巩固安全防御:FIDO + MFA 战略,打造双重保护

见解 May 24, 2023
BlogHeroImage

作为 Veritas 的首席信息安全官,我亲眼见到网络犯罪一浪高过一浪地汹涌袭来,尤其是盗窃凭据这个犯罪趋势更让人坐立难安。我想在此分享一点个人经验,说明为何 FIDO(Fast IDentity Online,线上快速身份验证)叠加多重身份验证 (MFA) 是加强身份验证安全性的最佳方式之一。

 

针对多重身份验证的攻击日益上涨

盗窃凭据并非新的攻击手段,但我们观察到,过去几个月中这类攻击呈显著上涨趋势。网络犯罪分子不仅窃取凭据,还狡猾地绕过多重身份验证机制,从而在未经授权的情况下大肆访问和劫持会话。

许多同行也表达了类似的担忧,他们指出试图绕过多重身份验证机制的攻击快速上涨,凭据盗窃开始广泛传播。行业领先的网络安全公司 CrowdStrike 证实了这些观察结果,并指出四个重要趋势:

 

  • 从恶意软件攻击转向盗取合法凭据
  • 犯罪分子快速攻击公开披露的漏洞
  • 社交诈骗激增,尤其以绕过多重身份验证防御机制为目标
  • 多重身份验证和通知疲劳,导致多重身份验证失效

 

多重身份验证的重要性:通过 FIDO 增强安全性

多重身份验证通常要求采用二种方法来验证用户身份,从而确保环境安全。它可以是钥匙或智能卡等实物,也可以是指纹、视网膜扫描或语音识别等生物识别验证。

在最近的 RSA 会议上,Mandiant 网络安全公司首席执行官 Kevin Mandia 总结得非常到位。他说:“对抗勒索软件或任何有影响力的攻击,最强大的杀手锏就是多重身份验证。除此之外,别无他法。”

但仅实施多重身份验证显然已不能确保万无一失。您所用的多重身份验证类型很重要,因为并非所有多重身份验证都提供相同级别的保护。而网络犯罪分子还在不断想方设法绕过多重身份验证。

Proofpoint 欧洲、中东和非洲地区网络安全战略总监 Matt Cooke 指出,黑客网站如今还在公开出售多重身份验证钓鱼套件,很多网站上此类软件的标价甚至“不到一杯咖啡的钱”。“网络攻击者通常利用通知疲劳的方式,不断发送批准请求对员工狂轰滥炸,直到他们最终让步。”此外,他们还采用代理攻击、会话劫持、社交骗局和 SIM 卡交换等手段进行攻击。

 

FIDO 的优势

您可在多重身份验证战略中添加 FIDO 元素,借此增强安全性,减少对密码的依赖,提供用户友好的身份验证体验。FIDO 支持生物识别验证、硬件令牌和移动设备,还支持互操作性和持续身份验证,它提供了实施安全多重身份验证解决方案的强大框架。具体包括以下方面:

  • 强大安全保护:FIDO 运用公钥加密形式实现强大的安全保护。它可在用户设备上安全存储密钥,并在本地执行身份验证,从而极大降低密码泄露和服务器攻击的风险。由于消除了对密码的依赖,并引入加密身份验证,FIDO 进一步增强了多重身份验证的整体安全性。

  • 无密码身份验证:FIDO 旨在消除密码,因为密码很容易遭到黑客攻击。无密码身份验证解决了弱密码、密码重复使用等问题,也能防御网络钓鱼攻击,进一步增强安全性。FIDO 运用生物识别或硬件令牌等更强大的要素代替密码,降低了凭据被攻击的可能性。

  • 用户便利性:FIDO 带来便捷、用户友好的身份验证体验。用户可运用个人的生物识别特征或实体设备(例如智能手机或硬件令牌)进行身份验证,因此不必记住和输入复杂的密码,就能实现身份验证流程的简便无缝运行。

  • 互操作性:FIDO 标准有助于实现不同平台、设备和服务之间的互操作性。这意味着,您可在各种线上服务中使用支持 FIDO 的身份验证方法,从而打造高度一致的用户体验。这种互操作性有利于用户使用相同的设备或方法在各种应用程序中完成身份验证,从而减少对多种身份验证机制的依赖。

  • 防网络钓鱼:FIDO 的本地身份验证模式有助于对抗网络钓鱼攻击。FIDO 身份验证方法在用户设备上本地实施,防止用户被诱骗在恶意网站或应用程序上输入凭据,从而落入攻击陷阱。FIDO 确保用户在可信设备上验证身份,降低了网络钓鱼的风险。

  • 可扩展性和未来适用性:FIDO 具有可扩展性,能够适应不断不变化的身份验证需求。它支持多种身份验证方法,可适应生物识别和安全技术的发展趋势。采用 FIDO 可以确保您的多重身份验证机制兼容未来新兴的身份验证标准。

 

未来计划?

随着针对身份验证的攻击日益频繁和复杂,提高对此类攻击的防御能力愈发重要。总体而言,FIDO 为多重身份验证战略带来了显著的优势。这些优势让它成为企业的不二选择,既能提高安全保护级别,又能实现用户友好的无缝身份验证。

Veritas 致力于加强企业网络安全防御体系,可为您带来 FIDO 所具有的优势。我们旗下产品(/content/dotcom/zh例如 NetBackupBackup Exec)与其他解决方案(例如 CyberArk)紧密集成,大力支持 FIDO。如果您希望加强安全防御体系,实施强大的解决方案,我们乐意助您实现这一目标。让我们携手保护您的数字生态系统,全面抵御愈加猖獗的凭据盗窃。

请记住,无论何种类型的多重身份验证,有总比没有好。不过要实现全面保护,企业应努力做到最好:部署可以抵御网络钓鱼的多重身份验证。别再犹豫不决,请立即开始规划,部署更强大的安全措施。

了解有关 Veritas 网络韧性解决方案的更多详情。

blogAuthorImage
Christos Tulumba
首席信息安全官