《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 通信與網(wǎng)絡(luò) > 業(yè)界動態(tài) > 用零信任打擊網(wǎng)絡(luò)釣魚,美國白宮又有重要部署

用零信任打擊網(wǎng)絡(luò)釣魚,美國白宮又有重要部署

2021-10-20
來源:互聯(lián)網(wǎng)安全內(nèi)參
關(guān)鍵詞: 零信任 網(wǎng)絡(luò)釣魚

  為加快轉(zhuǎn)向零信任架構(gòu),落實零信任戰(zhàn)略,美國白宮管理與預(yù)算辦公室正著手推進(jìn)一項反網(wǎng)絡(luò)釣魚計劃,這將是下一階段聯(lián)邦機構(gòu)的重大任務(wù);

  該計劃將淘汰基于短信/郵件/應(yīng)用的多因素認(rèn)證,這些技術(shù)均已被網(wǎng)絡(luò)釣魚破解,轉(zhuǎn)為部署硬件安全密鑰和單點登錄技術(shù);

  強身份驗證是零信任架構(gòu)的基礎(chǔ)組件,反網(wǎng)絡(luò)釣魚的多因素身份驗證也將成為聯(lián)邦政府安全基線中的重要組成部分。

  美國白宮正著手推進(jìn)一項雄心勃勃的計劃,希望顯著降低美國政府遭遇網(wǎng)絡(luò)釣魚侵?jǐn)_的風(fēng)險。其中的典型方法包括逐步淘汰基于短信/郵件/應(yīng)用程序的多因素身份驗證,轉(zhuǎn)而替換為硬件安全密鑰等反網(wǎng)絡(luò)釣魚解決方案。

  白宮管理與預(yù)算辦公室(OMB)的一位官員在電話采訪中表示,該計劃是聯(lián)邦政府接下來的一項重大任務(wù)。OMB認(rèn)為這項網(wǎng)絡(luò)釣魚緩解措施代表著聯(lián)邦政府向“零信任”架構(gòu)邁出的重要一步。

  在這種新型架構(gòu)中,組織的保護(hù)能力不再立足于對任何特定系統(tǒng)、網(wǎng)絡(luò)或服務(wù)的信任。相反,零信任系統(tǒng)會對試圖訪問系統(tǒng)的一切其他系統(tǒng)或個人執(zhí)行驗證。這位官員指出,從本質(zhì)上講,任何嘗試登錄政府網(wǎng)站或服務(wù)的訪問者都應(yīng)接受對其聲稱身份與實際身份的嚴(yán)格驗證。而這項工作的前提,又落在了加強防范網(wǎng)絡(luò)釣魚上。

  這位官員解釋道,管理與預(yù)算辦公室特別關(guān)注那些自動化、低成本且可擴展的網(wǎng)絡(luò)釣魚攻擊活動。這類服務(wù)能夠以“令人信服”的方式仿冒政府網(wǎng)站,還能從受害者手中騙取多因素身份驗證令牌。這位官員表示,通過短信、電子郵件發(fā)送或顯示在獨立應(yīng)用內(nèi)的一次性驗證碼,如今都已逐漸失去安全性。

  事實上,這幾種多因素身份驗證令牌都可能以某種形式被釣魚或其他方式所劫持。SIM卡交換、針對電信員工的欺詐或賄賂、將受害者短信重新定向至黑客自己的手機等方法,都能成功獲取到目標(biāo)人物的密碼或登錄令牌。此外,釣魚網(wǎng)站還可以請求由Google Authenticator等應(yīng)用程序生成的用戶驗證碼。這位官員指出,某些多因素身份驗證系統(tǒng)使用的推送通知功能同樣可能受釣魚活動影響,例如通過惡意站點觸發(fā)這些彈窗并要求受害者批準(zhǔn)登錄嘗試。

  加快部署硬件安全密鑰和單點登錄技術(shù)

  好消息是,硬件安全密鑰等解決方案不會受到釣魚活動的影響。

  管理與預(yù)算辦公室最近發(fā)布了其聯(lián)邦零信任戰(zhàn)略草案。這份草案并沒有向機構(gòu)明確指定應(yīng)使用哪些產(chǎn)品,例如Yubikey、Google Titan等。相反,其中僅提到PIV(個人身份驗證)卡以及WebAuthn(一種允許使用硬件安全密鑰進(jìn)行網(wǎng)站登錄的Web規(guī)范)。草案寫道,各機構(gòu)必須在應(yīng)用層面為機構(gòu)雇員、承包商以及合作伙伴提供遏制網(wǎng)絡(luò)釣魚影響的多因素身份驗證方案。

  美國聯(lián)邦政府機關(guān)數(shù)量眾多,而且大部分擁有自己的特定系統(tǒng)與基礎(chǔ)設(shè)施,對這套龐大的體系進(jìn)行全面多因素身份驗證升級聽起來令人生畏。但這位官員表示,美國政府在這項工作上仍然具有優(yōu)勢:他們已經(jīng)在部分建筑物及系統(tǒng)的訪問/登錄中使用到PIV卡。而對網(wǎng)絡(luò)釣魚的防范,也可以說是把相同的指導(dǎo)原則擴展到使用U盤式密鑰登錄更多系統(tǒng)。當(dāng)然,這項工作需要對機構(gòu)內(nèi)的基礎(chǔ)設(shè)施加以更新,再由各部門完成個人用戶卡片分發(fā)與使用方法培訓(xùn)等工作。

  管理與預(yù)算辦公室還建議各級部門建立單點登錄(SSO)服務(wù)。在這套體系中,用戶不再需要獨立登錄各個站點,而是可以通過單一總體系統(tǒng)(例如Okta)進(jìn)行身份驗證,之后由該系統(tǒng)處理面向不同服務(wù)的登錄操作。這位官員介紹道,考慮到某些政府機關(guān)的規(guī)模較大,因此將多種不同身份系統(tǒng)整合起來可能效果更好,這樣可以減少保護(hù)對象數(shù)量、降低多因素身份驗證的實現(xiàn)難度等。該官員還補充道,單點登錄也是可用性與安全性有機結(jié)合的理想案例。

  至于當(dāng)下的工作,管理與預(yù)算辦公室計劃將最終確定聯(lián)邦政府零信任戰(zhàn)略文件,再與各級政府機構(gòu)合作推進(jìn)并監(jiān)督后續(xù)的安全調(diào)整工作。

  草案中寫道,“強身份驗證是零信任架構(gòu)中的基礎(chǔ)組件,而多因素身份驗證也將成為聯(lián)邦政府安全基線中的重要組成部分。”




電子技術(shù)圖片.png

本站內(nèi)容除特別聲明的原創(chuàng)文章之外,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,并不代表本網(wǎng)站贊同其觀點。轉(zhuǎn)載的所有的文章、圖片、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認(rèn)版權(quán)者。如涉及作品內(nèi)容、版權(quán)和其它問題,請及時通過電子郵件或電話通知我們,以便迅速采取適當(dāng)措施,避免給雙方造成不必要的經(jīng)濟(jì)損失。聯(lián)系電話:010-82306118;郵箱:aet@chinaaet.com。