为加快转向零信任架构,落实零信任战略,美国白宫管理与预算办公室正着手推进一项反网络钓鱼计划,这将是下一阶段联邦机构的重大任务;
该计划将淘汰基于短信/邮件/应用的多因素认证,这些技术均已被网络钓鱼破解,转为部署硬件安全密钥和单点登录技术;
强身份验证是零信任架构的基础组件,反网络钓鱼的多因素身份验证也将成为联邦政府安全基线中的重要组成部分。
美国白宫正着手推进一项雄心勃勃的计划,希望显著降低美国政府遭遇网络钓鱼侵扰的风险。其中的典型方法包括逐步淘汰基于短信/邮件/应用程序的多因素身份验证,转而替换为硬件安全密钥等反网络钓鱼解决方案。
白宫管理与预算办公室(OMB)的一位官员在电话采访中表示,该计划是联邦政府接下来的一项重大任务。OMB认为这项网络钓鱼缓解措施代表着联邦政府向“零信任”架构迈出的重要一步。
在这种新型架构中,组织的保护能力不再立足于对任何特定系统、网络或服务的信任。相反,零信任系统会对试图访问系统的一切其他系统或个人执行验证。这位官员指出,从本质上讲,任何尝试登录政府网站或服务的访问者都应接受对其声称身份与实际身份的严格验证。而这项工作的前提,又落在了加强防范网络钓鱼上。
这位官员解释道,管理与预算办公室特别关注那些自动化、低成本且可扩展的网络钓鱼攻击活动。这类服务能够以“令人信服”的方式仿冒政府网站,还能从受害者手中骗取多因素身份验证令牌。这位官员表示,通过短信、电子邮件发送或显示在独立应用内的一次性验证码,如今都已逐渐失去安全性。
事实上,这几种多因素身份验证令牌都可能以某种形式被钓鱼或其他方式所劫持。SIM卡交换、针对电信员工的欺诈或贿赂、将受害者短信重新定向至黑客自己的手机等方法,都能成功获取到目标人物的密码或登录令牌。此外,钓鱼网站还可以请求由Google Authenticator等应用程序生成的用户验证码。这位官员指出,某些多因素身份验证系统使用的推送通知功能同样可能受钓鱼活动影响,例如通过恶意站点触发这些弹窗并要求受害者批准登录尝试。
加快部署硬件安全密钥和单点登录技术
好消息是,硬件安全密钥等解决方案不会受到钓鱼活动的影响。
管理与预算办公室最近发布了其联邦零信任战略草案。这份草案并没有向机构明确指定应使用哪些产品,例如Yubikey、Google Titan等。相反,其中仅提到PIV(个人身份验证)卡以及WebAuthn(一种允许使用硬件安全密钥进行网站登录的Web规范)。草案写道,各机构必须在应用层面为机构雇员、承包商以及合作伙伴提供遏制网络钓鱼影响的多因素身份验证方案。
美国联邦政府机关数量众多,而且大部分拥有自己的特定系统与基础设施,对这套庞大的体系进行全面多因素身份验证升级听起来令人生畏。但这位官员表示,美国政府在这项工作上仍然具有优势:他们已经在部分建筑物及系统的访问/登录中使用到PIV卡。而对网络钓鱼的防范,也可以说是把相同的指导原则扩展到使用U盘式密钥登录更多系统。当然,这项工作需要对机构内的基础设施加以更新,再由各部门完成个人用户卡片分发与使用方法培训等工作。
管理与预算办公室还建议各级部门建立单点登录(SSO)服务。在这套体系中,用户不再需要独立登录各个站点,而是可以通过单一总体系统(例如Okta)进行身份验证,之后由该系统处理面向不同服务的登录操作。这位官员介绍道,考虑到某些政府机关的规模较大,因此将多种不同身份系统整合起来可能效果更好,这样可以减少保护对象数量、降低多因素身份验证的实现难度等。该官员还补充道,单点登录也是可用性与安全性有机结合的理想案例。
至于当下的工作,管理与预算办公室计划将最终确定联邦政府零信任战略文件,再与各级政府机构合作推进并监督后续的安全调整工作。
草案中写道,“强身份验证是零信任架构中的基础组件,而多因素身份验证也将成为联邦政府安全基线中的重要组成部分。”(文章来源:互联网安全内参)