譯者 | 陳峻

審校 | 重樓

2023年，知名網(wǎng)絡(luò)安全公司KnowBe4對(duì)2,600名IT專業(yè)人員的調(diào)查顯示，大型組織與中小型組織在安全實(shí)踐方面仍存在著顯著的差異。雖然只有38%的大型組織尚未通過啟用多重身份驗(yàn)證（multifactor authentication，MFA）來保護(hù)其用戶賬戶，但是有高達(dá)62%的中小型組織根本沒有實(shí)施任何MFA。

不過，可喜的是，隨著無密碼方法的普及、以及應(yīng)用復(fù)雜性的增長(zhǎng)，MFA方法正在變得越來越多地被用到。后疫情時(shí)代，美國(guó)拜登政府于2021年發(fā)布了關(guān)于改善國(guó)家網(wǎng)絡(luò)安全的行政命令。作為跟進(jìn)，Google當(dāng)年也對(duì)其所有員工提出了MFA要求。之后，Microsoft for Azure的各類登錄都通過加強(qiáng)其身份驗(yàn)證的實(shí)踐，旨在增強(qiáng)IT運(yùn)營(yíng)，并鼓勵(lì)在所有應(yīng)用程序中，進(jìn)行全面且持續(xù)的身份驗(yàn)證。有調(diào)查表明，目前已有三分之二的普通用戶會(huì)經(jīng)常使用MFA登錄，而使用MFA進(jìn)行登錄保護(hù)的企業(yè)管理員更是高達(dá)90%。

有了MFA就萬無一失？

目前，大多數(shù)人都已領(lǐng)略了MFA在增強(qiáng)安全方面的優(yōu)勢(shì)。但是MFA在具體實(shí)施上卻存在著不統(tǒng)一、甚至參差不齊的問題。這往往讓業(yè)務(wù)安全經(jīng)理及其用戶深感困惑。當(dāng)然，有時(shí)MFA用戶也會(huì)因?yàn)樵黾恿烁嗟恼J(rèn)證因素，而擔(dān)負(fù)額外的工作量。這種天生的不便性也增加了MFA的障礙。

只要你留心，就會(huì)發(fā)現(xiàn)新聞中屢屢報(bào)道了各種繞過MFA的攻擊事件。例如，最近有消息稱，某團(tuán)體發(fā)起了針對(duì)已安裝了Microsoft 365的小型企業(yè)的、魚叉式網(wǎng)絡(luò)釣魚攻擊。此外，2022 年，Okta也曾遭受了一系列網(wǎng)絡(luò)攻擊。這些攻擊通過感染供應(yīng)鏈竊取了其存放這GitHub的源代碼。而且，其中的兩次單獨(dú)的攻擊都竊取了大量用戶憑據(jù)，并破壞了由其支持的門戶頁面。而作為身份驗(yàn)證的服務(wù)供應(yīng)商，Okta對(duì)該事件發(fā)生的情況，并未提供非常透明的信息。這讓外界對(duì)MFA是否被正確實(shí)施，提出了質(zhì)疑。

值得注意的MFA威脅模式

在我們開始討論最常見的黑客攻擊技術(shù)之前，讓我們先來了解一些典型的MFA失敗案例。總的說來，它們可以被歸納為如下三種威脅模式：

1. MFA疲勞或推送炸彈，通過發(fā)送大量授權(quán)請(qǐng)求（通常表現(xiàn)為密集地推送SMS消息，直到用戶不堪其擾，從而批準(zhǔn)請(qǐng)求，并授予攻擊者訪問權(quán)限。例如：Uber在2022年發(fā)生的安全事件就屬于此類。頗具諷刺意味的是，只要啟用使用MFA的范圍越廣，MFA疲勞攻擊的成功率就越大。Cisco Duo的Jennifer Golden曾在2022年的一篇博文中寫道：“我們所達(dá)到了MFA普及程度，反而激勵(lì)了對(duì)手繞過這種控制的斗志。
2. 攻擊者也會(huì)結(jié)合使用社會(huì)工程和網(wǎng)絡(luò)釣魚攻擊，來破壞系統(tǒng)的整體身份驗(yàn)證流程，并誘騙用戶放棄其MFA令牌。用戶行為的變化（例如疫情后、奧運(yùn)會(huì)期間開始密集使用遠(yuǎn)程辦公的場(chǎng)景，就經(jīng)常會(huì)被攻擊者所利用。Arctic Wolf在其最近的一篇博客中寫道：“將社會(huì)工程與MFA疲勞攻擊結(jié)合使用，會(huì)大幅提高攻擊者的得手率，畢竟這樣很容易產(chǎn)生一種虛假的信任感。
3. 以非MFA用戶和具有弱密碼的應(yīng)用作為目標(biāo)，是第三種常見的威脅模式。如前文所述，雖然MFA的采用率已顯著提高，但遠(yuǎn)未達(dá)到普遍程度，攻擊者依然可以找到那些未受保護(hù)的系統(tǒng)和用戶，來開展相應(yīng)的攻擊。例如，幾年前，Akira 勒索軟件攻擊者就使用未配置MFA的Cisco 網(wǎng)絡(luò)滲透到目標(biāo)組織中，并利用暴力破解的方式，來獲取用戶憑據(jù)。2021年的Colonial Pipeline攻擊，大家一定還記憶猶新。當(dāng)時(shí)，分析師發(fā)現(xiàn)是由于其泄露了未運(yùn)行任何MFA的傳統(tǒng)網(wǎng)絡(luò)上的單一密碼所造成的。此類弱密碼一直被使用在某個(gè)十分“長(zhǎng)壽”的應(yīng)用所連接的Cisco網(wǎng)絡(luò)交換機(jī)中。盡管該公司在2017年的一篇博文中，早已發(fā)出了警告，但此功能仍在被持續(xù)利用。

常見的MFA攻擊方法

在上述提到的各種威脅中，通常有如下三類MFA攻擊會(huì)被使用。

1. 移動(dòng)安全性差。移動(dòng)智能手機(jī)是進(jìn)入公司網(wǎng)絡(luò)的一個(gè)重要節(jié)點(diǎn)，攻擊者會(huì)利用諸如替換SIM卡等各種方法，來達(dá)到其目的。例如，攻擊者可以設(shè)法讓電信服務(wù)提供商的客服人員相信他們是合法的SIM卡所有者，從而能夠獲取到SMS的身份驗(yàn)證消息。當(dāng)然，其他方法也包括，直接攻擊蜂窩服務(wù)提供商的網(wǎng)絡(luò)本身。
2. 不完善的MFA身份驗(yàn)證工作流。通常，企業(yè)的身份驗(yàn)證工作流較為復(fù)雜，用戶可以選擇通過Web門戶、智能手機(jī)應(yīng)用、以及應(yīng)用程序接口（API）直接訪問并調(diào)取應(yīng)用。同時(shí)，他們可以通過采用不同操作系統(tǒng)的各種端口、本地網(wǎng)絡(luò)或私有網(wǎng)絡(luò)進(jìn)行連接。這些都意味著，我們?cè)?/span>測(cè)試MFA時(shí)，都必須考慮到各種情況，并且盡量攔截通過供應(yīng)鏈上的中間人、或?yàn)g覽器里的中間人（man-in-the-browser）所發(fā)起的MFA代碼層面的攻擊。
3. 針對(duì)Cookie的攻擊，例如Cookie傳遞（pass-the-cookie）和被盜的會(huì)話Cookie。發(fā)生此類情況往往是由于網(wǎng)站并未強(qiáng)制執(zhí)行會(huì)話的非活動(dòng)時(shí)間限制，從而讓攻擊者可以使用這些不完善的Cookie，來達(dá)到繞過MFA的目的。你可以通過由KnowBe4提供的鏈接，來了解更多詳細(xì)信息。

防范MFA攻擊的策略

鑒于上述漏洞，我們需要以不降低用戶體驗(yàn)度為前提，構(gòu)建出更加完善的MFA。以下便是一些能夠確保你的MFA策略成功實(shí)施的建議。

• 首先，請(qǐng)了解你要保護(hù)的資源。CISA（美國(guó)網(wǎng)絡(luò)安全與基礎(chǔ)設(shè)施安全局）在其2022年發(fā)布的情況說明書里提到：“網(wǎng)絡(luò)威脅攻擊者通常會(huì)以電子郵件系統(tǒng)、文件服務(wù)器和遠(yuǎn)程訪問系統(tǒng)為目標(biāo)，設(shè)法訪問組織的數(shù)據(jù)，同時(shí)會(huì)試圖破壞 Active Directory等身份服務(wù)器，以便其創(chuàng)建新的帳戶或控制現(xiàn)有用戶帳戶”。CISA建議你考慮將支持FIDO協(xié)議的系統(tǒng)，用于由MFA保護(hù)的最重要的部件，例如：那些最敏感的應(yīng)用所使用的硬件密鑰。目前，FIDO聯(lián)盟已經(jīng)發(fā)布了一系列關(guān)于企業(yè)應(yīng)如何更好地實(shí)施此類方法的白皮書。對(duì)此，RSA通過鏈接，給出了深入探討，值得你仔細(xì)閱讀。
• 其次，所有身份驗(yàn)證都應(yīng)基于風(fēng)險(xiǎn)，并根據(jù)用戶在任何給定時(shí)刻的行為，自動(dòng)且動(dòng)態(tài)地調(diào)整安全防護(hù)。也就是說，那些僅使用單一訪問控制的舊方法，需要及時(shí)被替換或整合。目前，已有許多身份驗(yàn)證產(chǎn)品能夠?qū)FA耦合到其自適應(yīng)的身份驗(yàn)證過程中。同時(shí)，與此相配套部分應(yīng)該是對(duì)訪問權(quán)限的仔細(xì)評(píng)估。鑒于多數(shù)時(shí)候，用戶一旦被配置了訪問權(quán)限，就再也沒有任何后續(xù)的審核或權(quán)限的調(diào)整，IT安全人員應(yīng)該“確保員工只能訪問和完成其工作職責(zé)所需的有限數(shù)據(jù)，”Abnormal Security 在其一篇博文中這樣寫道。
• 此外，請(qǐng)不要忽視密碼重置的過程，這往往是攻擊者的常用爆破點(diǎn)。Mitnick Security在今年4月份的一篇博文中提到：“令人驚訝的是，有許多網(wǎng)站根本沒有對(duì)其2FA的重置密碼過程予以雙重驗(yàn)證，或者他們只是提供了一套不強(qiáng)制用戶使用MFA的機(jī)制”。
• 再次，應(yīng)該通過評(píng)估，鎖定最有可能成為被攻擊目標(biāo)的用戶。CISA在其報(bào)告中寫道：“每個(gè)組織都會(huì)有一些少量的、具有額外訪問權(quán)限的用戶帳戶。他們往往會(huì)成為網(wǎng)絡(luò)攻擊者所覬覦的高價(jià)值目標(biāo)”。因此，在MFA項(xiàng)目的初始推行階段，我們應(yīng)當(dāng)重點(diǎn)考慮包括IT運(yùn)維、系統(tǒng)管理員、律師、以及HR經(jīng)理等組群的管控。
• 實(shí)際上，上述各個(gè)要點(diǎn)都應(yīng)該成為對(duì)整體MFA工作流予以分析的一部分。當(dāng)然，這些也并非什么新鮮事。早在2021年，供職于Akamai的Gerhard Giese就在其一篇博文中指出，MFA并不總能夠有效地防御撞庫攻擊（credential stuffing）。他說，IT經(jīng)理需要“重新檢查現(xiàn)有的身份驗(yàn)證工作流和登錄界面，以確保攻擊者無法通過查詢Web服務(wù)器的響應(yīng)，來發(fā)現(xiàn)有效的憑據(jù)，以及實(shí)施針對(duì)僵尸網(wǎng)絡(luò)攻擊的有效管理。

綜上所述，通過全面規(guī)劃、實(shí)施和測(cè)試，MFA技術(shù)應(yīng)該對(duì)內(nèi)成為企業(yè)安全關(guān)鍵基礎(chǔ)架構(gòu)的一部分，對(duì)外成為響應(yīng)政府和監(jiān)管部門要求的實(shí)施動(dòng)力。

譯者介紹

陳峻（Julian Chen），51CTO社區(qū)編輯，具有十多年的IT項(xiàng)目實(shí)施經(jīng)驗(yàn)，善于對(duì)內(nèi)外部資源與風(fēng)險(xiǎn)實(shí)施管控，專注傳播網(wǎng)絡(luò)與信息安全知識(shí)與經(jīng)驗(yàn)。

原文標(biāo)題：How MFA gets hacked — and strategies to prevent it，作者：David Strom