如何为您的企业选择合适的多因素认证?

在传统的网络安全架构中,重点在于防止非法入侵,例如防火墙、VPN 、堡垒机等安全设备的重心都在于防止用户违规访问企业资源,一旦合法用户的账号密码被入侵者拿到,就可以冒充合法用户访问企业资源,所有的安全设备形同虚设。而当涉及到应用程序、密码和设备的使用时,大多数用户习惯在工作和个人活动之间切换,基于身份的攻击已经成为威胁行为者的首选路径。这些攻击活动的复杂程度和规模各不相同,但它们都可能对组织的数字环境、业务运营和声誉产生毁灭性的影响。

多因素认证( MFA )被誉为最有效的安全验证办法,并已成为身份安全的重要组成部分,微软研究显示,选择合适的多因素认证方案能有效阻止 99% 的账户攻击。但 Cyber Readiness Institute 研究表明,30% 的企业不了解多因素认证( MFA )或其安全优势,54% 的企业没有实施任何形式的多因素认证。如何评估企业的 MFA 需求,如何选择合适的 MFA 解决方案?这些都成为企业在如今安全环境下需要思考的问题。

01.企业身份安全现状


账号管理难度大
员工在日常工作中需要访问不同的业务应用,包括电子邮件、内部协作工具、客户关系管理系统、财务软件等等。每个应用都需要独立的登录凭据,包括用户名和密码。重复的登录验证将极大的降低员工效率。为了方便起见,一些员工可能会采用相同的用户名和密码,或者是过于简单的凭据,以便更容易记住。长此以往,使用重复的账号和口令,导致一个账号口令被攻破,所有的平台系统信息会出现泄露风险。

身份认证场景复杂
随着业务上云、移动办公、生态协作、员工内外网访问、多分支接入等业务场景的涌现,企业的安全防控边界持续外延。过去以企业内部防火墙为边界的身份与访问控制( IAM )已经无法应对现今分布式身份和权限管理需求,传统的身份认证手段单一、强度不足,已无法应对复杂多变的安全环境。以 VPN 为例,目前它仍然是许多企业内外网隔离的核心工具,但传统的 VPN 认证方式相对简单,通常依赖用户名和密码的组合。这种方式存在明显的安全隐患,如密码猜测、泄露、或被黑客攻击,导致账号被盗用,危及敏感数据和网络的完整性。

数据安全高要求
数据作为第五大生产要素,已成为国家的核心战略资源。伴随着数据与生产、分配、流通、消费和社会服务管理等各个环节的快速融合,数据安全的重要性日益凸显,对维护国家安全、促进数据要素流通、支撑数字经济发展等具有重要意义。但近年来,企业数据信息泄露事件却频频发生,企业数据安全岌岌可危。企业内部经常涉及到高度敏感和保密级别的数据以及精密的设备。这些数据可能涉及客户信息、财务数据、知识产权等其他机密信息。企业需要基于身份加强全链路的风控防护,提前配置风控策略,帮助企业识别可能存在的风险,及时向相关人员发送告警信息。

自研困难

信息化建设较早且较深的企业,在建立初始的身份和访问管理( IAM )系统时,主要集中管理和控制用户账户、权限以及访问等方面,而对提升安全性的需求并不重视,致使 MFA 功能没有被纳入最初的考虑范围,或者所选择的 IAM 系统未能支持 MFA 功能。然而,随着企业业务的不断扩展和信息安全威胁的不断增加,这些企业开始逐渐认识到 MFA 的重要性。但单独自研 MFA 需要投入大量人力和运维成本,企业无法专注于自身核心业务。

02.相关政策法规涌现

移动互联、物联网、工业控制和大数据等新技术、新应用领域的个性安全保护需求提出安全扩展要求,加强网络安全等级保护和运维服务过程的安全管理,更加明确要求在身份鉴别方面提高标准,以适应不断演化的网络威胁和风险。其中,《信息安全技术网络安全等级保护基本要求》中明确定义了第三级系统的身份鉴别要求,并要求企业采用多种身份鉴别技术,包括口令、密码技术和生物技术等。《网络安全等级保护测评高风险判定指引》针对第三级及以上系统明确:关键网络设备、安全设备、操作系统如果不满足双因素鉴别要求,则可判定为高风险项。

随着一系列律法的出台,我国在网络与信息安全领域的法律法规进一步完善,而数据安全行业也走上了风口浪尖。过去基于利用个人隐私数据而生存的企业,将迎来史无前例的严格监管,而包括数据安全在内的整个安全行业,将更加凸显其市场环境中的竞争力。

03.持续自适应多因素认证成企业最优选择


如果你希望更详细了解多因素认证、自适应多因素认证、持续自适应多因素认证的区别,请下方卡片查看。


根据 Verizon 数据泄漏调查报告显示,81% 的黑客相关泄漏事故都是因为凭证盗取造成的。过去传统的安全治理办法是添加更多的身份认证流程,例如在帐号密码单因素认证下添加第二种认证因素,短信/邮箱等验证流程,这种办法被称为 2FA,即双因素认证。然而这种办法并不能有效解决此类问题,不法分子会通过钓鱼网站/邮件/短信等手段获取相应的 OTP 指令或者建设伪基站来劫取验证信息。

试想一下,用户在一周内会收到多少次一次性验证码或推送通知。从他们最喜欢的电子商务品牌结账信息到通过云访问其工作电子邮件,当他们在手机上收到提醒时,用户已经习惯于简单地遵循 MFA 的指示。许多网络攻击者现在正利用用户这种习惯因素来确保当他们试图非法登录设备而设备推送通知出现时,终端用户会在没有质疑甚至是察觉的情况下按下“允许”按键。

企业需要一种更加积极主动的身份验证方式来填补传统 MFA 空白。持续自适应多因素认证作为下一代多因素安全认证解决方案被推出,通过持续不间断地分析用户登录和使用行为,有效识别风险,自动配置合适的 MFA 策略,在风险出现时拉起二次认证,全面提升安全风控能力。它在自适应多因素认证(基于上下文属性判断当前安全状况以增加因素认证)的基础上增加了实时风险评估技术对用户进行动态评估安全系数。在时间维度上,持续自适应多因素认证在用户整个使用旅程中持续不断的对其进行信任评估,以决定是否需要增加额外的认证流程。这样做的好处就是企业的安全得到实时监控,而用户只会在进行风险操作时被提示需要进行额外的认证。

04.如何快速为你的企业构建持续自适应多因素认证?


企业实现持续自适应认证,策略引擎必须能够连接上下文数据与用户和设备等实体关联起来,而保障其决策准确性的前提就是能够拓展到更细粒度的身份上获取更多数据作为依据。同时为了提高拓展性、灵活性以及持续性,该流程必须是自动化执行的。而需要实现上述能力的关键是企业的身份访问与管理系统具有可编排的自动化能力,同时也需要具备元数据能力来统一不同来源上报的行为数据的标准,通过自动化编排能力将整个身份验证流程串联,以实现持续响应的自适应多因素认证。

Authing 提供基于身份自动化编排引擎的「持续自适应多因素认证」。自适应 MFA 认证策略底层基于 Authing UEBA(用户或实体行为分析技术),可以针对用户行为和用户画像进行深度梳理分析,从而自动选择与当前行为相匹配的 MFA 策略。

在自适应 MFA 认证策略中,Authing UEBA 引擎会根据用户的行为和画像进行分析和判断,例如用户的登录历史、设备信息、IP 地址、地理位置、活动模式等等,从而确定当前用户的身份和风险级别,并选择与之相匹配的 MFA 策略。而持续自适应多因素认证(CAMFA)是在自适应多因素认证 (Adaptive-MFA) 的基础上加上 Authing 身份自动化编排引擎。

当用户的业务系统接入 Authing 后,从业务系统后端上报的 UEBA 数据到 Authing 系统,通过在 Authing 配置的持续自适应 MFA 安全策略流,在订阅安全策略流发布的事件后。此时自适应安全策略将持续对 MFA 事件进行监听,当接收到 MFA 事件后,将执行相应的安全策略。

05.最佳实践案例:某知名地产集团

需求挑战

  • 集团原有的 IAM 系统未能支持 MFA 功能。随着业务的不断扩展和信息安全威胁的不断增加,集团迫切需要 MFA 来保护数据安全。但自研 MFA 需要投入大量人力和运维成本,且周期长。
  • 内部使用的 IM 工具仍仅有账密登录方式,单一的账号密码认证风险较高,可能导致弱口令爆破、撞库等账号盗用的安全威胁。希望加入多种认证方式,可灵活选择不同的多因素认证方式提升安全性,包括设备校验、生物特征校验、问题校验等模式。
  • 企业内部管理和维护涉及精密设备和高度机密级别的数据。精密设备的损坏或失效可能导致昂贵的修复和更换成本,再次引发生产中断,对企业的经济稳定性和安全构成严重威胁。

解决方案

  • Authing 的 MFA 功能可以被企业单独接入。企业只需要在 Authing 控制台新建一个 MFA 应用,并在客户端/服务端安装 Authing SDK,即可快速拓展企业的安全认证模块。
  • Authing 提供动态令牌、短信、邮箱、OTP、人脸识别等二次认证方式,能满足多种使用场景, 有效预防盗号和数据泄漏风险。帮助企业提高用户身份验证的安全性,降低潜在的风险,为企业提供了可信的安全保障。
  • Authing 提供持续自适应多因素认证,能根据用户登录认证时的属性、位置、行为等数据判断登录风险,仅在风险范围内开启二次认证,以此帮助企业平衡信息安全、员工效率与用户体验。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.hqwc.cn/news/212471.html

如若内容造成侵权/违法违规/事实不符,请联系编程知识网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

解决:ImportError: cannot import name ‘Adam‘ from ‘keras.optimizers‘

解决:ImportError: cannot import name ‘Adam‘ from ‘keras.optimizers‘ 背景 在使用之前的代码时,报错: from keras.optimizers import Adam ImportError: cannot import name ‘Adam’ 报错问题 from keras.optimizers import Adam I…

微机原理_2

一、单项选择题(本大题共15小题,每小题3分,共45分。在每小题给出的四个备选项中,选出一个正确的答案,请将选定的答案填涂在答题纸的相应位置上。) 下列数中最大的数为() A. 10010101B B. (126)8 C. 96H D. 100 CPU 执行 OUT 60H,…

vue一个页面左边是el-table表格 当点击每条数据时可以在右边界面编辑表格参数,右边保存更新左边表格数据

实现思路: 1.点击当前行通过row拿到当前行数据。 2.将当前行数据传给子组件。 3.子组件监听父组件传过来的数据并映射在界面。 4.点击保存将修改的值传给父组件更新表格。 5.父组件收到修改过后的值,可以通过字段判断比如id,通过 findIn…

Co-DETR:DETRs与协同混分配训练论文学习笔记

论文地址:https://arxiv.org/pdf/2211.12860.pdf 代码地址: GitHub - Sense-X/Co-DETR: [ICCV 2023] DETRs with Collaborative Hybrid Assignments Training 摘要 作者提出了一种新的协同混合任务训练方案,即Co-DETR,以从多种标…

element中el-switch的v-model自定义值

一、问题 element中的el-switch的值默认都是true或false&#xff0c;但是有些时候后端接口该字段可能是0或者1&#xff0c;如果说再转换一次值&#xff0c;那就有点太费力了。如下所示&#xff1a; <template><el-switchinactive-text"否"active-text&quo…

System-V共享内存和基于管道通信实现的进程池

文章目录 一.进程间通信:进程间通信的本质: 二.Linux管道通信匿名管道:关于管道通信的要点:基于匿名管道构建进程池: 三.System-V共享内存共享内存和命名管道协同通信 参考Linux内核源码版本------linux-2.4.3 一.进程间通信: 操作系统中,为了保证安全性,进程之间具有严格的独…

Java设计模式系列:单例设计模式

Java设计模式系列&#xff1a;单例设计模式 介绍 所谓类的单例设计模式&#xff0c;就是采取一定的方法保证在整个的软件系统中&#xff0c;对某个类只能存在一个对象实例&#xff0c;并且该类只提供一个取得其对象实例的方法&#xff08;静态方法&#xff09; 比如 Hiberna…

Doris 简介(一)

Apache Doris 由百度大数据部研发&#xff08;之前叫百度 Palo&#xff0c;2018 年贡献到 Apache 社区后&#xff0c;更名为 Doris &#xff09;&#xff0c;在百度内部&#xff0c;有超过 200 个产品线在使用&#xff0c;部署机器超过 1000 台&#xff0c;单一业务最大可达到上…

某60区块链安全之未初始化的存储指针实战一学习记录

区块链安全 文章目录 区块链安全未初始化的存储指针实战一实验目的实验环境实验工具实验原理实验过程 未初始化的存储指针实战一 实验目的 学会使用python3的web3模块 学会分析以太坊智能合约未初始化的存储指针漏洞 找到合约漏洞进行分析并形成利用 实验环境 Ubuntu18.04操…

栈和队列的OJ题--12.括号匹配

12.括号匹配 20. 有效的括号 - 力扣&#xff08;LeetCode&#xff09; 解题思路&#xff1a;该题比较简单&#xff0c;是对栈特性很好的应用&#xff0c;具体操作如下&#xff1a;循环遍历String中的字符&#xff0c;逐个取到每个括号&#xff0c;如果该括号是&#xff1a;1. …

微服务负载均衡器Ribbon

1.什么是Ribbon 目前主流的负载方案分为以下两种&#xff1a; 集中式负载均衡&#xff0c;在消费者和服务提供方中间使用独立的代理方式进行负载&#xff0c;有硬件的&#xff08;比如 F5&#xff09;&#xff0c;也有软件的&#xff08;比如 Nginx&#xff09;。 客户端根据…

【Java 进阶篇】Redis 命令操作:轻松掌握基本操作

Redis是一款高性能的键值对存储系统&#xff0c;以其快速、灵活的特性而备受开发者推崇。本文将详细介绍Redis的基本命令操作&#xff0c;包括键值操作、数据查询、事务处理等方面&#xff0c;帮助初学者更好地理解和使用Redis。 基本命令 1. 键值操作 1.1 SET&#xff1a;设…