为什么依赖多因素身份验证是一种危险的策略

企业与其花费数十万美元购买在勒索软件或业务中断情况下可能无法支付的保险单，不如投资网络安全防御措施，并从一开始就对网络攻击进行防范。

美国网络安全和基础设施安全局(CISA)和美国联邦调查局(FBI)网络部门最近在联合发布的一份网络安全咨询(CSA)报告中警告说，一些获得国家支持的网络行为者利用默认的多因素身份验证协议获得了网络访问权限。

自从发生俄乌冲突以来，已经看到Conti、Anonymous等黑客组织承诺为支持某一方进行网络攻击。保险公司很快将此类网络攻击归类为战争行为，引发了保险豁免条款的变化，以反映冲突地区以外“溢出损害”风险的上升。由于勒索软件现在占网络保险索赔的75%，越来越多的网络攻击团伙宣布他们的攻击行为与俄乌冲突无关，希望保险公司继续为受害方的赎金提供赔偿。

除此之外，像黑客组织Lapsus$这样的新进入者正在使用低技术方法来获取员工凭证，并通过Telegram宣传他们联系受害者的方式，企业面临的网络攻击风险、影响和频率都在增加。这种情况正在推动更多企业改变其网络安全弹性战略。企业与其花费数十万美元购买在勒索软件或业务中断情况下可能无法支付的保险单，不如投资网络安全防御措施，并从一开始就对网络攻击进行防范。

多因素身份验证(MFA) ​​不会阻止密码网络钓鱼或欺诈

许多企业使用多因素身份验证(MFA)来防止黑客访问他们的网络。但只是依靠多因素身份验证(MFA)是不够的。因为多因素身份验证(MFA)意味着涉及第二、第三甚至第四因素的身份验证。

在用户输入第一个因素(通常是密码)之后，他们会收到发送到他们某个设备的令牌，然后他们必须单击该令牌才能接受，或者复制并粘贴以实施身份验证。但这仅在用户可以依赖第一个因素时才有效。

问题是第一个因素实际上从一开始就受到了影响。在现实世界中，当员工上班时，他们通过钥匙或门禁卡进入企业的办公大楼、电梯和房间。但在数字世界中，企业的做法则相反。要求员工设置自己的密钥(密码)以访问企业网络和基础设施。

在这样做的过程中，企业有效地将其访问控制权移交给了员工，并使自己面临诸如密码钓鱼、丢失、盗窃、重用、未经授权的共享和欺诈等人为责任。在失去访问控制之后，企业首先应该考虑在默认情况下所有密码都会被泄露，这意味着多因素身份验证(MFA)无法再保证合法访问。多因素身份验证(MFA)在这里提供的只是一种虚假的安全感。

在没有访问控制措施的情况下，多因素身份验证(MFA)漏洞利用的例子很多。早在2021年5月，一些获得国家支持的网络行为者就通过利用默认的多因素身份验证(MFA)协议来控制其网络，从而获得了对其他政府和企业的访问权限。

除此之外，黑客组织Lapsus$通过在凌晨向第三方支持提供商的员工的电话重复发送多因素身份验证(MFA)批准请求，直到他们为了重新入睡批准了请求，从而侵入了Okta公司内部系统。

多因素身份验证(MFA)并不会阻止勒索软件

依靠没有访问控制措施的多因素身份验证(MFA)不仅危险，而且与SSO、IAM或PAM等用户单一访问解决方案结合使用时风险更大。Lapsus$最近实施的网络攻击行为暴露了企业将所有数据集中在一处面临的问题。

在2月中旬的一次违规事件中，Lapsus$从Nvidia公司窃取了1TB的数据，其中包括Nvidia公司71000多名员工的用户名和密码。而Lapsus$最近在Sitel公司的运营环境中发现一个名为DomAdmins-LastPass.xlsx的Excel文档之后，其漏洞影响了依赖Okta验证访问权限的客户。

在这种情况下，失去这一切的可能性对任何企业来说都是一场噩梦，暴露了集中访问的局限性，并使得一旦系统受到破坏，唯一用户控制的想法就变得多余了。

停止混淆识别和身份验证

为了真正建立网络弹性，企业需要吸取现实世界中的教训，并停止混淆身份和访问权限。这种区别在物理世界中是很明显的。例如，当有人从银行提取大笔款项或参加考试以证明身份时，就会被要求出示身份证件，这就是所谓的身份证明。但是当他回家或去公司上班时，大门却不会认出他并为他开门;如果他有密钥就可以进入，而这就是所谓的身份验证。

人们只需要拥有正确的钥匙就可以打开大门。就像没有人能够只使用一把钥匙打开他们的房屋、汽车、办公室的门一样，每个系统都应该有一个不同的密码，他们不需要知道或记住。为了有效地收回对系统访问的控制权，企业只需要应用这些原则。

在实践中，对所有系统访问进行分段并将加密的密码分发给员工，将完全消除人为错误的可能性，因为没有人创建、查看或键入密码。解决访问管理问题的原因不仅可以帮助企业重新获得对其访问和数据的命令和控制权，还可以节省大量时间来培训员工了解无效的密码策略。

虽然当企业控制和分割他们的访问权限时，投资多因素身份验证是有意义的，但仅靠它肯定不能保护网络的安全。为了保护他们的业务，企业应该关注将密码创建、分发、使用和到期的整个过程集成到他们的管理过程中，就像他们在现实世界中所采取的安全措施那样，而不用改变基础设施。这将增强他们的网络防御能力并阻止支付巨额赎金。