譯者 | 陳峻

審校 | 重樓

2023年，知名網(wǎng)絡(luò)安全公司KnowBe4對2,600名IT專業(yè)人員的調(diào)查顯示，大型組織與中小型組織在安全實踐方面仍存在著顯著的差異。雖然只有38%的大型組織尚未通過啟用多重身份驗證（multifactor authentication，MFA）來保護其用戶賬戶，但是有高達62%的中小型組織根本沒有實施任何MFA。

不過，可喜的是，隨著無密碼方法的普及、以及應(yīng)用復(fù)雜性的增長，MFA方法正在變得越來越多地被用到。后疫情時代，美國拜登政府于2021年發(fā)布了關(guān)于改善國家網(wǎng)絡(luò)安全的行政命令。作為跟進，Google當(dāng)年也對其所有員工提出了MFA要求。之后，Microsoft for Azure的各類登錄都通過加強其身份驗證的實踐，旨在增強IT運營，并鼓勵在所有應(yīng)用程序中，進行全面且持續(xù)的身份驗證。有調(diào)查表明，目前已有三分之二的普通用戶會經(jīng)常使用MFA登錄，而使用MFA進行登錄保護的企業(yè)管理員更是高達90%。

有了MFA就萬無一失？

目前，大多數(shù)人都已領(lǐng)略了MFA在增強安全方面的優(yōu)勢。但是MFA在具體實施上卻存在著不統(tǒng)一、甚至參差不齊的問題。這往往讓業(yè)務(wù)安全經(jīng)理及其用戶深感困惑。當(dāng)然，有時MFA用戶也會因為增加了更多的認證因素，而擔(dān)負額外的工作量。這種天生的不便性也增加了MFA的障礙。

只要你留心，就會發(fā)現(xiàn)新聞中屢屢報道了各種繞過MFA的攻擊事件。例如，最近有消息稱，某團體發(fā)起了針對已安裝了Microsoft 365的小型企業(yè)的、魚叉式網(wǎng)絡(luò)釣魚攻擊。此外，2022 年，Okta也曾遭受了一系列網(wǎng)絡(luò)攻擊。這些攻擊通過感染供應(yīng)鏈竊取了其存放這GitHub的源代碼。而且，其中的兩次單獨的攻擊都竊取了大量用戶憑據(jù)，并破壞了由其支持的門戶頁面。而作為身份驗證的服務(wù)供應(yīng)商，Okta對該事件發(fā)生的情況，并未提供非常透明的信息。這讓外界對MFA是否被正確實施，提出了質(zhì)疑。

值得注意的MFA威脅模式

在我們開始討論最常見的黑客攻擊技術(shù)之前，讓我們先來了解一些典型的MFA失敗案例。總的說來，它們可以被歸納為如下三種威脅模式：

1. MFA疲勞或推送炸彈，通過發(fā)送大量授權(quán)請求（通常表現(xiàn)為密集地推送SMS消息，直到用戶不堪其擾，從而批準請求，并授予攻擊者訪問權(quán)限。例如：Uber在2022年發(fā)生的安全事件就屬于此類。頗具諷刺意味的是，只要啟用使用MFA的范圍越廣，MFA疲勞攻擊的成功率就越大。Cisco Duo的Jennifer Golden曾在2022年的一篇博文中寫道：“我們所達到了MFA普及程度，反而激勵了對手繞過這種控制的斗志。
2. 攻擊者也會結(jié)合使用社會工程和網(wǎng)絡(luò)釣魚攻擊，來破壞系統(tǒng)的整體身份驗證流程，并誘騙用戶放棄其MFA令牌。用戶行為的變化（例如疫情后、奧運會期間開始密集使用遠程辦公的場景，就經(jīng)常會被攻擊者所利用。Arctic Wolf在其最近的一篇博客中寫道：“將社會工程與MFA疲勞攻擊結(jié)合使用，會大幅提高攻擊者的得手率，畢竟這樣很容易產(chǎn)生一種虛假的信任感。
3. 以非MFA用戶和具有弱密碼的應(yīng)用作為目標，是第三種常見的威脅模式。如前文所述，雖然MFA的采用率已顯著提高，但遠未達到普遍程度，攻擊者依然可以找到那些未受保護的系統(tǒng)和用戶，來開展相應(yīng)的攻擊。例如，幾年前，Akira 勒索軟件攻擊者就使用未配置MFA的Cisco 網(wǎng)絡(luò)滲透到目標組織中，并利用暴力破解的方式，來獲取用戶憑據(jù)。2021年的Colonial Pipeline攻擊，大家一定還記憶猶新。當(dāng)時，分析師發(fā)現(xiàn)是由于其泄露了未運行任何MFA的傳統(tǒng)網(wǎng)絡(luò)上的單一密碼所造成的。此類弱密碼一直被使用在某個十分“長壽”的應(yīng)用所連接的Cisco網(wǎng)絡(luò)交換機中。盡管該公司在2017年的一篇博文中，早已發(fā)出了警告，但此功能仍在被持續(xù)利用。

常見的MFA攻擊方法

在上述提到的各種威脅中，通常有如下三類MFA攻擊會被使用。

1. 移動安全性差。移動智能手機是進入公司網(wǎng)絡(luò)的一個重要節(jié)點，攻擊者會利用諸如替換SIM卡等各種方法，來達到其目的。例如，攻擊者可以設(shè)法讓電信服務(wù)提供商的客服人員相信他們是合法的SIM卡所有者，從而能夠獲取到SMS的身份驗證消息。當(dāng)然，其他方法也包括，直接攻擊蜂窩服務(wù)提供商的網(wǎng)絡(luò)本身。
2. 不完善的MFA身份驗證工作流。通常，企業(yè)的身份驗證工作流較為復(fù)雜，用戶可以選擇通過Web門戶、智能手機應(yīng)用、以及應(yīng)用程序接口（API）直接訪問并調(diào)取應(yīng)用。同時，他們可以通過采用不同操作系統(tǒng)的各種端口、本地網(wǎng)絡(luò)或私有網(wǎng)絡(luò)進行連接。這些都意味著，我們在測試MFA時，都必須考慮到各種情況，并且盡量攔截通過供應(yīng)鏈上的中間人、或瀏覽器里的中間人（man-in-the-browser）所發(fā)起的MFA代碼層面的攻擊。
3. 針對Cookie的攻擊，例如Cookie傳遞（pass-the-cookie）和被盜的會話Cookie。發(fā)生此類情況往往是由于網(wǎng)站并未強制執(zhí)行會話的非活動時間限制，從而讓攻擊者可以使用這些不完善的Cookie，來達到繞過MFA的目的。你可以通過由KnowBe4提供的鏈接，來了解更多詳細信息。

防范MFA攻擊的策略

鑒于上述漏洞，我們需要以不降低用戶體驗度為前提，構(gòu)建出更加完善的MFA。以下便是一些能夠確保你的MFA策略成功實施的建議。

• 首先，請了解你要保護的資源。CISA（美國網(wǎng)絡(luò)安全與基礎(chǔ)設(shè)施安全局）在其2022年發(fā)布的情況說明書里提到：“網(wǎng)絡(luò)威脅攻擊者通常會以電子郵件系統(tǒng)、文件服務(wù)器和遠程訪問系統(tǒng)為目標，設(shè)法訪問組織的數(shù)據(jù)，同時會試圖破壞 Active Directory等身份服務(wù)器，以便其創(chuàng)建新的帳戶或控制現(xiàn)有用戶帳戶”。CISA建議你考慮將支持FIDO協(xié)議的系統(tǒng)，用于由MFA保護的最重要的部件，例如：那些最敏感的應(yīng)用所使用的硬件密鑰。目前，FIDO聯(lián)盟已經(jīng)發(fā)布了一系列關(guān)于企業(yè)應(yīng)如何更好地實施此類方法的白皮書。對此，RSA通過鏈接，給出了深入探討，值得你仔細閱讀。
• 其次，所有身份驗證都應(yīng)基于風(fēng)險，并根據(jù)用戶在任何給定時刻的行為，自動且動態(tài)地調(diào)整安全防護。也就是說，那些僅使用單一訪問控制的舊方法，需要及時被替換或整合。目前，已有許多身份驗證產(chǎn)品能夠?qū)FA耦合到其自適應(yīng)的身份驗證過程中。同時，與此相配套部分應(yīng)該是對訪問權(quán)限的仔細評估。鑒于多數(shù)時候，用戶一旦被配置了訪問權(quán)限，就再也沒有任何后續(xù)的審核或權(quán)限的調(diào)整，IT安全人員應(yīng)該“確保員工只能訪問和完成其工作職責(zé)所需的有限數(shù)據(jù)，”Abnormal Security 在其一篇博文中這樣寫道。
• 此外，請不要忽視密碼重置的過程，這往往是攻擊者的常用爆破點。Mitnick Security在今年4月份的一篇博文中提到：“令人驚訝的是，有許多網(wǎng)站根本沒有對其2FA的重置密碼過程予以雙重驗證，或者他們只是提供了一套不強制用戶使用MFA的機制”。
• 再次，應(yīng)該通過評估，鎖定最有可能成為被攻擊目標的用戶。CISA在其報告中寫道：“每個組織都會有一些少量的、具有額外訪問權(quán)限的用戶帳戶。他們往往會成為網(wǎng)絡(luò)攻擊者所覬覦的高價值目標”。因此，在MFA項目的初始推行階段，我們應(yīng)當(dāng)重點考慮包括IT運維、系統(tǒng)管理員、律師、以及HR經(jīng)理等組群的管控。
• 實際上，上述各個要點都應(yīng)該成為對整體MFA工作流予以分析的一部分。當(dāng)然，這些也并非什么新鮮事。早在2021年，供職于Akamai的Gerhard Giese就在其一篇博文中指出，MFA并不總能夠有效地防御撞庫攻擊（credential stuffing）。他說，IT經(jīng)理需要“重新檢查現(xiàn)有的身份驗證工作流和登錄界面，以確保攻擊者無法通過查詢Web服務(wù)器的響應(yīng)，來發(fā)現(xiàn)有效的憑據(jù)，以及實施針對僵尸網(wǎng)絡(luò)攻擊的有效管理。

綜上所述，通過全面規(guī)劃、實施和測試，MFA技術(shù)應(yīng)該對內(nèi)成為企業(yè)安全關(guān)鍵基礎(chǔ)架構(gòu)的一部分，對外成為響應(yīng)政府和監(jiān)管部門要求的實施動力。

譯者介紹

陳峻（Julian Chen），51CTO社區(qū)編輯，具有十多年的IT項目實施經(jīng)驗，善于對內(nèi)外部資源與風(fēng)險實施管控，專注傳播網(wǎng)絡(luò)與信息安全知識與經(jīng)驗。

原文標題：How MFA gets hacked — and strategies to prevent it，作者：David Strom