当连接到互联网上的服务时,多因素身份验证也是类似的. 用户凭据很容易因密码和网络钓鱼攻击而受到损害. 而员工则需要接受 安全意识培训在美国,网络钓鱼威胁正变得越来越复杂,而用户可能不会 充分了解风险 如果黑客利用被破坏的凭据,网络就会暴露.
而不是创造一个强有力的传球短语 (不及格)词),当提示时,他们只做最少的工作. 威胁行为者知道这一点,只要有机会就会利用这一点. 和, 如果您的网络连接到Internet, 你没有使用多重身份验证登录, 那些威胁分子可以直接从前门进来.
对多因素身份验证的需求也超出了您的直接网络. 如果您的组织使用任何第三方服务的帮助, 他们还应该使用多因素身份验证.
原因如下:
你可以强制执行 密码复杂度规则, 但你不能强迫人们对你公司使用的所有第三方服务使用不同的密码. 现在, 想象一下,一个威胁参与者通过猜测或成功地对用户进行网络钓鱼获得了用户的密码. 他们试图使用受损的凭证登录到您安装了MFA的公司网络. 第一个因素是成功, 但是当谈到第二个因素时, 恶意用户无法成功登录.
他们可能会拿着受损的凭证,在组织常用的第三方服务上进行尝试,直到它在某个地方起作用. So, 而威胁行为者可能无法直接访问您的网络, 如果您没有在这些第三方服务上安装MFA,他们仍然可以访问敏感数据或业务流程.
另一个需要MFA的场景是在包含高度敏感数据的网络分段区域内, 例如持卡人数据环境(CDE). 即使需要多因素身份验证才能登录到您的网络, 您仍然需要添加一个额外的MFA层来登录cde -即使它没有直接连接到互联网.
这一额外的安全层不仅有助于遵从性, 但这对于保护组织所持有的最敏感数据也很重要. 因为,虽然多因素身份验证在正确执行的情况下是有效的,但它并不是绝对正确的.
考虑一下这个例子:
您为您的网络实现MFA,教员工正确使用它,然后继续前进. 您已经安装了MFA并激活了所有公司服务(电子邮件), 远程访问, (包括第三方服务),将用户重定向到需要MFA的单点登录(SSO)身份验证门户. 你可以走了,对吧?
不完全是.
在一个未公开的地点,一个威胁行为者试图访问你的一个新员工的账户,这个新员工可能在新员工安全意识培训期间没有密切关注. 这名员工一直在手机上收到来自他们开始在公司工作时安装的MFA应用程序的提醒.
员工知道他们不是在尝试登录,但他们把它当作技术故障而不予理会. 员工最终会厌倦自己的手机铃声, 所以用户确认从MFA应用程序的登录请求.
就这样,一个威胁行为者进入了你的网络,即使你已经安装了MFA.
信息安全没有保证. 而你可以尽可能地为自己做好准备, 用户错误应该始终在您的决策和基础设施中发挥作用. 是否在安全监控过程中对大量成功登录但失败的MFA尝试发出警报?
网络的需求可以根据组织的规模和类型而变化. 决定如何最好地保护你的资产和教育你的员工可能会带来意想不到的独特挑战. 所以,如果你正在寻找一些关于如何最好地保护你的网络或实现MFA的指导, 让我们知道我们很乐意今天就帮你开始工作.