MFA 盲点 当部分保护变成零保护时
|
早已经是安全规范的多因子身份验证(MFA)。由于人们对其抵御 99%以上的帐户接管攻击的能力达成广泛共识,难怪安全架构师将其视为环境中的必备工具。然而,似乎鲜为人知的是传统 MFA 解决方案固有的覆盖范围限制。虽然与 RDP 连接和本地桌面登录兼容,但它们不为 PsExec、Remote PowerShell 等远程命令行访问工具提供保护。 MFA 最有效的安全措施在此帐户接管。我们首先拥有 MFA 的原因是为了防止对手使用受损的凭据访问我们的资源。因此,即使攻击者能够获取我们的用户名和密码(这很可能发生),它仍然无法利用它们代表我们进行恶意访问。因此,这是抵御凭证泄露的最终最后一道防线,旨在使这种妥协无效。 根据定义,这种主流远程连接路径不受凭证泄露情况的保护,因此被用于大多数横向移动和勒索软件传播攻击。有一个 MFA 解决方案可以保护 RDP 连接并防止它们被滥用并不重要。对于攻击者来说,使用 PsExec 或 Remote PowerShell 从零号患者机器转移到环境中的其他工作站与使用 RDP 一样容易。这只是使用一扇门而不是另一扇门的问题。 尽管转向了云,但超过 90% 的组织仍然使用 AD 管理的工作站和服务器以及 SaaS 应用程序和云工作负载来维护混合身份基础架构。因此,由于缺乏 MFA 保护,不仅遗留应用程序和文件共享等核心本地资源会暴露在使用受损凭据的情况下,第三方SaaS 客户端应用程序也是如此。 今天的常见做法是在所有这些资源之间同步密码,因此使用相同的用户名和密码来访问本地文件服务器和组织 SaaS 应用程序。这意味着任何包括泄露和使用用户凭证在内的本地攻击都可以轻松地转向直接从受攻击的机器访问 SaaS 资源。当然,如果你想要在一个企业中安装多个云服务器,那么你需要考虑的第一件事就是确保所有的云服务器都是正确的。 (编辑:银川站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
