 上周末,我最小的女儿在周六早上开始了一个新的接力棒项目. 坐在那里,我意识到在过去的22年里,我至少带着四个女儿中的一个在两个不同城镇的两个不同的球队接力棒.
有时候,跟上孩子的日程安排真的很累人.
最近另一件令人厌倦的事情是多因素身份验证(MFA). 现在有一个新的流行语. 这就是所谓的MFA疲劳. 今天,我想让您了解坏人破解MFA身份验证的最常见方法.
统计数据很清楚. 据估计,99%的最常见的攻击可以通过简单地实现MFA来击败. 一个好的MFA实现应该处理大多数寻找简单受害者的驾车攻击者.
面对越来越多的安全程序,你知道坏人不会直接关门卖甜甜圈. 现实情况是,他们在突破外交部封锁方面越来越有创意. 他们使用的一些APP客户端是:
- Cookie会话窃取. 这是坏人已经潜伏在你的机器上的地方, 它们等待您以正常方式启动MFA会话,并从您的机器上窃取标识您身份的会话cookie. 然后,它们将您冒充为经过验证的MFA用户. 对此的防御是让您的最终用户工作站使用先进的EDR产品(最好带有SOC)进行全面保护,例如由SentinelOne供电的CSI CSEDR.
- 通过短信窃取MFA认证码. 它通常被认为是MFA身份验证的一个非常弱的版本. 您的用户应该使用认证应用程序,例如Cisco DUO.
- 通过电子邮件窃取MFA认证码. 该选项也被认为是一种非常弱的MFA身份验证形式. 如果用户的电子邮件被泄露,向坏人发送安全代码并不是一个好主意. 再一次。, 您应该强制使用身份验证器应用程序(如Cisco DUO)来控制您的身份验证.
- MFA疲劳. 这里的概念是,坏人只是用无提示的MFA请求来攻击您的用户,希望用户太分心或厌倦了提示,他们只是开始点击yes以使提示消失. 用户疲劳和分心是维护MFA过程完整性的真正威胁. 在你的内部培训和再培训, 必须强调的是,用户不应该回答任何不是由他们自己生成的MFA提示. 只有他们才能产生这些请求. 我们确实希望他们意识到他们是否正在登录您的系统!
因为MFA疲劳现在是一件事, MFA身份验证器正在从简单的“Yes/No”演变为MFA提示请求,迫使最终用户在身份验证屏幕上实际评估并选择与其计算机上的数字相匹配的数字. 这完全消除了盲目点击攻击者. 思科DUO将这项新功能称为验证DUO推送.
我强烈建议您通过确保端点得到良好的保护和维护来提升您的MFA游戏, 只要有可能,你就要强迫你的用户完全远离基于短信和电子邮件的MFA, 抵御MFA疲劳, 并改进您的MFA提示以强制数字匹配.
如果您在转型过程中需要帮助,请APP客户端. 我们很乐意帮助你.
斯科特 |
最近的评论