在传统的网络安全架构中,重点在于防止非法入侵,例如防火墙、VPN 、堡垒机等安全设备的重心都在于防止用户违规访问企业资源,一旦合法用户的账号密码被入侵者拿到,就可以冒充合法用户访问企业资源,所有的安全设备形同虚设。而当涉及到应用程序、密码和设备的使用时,大多数用户习惯在工作和个人活动之间切换,基于身份的攻击已经成为威胁行为者的首选路径。这些攻击活动的复杂程度和规模各不相同,但它们都可能对组织的数字环境、业务运营和声誉产生毁灭性的影响。
多因素认证( MFA )被誉为最有效的安全验证办法,并已成为身份安全的重要组成部分,微软研究显示,选择合适的多因素认证方案能有效阻止 99% 的账户攻击。但 Cyber Readiness Institute 研究表明,30% 的企业不了解多因素认证( MFA )或其安全优势,54% 的企业没有实施任何形式的多因素认证。如何评估企业的 MFA 需求,如何选择合适的 MFA 解决方案?这些都成为企业在如今安全环境下需要思考的问题。
01.企业身份安全现状
账号管理难度大
员工在日常工作中需要访问不同的业务应用,包括电子邮件、内部协作工具、客户关系管理系统、财务软件等等。每个应用都需要独立的登录凭据,包括用户名和密码。重复的登录验证将极大的降低员工效率。为了方便起见,一些员工可能会采用相同的用户名和密码,或者是过于简单的凭据,以便更容易记住。长此以往,使用重复的账号和口令,导致一个账号口令被攻破,所有的平台系统信息会出现泄露风险。
身份认证场景复杂
随着业务上云、移动办公、生态协作、员工内外网访问、多分支接入等业务场景的涌现,企业的安全防控边界持续外延。过去以企业内部防火墙为边界的身份与访问控制( IAM )已经无法应对现今分布式身份和权限管理需求,传统的身份认证手段单一、强度不足,已无法应对复杂多变的安全环境。以 VPN 为例,目前它仍然是许多企业内外网隔离的核心工具,但传统的 VPN 认证方式相对简单,通常依赖用户名和密码的组合。这种方式存在明显的安全隐患,如密码猜测、泄露、或被黑客攻击,导致账号被盗用,危及敏感数据和网络的完整性。
数据安全高要求
数据作为第五大生产要素,已成为国家的核心战略资源。伴随着数据与生产、分配、流通、消费和社会服务管理等各个环节的快速融合,数据安全的重要性日益凸显,对维护国家安全、促进数据要素流通、支撑数字经济发展等具有重要意义。但近年来,企业数据信息泄露事件却频频发生,企业数据安全岌岌可危。企业内部经常涉及到高度敏感和保密级别的数据以及精密的设备。这些数据可能涉及客户信息、财务数据、知识产权等其他机密信息。企业需要基于身份加强全链路的风控防护,提前配置风控策略,帮助企业识别可能存在的风险,及时向相关人员发送告警信息。
自研困难
信息化建设较早且较深的企业,在建立初始的身份和访问管理( IAM )系统时,主要集中管理和控制用户账户、权限以及访问等方面,而对提升安全性的需求并不重视,致使 MFA 功能没有被纳入最初的考虑范围,或者所选择的 IAM 系统未能支持 MFA 功能。然而,随着企业业务的不断扩展和信息安全威胁的不断增加,这些企业开始逐渐认识到 MFA 的重要性。但单独自研 MFA 需要投入大量人力和运维成本,企业无法专注于自身核心业务。
02.相关政策法规涌现
移动互联、物联网、工业控制和大数据等新技术、新应用领域的个性安全保护需求提出安全扩展要求,加强网络安全等级保护和运维服务过程的安全管理,更加明确要求在身份鉴别方面提高标准,以适应不断演化的网络威胁和风险。其中,《信息安全技术网络安全等级保护基本要求》中明确定义了第三级系统的身份鉴别要求,并要求企业采用多种身份鉴别技术,包括口令、密码技术和生物技术等。《网络安全等级保护测评高风险判定指引》针对第三级及以上系统明确:关键网络设备、安全设备、操作系统如果不满足双因素鉴别要求,则可判定为高风险项。
随着一系列律法的出台,我国在网络与信息安全领域的法律法规进一步完善,而数据安全行业也走上了风口浪尖。过去基于利用个人隐私数据而生存的企业,将迎来史无前例的严格监管,而包括数据安全在内的整个安全行业,将更加凸显其市场环境中的竞争力。
03.持续自适应多因素认证成企业最优选择
如果你希望更详细了解多因素认证、自适应多因素认证、持续自适应多因素认证的区别,请下方卡片查看。
根据 Verizon 数据泄漏调查报告显示,81% 的黑客相关泄漏事故都是因为凭证盗取造成的。过去传统的安全治理办法是添加更多的身份认证流程,例如在帐号密码单因素认证下添加第二种认证因素,短信/邮箱等验证流程,这种办法被称为 2FA,即双因素认证。然而这种办法并不能有效解决此类问题,不法分子会通过钓鱼网站/邮件/短信等手段获取相应的 OTP 指令或者建设伪基站来劫取验证信息。
试想一下,用户在一周内会收到多少次一次性验证码或推送通知。从他们最喜欢的电子商务品牌结账信息到通过云访问其工作电子邮件,当他们在手机上收到提醒时,用户已经习惯于简单地遵循 MFA 的指示。许多网络攻击者现在正利用用户这种习惯因素来确保当他们试图非法登录设备而设备推送通知出现时,终端用户会在没有质疑甚至是察觉的情况下按下“允许”按键。
企业需要一种更加积极主动的身份验证方式来填补传统 MFA 空白。持续自适应多因素认证作为下一代多因素安全认证解决方案被推出,通过持续不间断地分析用户登录和使用行为,有效识别风险,自动配置合适的 MFA 策略,在风险出现时拉起二次认证,全面提升安全风控能力。它在自适应多因素认证(基于上下文属性判断当前安全状况以增加因素认证)的基础上增加了实时风险评估技术对用户进行动态评估安全系数。在时间维度上,持续自适应多因素认证在用户整个使用旅程中持续不断的对其进行信任评估,以决定是否需要增加额外的认证流程。这样做的好处就是企业的安全得到实时监控,而用户只会在进行风险操作时被提示需要进行额外的认证。
04.如何快速为你的企业构建持续自适应多因素认证?
企业实现持续自适应认证,策略引擎必须能够连接上下文数据与用户和设备等实体关联起来,而保障其决策准确性的前提就是能够拓展到更细粒度的身份上获取更多数据作为依据。同时为了提高拓展性、灵活性以及持续性,该流程必须是自动化执行的。而需要实现上述能力的关键是企业的身份访问与管理系统具有可编排的自动化能力,同时也需要具备元数据能力来统一不同来源上报的行为数据的标准,通过自动化编排能力将整个身份验证流程串联,以实现持续响应的自适应多因素认证。
Authing 提供基于身份自动化编排引擎的「持续自适应多因素认证」。自适应 MFA 认证策略底层基于 Authing UEBA(用户或实体行为分析技术),可以针对用户行为和用户画像进行深度梳理分析,从而自动选择与当前行为相匹配的 MFA 策略。
在自适应 MFA 认证策略中,Authing UEBA 引擎会根据用户的行为和画像进行分析和判断,例如用户的登录历史、设备信息、IP 地址、地理位置、活动模式等等,从而确定当前用户的身份和风险级别,并选择与之相匹配的 MFA 策略。而持续自适应多因素认证(CAMFA)是在自适应多因素认证 (Adaptive-MFA) 的基础上加上 Authing 身份自动化编排引擎。
当用户的业务系统接入 Authing 后,从业务系统后端上报的 UEBA 数据到 Authing 系统,通过在 Authing 配置的持续自适应 MFA 安全策略流,在订阅安全策略流发布的事件后。此时自适应安全策略将持续对 MFA 事件进行监听,当接收到 MFA 事件后,将执行相应的安全策略。
05.最佳实践案例:某知名地产集团
需求挑战
- 集团原有的 IAM 系统未能支持 MFA 功能。随着业务的不断扩展和信息安全威胁的不断增加,集团迫切需要 MFA 来保护数据安全。但自研 MFA 需要投入大量人力和运维成本,且周期长。
- 内部使用的 IM 工具仍仅有账密登录方式,单一的账号密码认证风险较高,可能导致弱口令爆破、撞库等账号盗用的安全威胁。希望加入多种认证方式,可灵活选择不同的多因素认证方式提升安全性,包括设备校验、生物特征校验、问题校验等模式。
- 企业内部管理和维护涉及精密设备和高度机密级别的数据。精密设备的损坏或失效可能导致昂贵的修复和更换成本,再次引发生产中断,对企业的经济稳定性和安全构成严重威胁。
解决方案
- Authing 的 MFA 功能可以被企业单独接入。企业只需要在 Authing 控制台新建一个 MFA 应用,并在客户端/服务端安装 Authing SDK,即可快速拓展企业的安全认证模块。
- Authing 提供动态令牌、短信、邮箱、OTP、人脸识别等二次认证方式,能满足多种使用场景, 有效预防盗号和数据泄漏风险。帮助企业提高用户身份验证的安全性,降低潜在的风险,为企业提供了可信的安全保障。
- Authing 提供持续自适应多因素认证,能根据用户登录认证时的属性、位置、行为等数据判断登录风险,仅在风险范围内开启二次认证,以此帮助企业平衡信息安全、员工效率与用户体验。