最近关于外部人获取并滥用内部凭证相关的内部威胁不断增长。为此,很多人提出通过多因素验证(MFA)方法来降低此类风险。不过在此之前,我们需要了解下MFA在降低此类风险过程中的限制因素有哪些?
事实上,世界上没有任何一种安全控制措施是百分之百有效的。即便是跟互联网有气隙之隔的网络也容易受到USB内存中恶意软件的影响。在以下五种场景中,MFA在降低内部威胁方面可能会失败。
(1)外包人员
很多人可能已经知道关于一名开发人员将工作外包给一家中国公司的事儿了。这名开发人员可以一边浏览Reddit论坛、一边逛eBay并更新自己的社交媒体信息,而且还能够完成自己的工作任务。这名员工所在的公司是一家重要的美国基础架构公司,它通过RSA口令访问VPN来执行双因素验证。然而,公司并未聊到自己的员工会将登录凭证拱手交给一家咨询公司,以部分工资为代价来外包自己的工作任务。
(2)助手
生物特征提供了MFA三因素中的“你有什么”特征,但是如果手上打上石膏无法提交指纹或者按下手印时该怎么办呢?或者如果有人把感应卡“忘家里”了怎么办?保安人员或同事这时候提供帮助也不足为奇。
(3)重定向器
硬件口令中使用的一次性密码跟移动app或短信中使用的软件口令一样都容易被拦截。这种情况通过运行在机器或移动设备上且用来获取访问权限的恶意软件或者存在于移动运营商网络中的恶意软件就可以实现。恶意软件可以一边为攻击者捕获凭证一边拦截合法用户请求。SIM卡也可遭受欺骗。随着移动设备中漏洞数量的增多以及移动平台访问的增长,这种可能性也越来越大。
(4)共享者
纽约大学进行的一项实验表名,通过短信发送到用户手机中用来重置密码的验证码可能被他人获取,方法就是要求用户转发该验证码。当攻击者在这条验证码短信之后用官方语气要求用户转发验证码时,25%的用户会上当。如果攻击者已设法获取该验证码,那么当用户通过验证码验证“你拥有的东西”即本案例中的手机时,攻击者就能够访问用户账户了。
(5)同步器
桌面浏览器和移动浏览器之间的同步给用户提供了极大的方便,而且广受欢迎。例如,同步功能能够让用户在不同的平台之间共享多媒体信息或者网站书签。然而,阿姆斯特丹大学进行的一项研究表明,这些功能也可以用来攻陷移动MFA。如果桌面功能被攻陷,那么同步功能就会为其它功能如谷歌应用商店远程app安装程序提供在用户移动设备中安装恶意软件的机会。一旦设备被攻陷,所有依赖该设备的MFA都会被攻陷。
应对措施
可采取不同方式应对以上提到的各种案例。由于多数案例都跟人们不安全的行为相关,因此教育很显然是一种降低此类风险的方法。鉴于MFA至少有三种因素,也可以添加更多复杂的访问控制来降低风险,但这时候需要考虑到为用户所带来的不便。
我们应该考虑的是,最终会有一名坚持不懈的攻击者攻陷这些凭证。因此我们不仅仅必须控制访问权限,还必须监控用户通过这些访问权限都做出了哪些动作,从而查查找出可能会表明攻击正在进行的异常模式。虽然这种将用户行为分析和安全分析与身份分析整合到一起的概念尚不完善,但是它提供了一种阻止或限制因凭证被攻陷而带来的损失。
跟所有的安全措施一样,MFA并非保证凭证安全的灵丹妙药。不过了解MFA限制条件所带来的风险是降低风险的第一步。