如何为您的企业选择合适的多因素认证?

news2024/11/14 13:52:51

在传统的网络安全架构中,重点在于防止非法入侵,例如防火墙、VPN 、堡垒机等安全设备的重心都在于防止用户违规访问企业资源,一旦合法用户的账号密码被入侵者拿到,就可以冒充合法用户访问企业资源,所有的安全设备形同虚设。而当涉及到应用程序、密码和设备的使用时,大多数用户习惯在工作和个人活动之间切换,基于身份的攻击已经成为威胁行为者的首选路径。这些攻击活动的复杂程度和规模各不相同,但它们都可能对组织的数字环境、业务运营和声誉产生毁灭性的影响。

多因素认证( MFA )被誉为最有效的安全验证办法,并已成为身份安全的重要组成部分,微软研究显示,选择合适的多因素认证方案能有效阻止 99% 的账户攻击。但 Cyber Readiness Institute 研究表明,30% 的企业不了解多因素认证( MFA )或其安全优势,54% 的企业没有实施任何形式的多因素认证。如何评估企业的 MFA 需求,如何选择合适的 MFA 解决方案?这些都成为企业在如今安全环境下需要思考的问题。

01.企业身份安全现状


账号管理难度大
员工在日常工作中需要访问不同的业务应用,包括电子邮件、内部协作工具、客户关系管理系统、财务软件等等。每个应用都需要独立的登录凭据,包括用户名和密码。重复的登录验证将极大的降低员工效率。为了方便起见,一些员工可能会采用相同的用户名和密码,或者是过于简单的凭据,以便更容易记住。长此以往,使用重复的账号和口令,导致一个账号口令被攻破,所有的平台系统信息会出现泄露风险。

身份认证场景复杂
随着业务上云、移动办公、生态协作、员工内外网访问、多分支接入等业务场景的涌现,企业的安全防控边界持续外延。过去以企业内部防火墙为边界的身份与访问控制( IAM )已经无法应对现今分布式身份和权限管理需求,传统的身份认证手段单一、强度不足,已无法应对复杂多变的安全环境。以 VPN 为例,目前它仍然是许多企业内外网隔离的核心工具,但传统的 VPN 认证方式相对简单,通常依赖用户名和密码的组合。这种方式存在明显的安全隐患,如密码猜测、泄露、或被黑客攻击,导致账号被盗用,危及敏感数据和网络的完整性。

数据安全高要求
数据作为第五大生产要素,已成为国家的核心战略资源。伴随着数据与生产、分配、流通、消费和社会服务管理等各个环节的快速融合,数据安全的重要性日益凸显,对维护国家安全、促进数据要素流通、支撑数字经济发展等具有重要意义。但近年来,企业数据信息泄露事件却频频发生,企业数据安全岌岌可危。企业内部经常涉及到高度敏感和保密级别的数据以及精密的设备。这些数据可能涉及客户信息、财务数据、知识产权等其他机密信息。企业需要基于身份加强全链路的风控防护,提前配置风控策略,帮助企业识别可能存在的风险,及时向相关人员发送告警信息。

自研困难

信息化建设较早且较深的企业,在建立初始的身份和访问管理( IAM )系统时,主要集中管理和控制用户账户、权限以及访问等方面,而对提升安全性的需求并不重视,致使 MFA 功能没有被纳入最初的考虑范围,或者所选择的 IAM 系统未能支持 MFA 功能。然而,随着企业业务的不断扩展和信息安全威胁的不断增加,这些企业开始逐渐认识到 MFA 的重要性。但单独自研 MFA 需要投入大量人力和运维成本,企业无法专注于自身核心业务。

02.相关政策法规涌现

移动互联、物联网、工业控制和大数据等新技术、新应用领域的个性安全保护需求提出安全扩展要求,加强网络安全等级保护和运维服务过程的安全管理,更加明确要求在身份鉴别方面提高标准,以适应不断演化的网络威胁和风险。其中,《信息安全技术网络安全等级保护基本要求》中明确定义了第三级系统的身份鉴别要求,并要求企业采用多种身份鉴别技术,包括口令、密码技术和生物技术等。《网络安全等级保护测评高风险判定指引》针对第三级及以上系统明确:关键网络设备、安全设备、操作系统如果不满足双因素鉴别要求,则可判定为高风险项。

随着一系列律法的出台,我国在网络与信息安全领域的法律法规进一步完善,而数据安全行业也走上了风口浪尖。过去基于利用个人隐私数据而生存的企业,将迎来史无前例的严格监管,而包括数据安全在内的整个安全行业,将更加凸显其市场环境中的竞争力。

03.持续自适应多因素认证成企业最优选择


如果你希望更详细了解多因素认证、自适应多因素认证、持续自适应多因素认证的区别,请下方卡片查看。


根据 Verizon 数据泄漏调查报告显示,81% 的黑客相关泄漏事故都是因为凭证盗取造成的。过去传统的安全治理办法是添加更多的身份认证流程,例如在帐号密码单因素认证下添加第二种认证因素,短信/邮箱等验证流程,这种办法被称为 2FA,即双因素认证。然而这种办法并不能有效解决此类问题,不法分子会通过钓鱼网站/邮件/短信等手段获取相应的 OTP 指令或者建设伪基站来劫取验证信息。

试想一下,用户在一周内会收到多少次一次性验证码或推送通知。从他们最喜欢的电子商务品牌结账信息到通过云访问其工作电子邮件,当他们在手机上收到提醒时,用户已经习惯于简单地遵循 MFA 的指示。许多网络攻击者现在正利用用户这种习惯因素来确保当他们试图非法登录设备而设备推送通知出现时,终端用户会在没有质疑甚至是察觉的情况下按下“允许”按键。

企业需要一种更加积极主动的身份验证方式来填补传统 MFA 空白。持续自适应多因素认证作为下一代多因素安全认证解决方案被推出,通过持续不间断地分析用户登录和使用行为,有效识别风险,自动配置合适的 MFA 策略,在风险出现时拉起二次认证,全面提升安全风控能力。它在自适应多因素认证(基于上下文属性判断当前安全状况以增加因素认证)的基础上增加了实时风险评估技术对用户进行动态评估安全系数。在时间维度上,持续自适应多因素认证在用户整个使用旅程中持续不断的对其进行信任评估,以决定是否需要增加额外的认证流程。这样做的好处就是企业的安全得到实时监控,而用户只会在进行风险操作时被提示需要进行额外的认证。

04.如何快速为你的企业构建持续自适应多因素认证?


企业实现持续自适应认证,策略引擎必须能够连接上下文数据与用户和设备等实体关联起来,而保障其决策准确性的前提就是能够拓展到更细粒度的身份上获取更多数据作为依据。同时为了提高拓展性、灵活性以及持续性,该流程必须是自动化执行的。而需要实现上述能力的关键是企业的身份访问与管理系统具有可编排的自动化能力,同时也需要具备元数据能力来统一不同来源上报的行为数据的标准,通过自动化编排能力将整个身份验证流程串联,以实现持续响应的自适应多因素认证。

Authing 提供基于身份自动化编排引擎的「持续自适应多因素认证」。自适应 MFA 认证策略底层基于 Authing UEBA(用户或实体行为分析技术),可以针对用户行为和用户画像进行深度梳理分析,从而自动选择与当前行为相匹配的 MFA 策略。

在自适应 MFA 认证策略中,Authing UEBA 引擎会根据用户的行为和画像进行分析和判断,例如用户的登录历史、设备信息、IP 地址、地理位置、活动模式等等,从而确定当前用户的身份和风险级别,并选择与之相匹配的 MFA 策略。而持续自适应多因素认证(CAMFA)是在自适应多因素认证 (Adaptive-MFA) 的基础上加上 Authing 身份自动化编排引擎。

当用户的业务系统接入 Authing 后,从业务系统后端上报的 UEBA 数据到 Authing 系统,通过在 Authing 配置的持续自适应 MFA 安全策略流,在订阅安全策略流发布的事件后。此时自适应安全策略将持续对 MFA 事件进行监听,当接收到 MFA 事件后,将执行相应的安全策略。

05.最佳实践案例:某知名地产集团

需求挑战

  • 集团原有的 IAM 系统未能支持 MFA 功能。随着业务的不断扩展和信息安全威胁的不断增加,集团迫切需要 MFA 来保护数据安全。但自研 MFA 需要投入大量人力和运维成本,且周期长。
  • 内部使用的 IM 工具仍仅有账密登录方式,单一的账号密码认证风险较高,可能导致弱口令爆破、撞库等账号盗用的安全威胁。希望加入多种认证方式,可灵活选择不同的多因素认证方式提升安全性,包括设备校验、生物特征校验、问题校验等模式。
  • 企业内部管理和维护涉及精密设备和高度机密级别的数据。精密设备的损坏或失效可能导致昂贵的修复和更换成本,再次引发生产中断,对企业的经济稳定性和安全构成严重威胁。

解决方案

  • Authing 的 MFA 功能可以被企业单独接入。企业只需要在 Authing 控制台新建一个 MFA 应用,并在客户端/服务端安装 Authing SDK,即可快速拓展企业的安全认证模块。
  • Authing 提供动态令牌、短信、邮箱、OTP、人脸识别等二次认证方式,能满足多种使用场景, 有效预防盗号和数据泄漏风险。帮助企业提高用户身份验证的安全性,降低潜在的风险,为企业提供了可信的安全保障。
  • Authing 提供持续自适应多因素认证,能根据用户登录认证时的属性、位置、行为等数据判断登录风险,仅在风险范围内开启二次认证,以此帮助企业平衡信息安全、员工效率与用户体验。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1245499.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

通过Spring整合MyBatis实现持久层操作

文章目录 为什么要整合Spring和MyBatis?步骤一:添加依赖步骤二:配置数据源步骤三:配置MyBatis步骤四:创建Mapper接口和XML文件步骤五:使用Mapper接口拓展:事务管理 🎉通过Spring整合…

快手二面:敢不敢说说为啥POI会导致内存溢出?

△Hollis, 一个对Coding有着独特追求的人△ 这是Hollis的第 435 篇原创分享 作者 l Hollis 来源 l Hollis(ID:hollischuang) Apache POI,是一个非常流行的文档处理工具,通常大家会选择用它来处理Excel文件。但是在实际…

gitee推荐-PHP面试准备的资料

该内容为giee项目。PHP-Interview: 这个项目是自己准备PHP面试整理的资料。包括PHP、MySQL、Linux、计算机网络等资料。方便自己以后查阅,会不定期更新,欢迎提交pr,如果错误,请指出,谢谢 在线预览地址:Intr…

电机应用开发-直流有刷电机位置环控制实现

目录 直流有刷电机位置环控制实现 硬件设计 直流电机位置环控制-位置式PID实现 编程要点 配置基本定时器6产生定时中断来执行PID运算 配置定时器1输出PWM控制电机 配置定时器3读取编码器的计数值 编写位置式PID算法 主体功能 直流电机位置环控制-增量式PID实现 编程…

Python爬虫-获取汽车之家新车优惠价

前言 本文是该专栏的第10篇,后面会持续分享python爬虫案例干货,记得关注。 本文以汽车之家新车优惠价为例,获取各车型的优惠价,示例图如下: 地址:aHR0cHM6Ly9idXkuYXV0b2hvbWUuY29tLmNuLzAvMC8wLzQyMDAwMC80MjAxMDAvMC0wLTAtMS5odG1sI3B2YXJlYWlkPTIxMTMxOTU= 需求:获…

Fragment 调用PopupWindow 不显示这么回事

问题就在于 这个 tvCategory,页面刚创建就初始化 PopupWindow导致 取到的值为0 应该监听tvCategory 渲染完再去初始化PopupWindow

leetcode:合并两个有序链表

题目描述 题目链接:21. 合并两个有序链表 - 力扣(LeetCode) 题目分析 这个算法思路很简单:就是直接找小尾插 定义一个tail和head,对比两个链表结点的val,小的尾插到tail->next,如果一个链表…

git 更换远程仓库地址三种方法总结分享

因为公司更改了 gitlab 的网段地址,发现全部项目都需要重新更改远程仓库的地址了,所以做了个记录,说不定以后还会用到呢。 一、不删除远程仓库修改(最方便) # 查看远端地址 git remote -v # 查看远端仓库名 git rem…

四大开关电源故障检测方法分享

开关电源作为常见的电力设备已经被广泛应用到各个领域,但是在使用过程中会出现短路、输出电压不稳定等故障,那么开关电源的常见故障有哪些? 要如何检测? 开关电源常见故障的检测方法 一、开关电源过载或短路 1.检查输出负载,确保其符合开关…

C#,数值计算——多项式插值与外推插值(Poly2D_interp)的计算方法与源程序

1 文本格式 using System; namespace Legalsoft.Truffer { /// <summary> /// Object for two-dimensional polynomial interpolation on a matrix.Construct /// with a vector of x1 values, a vector of x2 values, a matrix of tabulated /// func…

从0开始学习JavaScript--JavaScript模块化编程

JavaScript模块化编程是现代前端开发中的核心概念之一。通过模块化&#xff0c;能够将复杂的代码分割成独立的模块&#xff0c;提高代码的可维护性、可扩展性&#xff0c;同时实现代码的复用。本文将深入探讨JavaScript模块化的各个方面&#xff0c;包括模块的定义、导入导出、…

马养殖场建设VR模拟实训教学平台具有灵活性和复用性

为保障养殖场生物安全&#xff0c;避免疫病传播&#xff0c;学生出入养殖场受时间和地域的限制&#xff0c; 生产实习多以参观为主&#xff0c;通过畜牧企业技术人员的讲解&#xff0c;学生被动了解生产过程。为了解决畜牧养殖实训难的问题&#xff0c;借助VR技术开展畜牧养殖虚…

一起学docker系列之七docker容器卷技术

目录 1 为什么使用容器数据卷&#xff1f;2 数据卷的特点和优势3 使用数据卷的方法3.1 创建容器并挂载数据卷3.2 容器间数据卷的共享与继承 4 数据卷的权限设置5 注意事项5.1 解决权限问题5.2 路径自动创建 结语 对于容器化应用程序的数据管理和持久化&#xff0c;Docker 数据卷…

LeetCode | 622. 设计循环队列

LeetCode | 622. 设计循环队列 OJ链接 思路&#xff1a; 我们这里有一个思路&#xff1a; 插入数据&#xff0c;bank往后走 删除数据&#xff0c;front往前走 再插入数据&#xff0c;就循环了 那上面这个方法可行吗&#xff1f; 怎么判断满&#xff0c;怎么判断空&#xff1…

mysql:修改密码的几种方式

背景 当我们 brew install mysql 新安装 mysql 的时候&#xff0c;是没有密码的&#xff0c;我们可以直接通过 mysql -u root 连接上。但是密码还是要设置的&#xff0c;一是为了安全&#xff0c;二是有些数据库软件如 Sequel 连接都是必须要密码的&#xff0c;接下来我们来看…

详解深度学习中的图神经网络GNN

引言 图神经网络GNN是深度学习的一个分支。 深度学习的四个分支对应了四种常见的数据格式&#xff0c;前馈神经网络FNN处理表格数据&#xff0c;表格数据可以是特征向量&#xff0c;卷积神经网络CNN处理图像数据&#xff0c;循环神经网络RNN处理时序数据&#xff0c;图神经网…

thinkphp6 不支持:redis错误

起因&#xff1a; 使用 redis 时候&#xff0c;thinkphp 报错。 解决方法&#xff1a; 打开 php.ini 文件&#xff0c;增加 extensionphp_redis.dll 即可

C/C++内存管理(2):`new`和`delete`的实现原理

new和delete操作自定义类型 class Stack { public:Stack(int capacity 3):_top(0), _capacity(capacity){cout << "Stack(int capacity 3)" << endl;_a new int[capacity];}~Stack(){cout << "~Stack()" << endl;delete _a;_to…

I Doc View在线文档预览系统RCE漏洞(QVD-2023-45061)

0x01 产品简介 iDocView是一个在线文档解析应用&#xff0c;旨在提供便捷的文件查看和编辑服务。 0x02 漏洞概述 漏洞成因 本次漏洞出现在在线文档解析应用中的远程页面缓存功能。具体问题在于该应用未能对用户输入的URL进行充分的安全验证&#xff0c;从而导致存在安全隐患…

如何开发洗鞋店用的小程序

随着人们生活水平的提高&#xff0c;洗护行业是越来越细分化了&#xff0c;从最开始的干洗店包含洗护行业的所有服务到现在有专门为洗鞋开的店&#xff0c;如果开发一款洗鞋店用的小程序&#xff0c;可以实现用户在家下单直接有人上门取鞋的话&#xff0c;应该如何去开发呢&…