網絡攻擊者用來繞過MFA的技術,接下來的問題自然是:“我的組織如何填補這些空白?”這就是積極主動的身份安全至關重要的地方。一個全面的主動身份安全計劃將包括三個功能:身份攻擊面映射、身份安全態勢管理和身份威脅檢測與響應。

身份攻擊面映射匯總來自組織整個數字架構的數據,以發現和分析企業內部的大量身份信息。這使安全團隊能夠深入了解信息數據,以及這些數據隨著時間的推移而產生的變化。由于攻擊面在新身份加入組織和舊身份離開組織時處于不斷變化的狀態,因此身份攻擊面映射必須是一個連續的過程。

更進一步地說,身份安全態勢管理旨在檢查該身份攻擊面以定位弱點——特別是容易遭到賬戶接管攻擊的賬戶。不活躍的帳戶就相當于一個未使用或未修補的服務器在被遺忘的壁櫥中積累了無數灰塵。對于攻擊者來說,這是一個很容易被利用的載體,如果帳戶最近沒有更改密碼,并且缺乏第二因素配置,則更容易受到攻擊。態勢管理可以定位這些弱點,然后建議甚至實施活動來清除它們。

身份威脅檢測和響應(ITDR)彌補了前兩種功能的不足。不管組織的身份和訪問管理(IAM)架構有多強大,也不管采取了多少預防措施,在當今這個動蕩的網絡環境中,總有一些東西會被攻破。IDTR是最后一道防線,晝夜不停地檢測和響應可能表明帳戶接管正在進行或已經發生的可疑活動。

要挫敗網絡攻擊,需要了解用來繞過受MFA保護的用戶的現代身份攻擊技術,并以一個全面的、多層的身份安全策略來應對,以填補這些空白。

在現代工作場所,身份已經成為新的邊界,網絡攻擊者比以往任何時候都更有能力繞過MFA。組織可以立即采取行動來阻止這些技術。通過一個全面和主動的身份安全計劃,公司可以更有效地保護他們的用戶和數據,以促進長期的業務成功。

網絡安全
撤稿糾錯
本作品采用《CC 協議》,轉載必須注明作者和本文鏈接