官方公众号企业安全新浪微博
FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。
FreeBuf+小程序
8月30日,美国CISA将单因素身份认证列入不建议的网络安全不良行为列表。CISA的不良行为目录包括联邦机构认为“异常有风险”并不会运用在政府机构及私营部门中的行为,因为这些行为会将系统置于不必要的风险中,使其系统遭到威胁攻击。对于负责国家安全和经济稳定,以及国民公众安全的关键基础设施或国家关键职能的组织而言,这些不良行为非常危险。此外,这些危险行为对于暴露于互联网的系统来说影响尤其恶劣,使潜在攻击者可以远程进行破坏。
组织呼吁使用多因素身份认证(MFA)
联邦网络安全局表示,单因素身份认证(SFA)只需求用户提供用户名和密码,在远程身份验证或登陆有管理权限的账号时是一种“异常有风险”的低安全性认证方式。
CISA称,对于支撑关键基础设施及国家关键职能的操作系统来说,使用SFA十分危险,并会大幅度增加对国家安全,国家经济安全及国家公共健康安全的风险。
攻击者可以快速获得使用低安全性认证方式的系统访问权限,他们通过各种方式 (如钓鱼软件、键盘记录、网络监听、社会工程学、恶意软件、暴力破解、凭据转储等)来简单地窃取或破解密码。并且,管理员共享相同的密码和密码的重复使用也会增加攻击者入侵SFA保护的系统的风险。
而换用多因素身份验证(以下,MFA),会使得攻击者更难实施一次成功的入侵甚至不可能入侵。谷歌、纽约大学,加州大学圣地亚哥分校的联合研究显示,MFA能够阻止100%自动化机器人、99%的大部分钓鱼软件攻击和近66%的针对性攻击。微软身份安全总监Alex Weinert也称,“你的密码不重要,但MFA重要。据我们的研究,使用MFA的账号基本上减少了99.9%被攻破的可能。”
不良行为列表中仅有的另两个条目是使用EOL(或out-of-support)软件和使用默认(或已知)凭证。
向管理员和IT专业人员寻求帮助
CISA还开放了GitHub Bad Practices discussions page,IT专业人员和管理员可以提供反馈和共享防御这些不良做法的专业知识。
CISA考虑列入列表的其它行为如下:
· 使用弱加密函数或密钥
· 简单的网络拓扑结构
· IT与OT网络的混合
· 人人都是管理员(缺乏最低权限)
· 使用以前受损过且未杀毒的系统
· 在未受控制的互联网中传输敏感、未加密/未认证的流量
· 弱物理控制
“这些不良行为应该被所有组织所规避,他们对支持关键基础设施和国家关键职能的危害影响至关重大。“CISA补充道,“CISA鼓励所有组织在不良行为网页上留言并参与到必要的行动与重要谈话中,以共同解决不良行为问题。”