身份安全：当前面临的挑战与解决方案

关键要点

攻击者越来越倾向于通过网络钓鱼和社交工程来获取有效账户，而不是直接入侵网络。多因素认证MFA虽然重要，但也面临不断增加的绕过手段，导致安全漏洞。会话劫持是越来越常见的技术，攻击者可以窃取会话令牌，绕过 MFA 机制。零信任架构在疫情期间得到了广泛应用，但需要谨慎实施以确保其安全性。许多组织在身份解决方案的迁移中积累了技术债务，增加了安全复杂性。建立以身份为中心的安全策略是应对当前网络威胁的关键。

在过去的几年中，我用过一个表达，最初是在我担任 Oort 的创始人和首席执行官时说的，现在作为思科身份安全产品副总裁继续使用：“为什么黑客要入侵，当你可以直接登录？” 这个短语的灵感来源于攻击者行为的转变，即通过网络钓鱼和社交工程来接管有效账户并获取访问权限，而不是依赖网络入侵和终端漏洞。

最近，我经常使用这个表达。

伴随攻击者技能的提升和目标防御的缺陷，身份相关威胁的上升 让安全局势愈发严峻。即使是最近为身份增加的多层安全防护措施，比如多因素认证MFA，也因 MFA 绕过技巧的日益普遍而显得力不从心。

这并不是说 MFA 在加强网络安全方面没有发挥重要作用。确实如此，正确使用 MFA 对于降低风险至关重要。然而，与任何安全控制一样，随着威胁的发展，MFA 的效果也需要重新评估。

会话劫持的进展

其中一个进展是会话劫持，攻击者通过拦截会话令牌来无障碍访问系统，而无需破解 MFA 或密码。这个问题无管你的身份系统有多完善，因为它很难检测，更甚是逆转。与客户交谈时，我们发现这是一个很大的痛点。

即使你拥有强大的密码以及使用比如 FIDO2 凭证进行加密安全访问，攻击者仍然可以从浏览器内存中提取会话令牌，将其安装到自己设备的浏览器上，以便稍后访问核心应用程序。

这使得安全团队非常难以检测，更不用说完全解决身份威胁的问题。即便你的安全团队意识到终端上有恶意软件在抓取令牌，解决方案也只有通过清空该设备并重新成像来解决。而被窃取的会话令牌仍然在攻击者的手中。

会话劫持只是绕过 MFA 的众多技术之一。我们还长期与中间人攻击、SIM 卡交换和凭证钓鱼作斗争。最近，安全团队还面临 MFA flooding 的挑战，正如其名所示，这涉及向用户发送大量通知，而 MFA 疲劳则是用户习惯于批准并不必要的通知，看到通知就直接按“允许”。尤其是在组织使用简单的推送通知作为第二因素时，这已成为一个大问题。

黑洞加速器ios苹果下载

MFA 疲劳突显了任何涉及用户直接操作的安全控制的最大挑战：摩擦。当最终用户对额外的身份验证步骤产生挫败感时，可能会发展出削弱 MFA 安全效果的习惯和解决方法。

并不是说 MFA 在身份中没有重要作用。作为一种深度防御策略，它显著降低了凭证泄露的风险。然而，当与其他解决方案结合使用时，MFA 的效果最佳，其中包括与零信任原则相关的解决方案。

零信任的隐患

零信任在疫情初期引起了广泛关注，每个人都开始在家工作或在任何有 WiFi 的地方工作。零信任使经过验证的远程设备能够轻松访问应用程序，无论它们位于何处或使用何种网络。在这方面，零信任被视为生产力的推动力，只要设备通过初步验证。

然而