基於風險的身份驗證範例:
防禦現代網路威脅的 7 種方法
網路威脅不斷演變,攻擊策略也愈趨複雜,例如撞庫攻擊、網路釣魚和惡意軟體入侵。隨著威脅變得越來越難以應對,保護您的數位資產需要的不僅僅是簡單的使用者名稱/密碼身份驗證。
根據 Verizon 的 2024 資料外洩調查報告中指出,在2023 年:
- 憑證竊取是造成大部分(約 40%)資料外洩的原因。此外,在 Web 應用程式攻擊中,憑證竊取所佔比例高達 77%。
- 2023 年 1 萬起資料外洩事件中,有 68% 是由非惡意人為因素(網路釣魚和錯誤)造成的。
因此,一些企業使用多因素驗證 (MFA)來增強安全性。然而,靜態MFA無法依照每個登入的風險等級調整。這會導致低風險用戶產生不必要的障礙,並錯失預防具有威脅性的高風險登入的機會。
讓我們討論使用基於風險的身份驗證來應對現代威脅的七個實際範例,以及在組織中有效部署它的方法。
了解基於風險的身份驗證 (Risk-Based Authentication, RBA)
RBA (risk-based authentication)也稱為自適應身份驗證 (adaptive authentication),或基於風險的 MFA (risk-based MFA),RBA使用機器學習為每個身份驗證請求評估風險等級。根據感知到的風險,它決定是否提示其他身份驗證因素。
RBA 會評估使用者的行為以及其他幾個因素,包括 IP 位址、地理位置、裝置、網路和登入時間,以即時確定風險評分。
根據計算出的風險評分的高低,若風險低使用者可以只使用使用者名稱和密碼進行身份驗證,若風險評分較高則需要進一步身份驗證。若附加身份驗證失敗,則存取被拒絕。
較高的風險評分意味著異常的行為。這可能包括來自可疑 IP 位址(例如使用 Tor)的請求,或來自新裝置、不熟悉的位置或在異常時間的登入嘗試。
由於 RBA 使用機器學習來處理風險,因此它可以從使用者行為和安全事件中學習,隨著時間的推移變得更加聰明,並在不同情況下更準確地評估風險。
簡而言之,RBA 可以幫助企業防止未經授權的存取風險並滿足安全法規,而不會給真實用戶帶來不便。
基於風險的身份驗證的 7 個實際範例
讓我們探討一些現實生活中的範例,您可以在其中使用 RBA 來保護您的系統免受潛在威脅:
#1 憑證竊取
想像一下:位於另一個大陸的駭客以某種方式獲得了您的一個美國員工帳戶的憑證。當美國員工在工作時間登入其帳戶時,攻擊者使用竊取的憑證同時從地球另一端獲得存取權限。
RBA 會如何處理:
自適應身分驗證系統會將來自世界兩個不同地區的帳戶存取視為高風險,並提高風險評分。即使是從相隔幾個小時的兩個不同地點存取帳戶,該員工也不太可能這麼快就搬到世界的另一個地方。這種升高的風險評分將提示員工和駭客需要提供額外的身份驗證,駭客將被拒絕存取並阻止其存取公司應用程式。
#2 不安全的 WiFi 熱點
假設您的一名員工正在透過其他人也在使用的公共 WiFi 網路進行遠端工作。攻擊者可能會默默地等待人們登入其公司網路並執行中間人攻擊以捕獲他們的憑證。靜態 MFA 規則會自動信任來自某些地理區域的連線,並且可能不會標記這些地點。
RBA 會如何處理:
RBA 會將其視為陌生的位置或網路,並根據網路的聲譽即時確定風險評分。如果分數超過閾值,它將啟用 MFA 並阻止入侵者。
#3 網路釣魚和裝置指紋識別
網路釣魚是繼竊取憑證之後第二常用的網路攻擊策略,也通常很容易繞過靜態 MFA 規則。假設有心人士透過網路釣魚電子郵件,成功使用惡意軟體滲透到您員工的電腦。然後,惡意軟體會使用暴力方式存取您公司的網路並嘗試存取敏感資料和應用程式。靜態 MFA 規則不會將其標記為有風險,因為惡意軟體使用公司的網路,無法阻止其攻擊。
RBA 會如何處理:
自適應身分驗證會為此事件分配更高的風險評分。它會將惡意軟體的 HTTP 用戶端視為不熟悉的,並將其標記為新的裝置指紋。因此,惡意軟體將被提示進行 MFA,但它將無法進行身份驗證,因為它只是軟體而不是可以通過身份驗證的人,最終阻止了攻擊。
#4 撞庫攻擊
想像一下,駭客使用從流行網站的資料外洩中獲得的多個憑證轟炸您的系統,希望獲得未經授權的存取。現在假設您的員工在任何地方都使用相同的憑證,包括洩漏資料中存在的憑證。
如果攻擊者使用受信任的網路來執行撞庫策略,則靜態 MFA 系統會認為請求合法並允許它們繞過您的防護措施。
RBA 會如何處理:
另一方面,基於風險的身份驗證系統會即時分析這些嘗試,同時考慮登入時間、使用的設備和登入歷史記錄等其他因素。如果發現異常,風險評分將會飆升,即使涉及受信任的 IP,員工和冒名頂替者都將受到 MFA 提示的質疑。因此,RBA 會阻止自動化腳本的運行,以保護您的寶貴資料。
#5 在家工作的員工
假設一名員工在家工作,連續數週每天從同一位置、IP 位址和裝置登入。如果使用靜態規則,他們會強制每次登入嘗試都進行 MFA,始終將其視為高風險並給員工帶來不合理的負擔。儘管這不是安全事件,但它會被標記為安全事件,從而擾亂您的 SIEM 機制並影響生產力 – 最終導致不必要的中斷和誤報。
RBA 會如何處理:
相反的,如果 RBA 發揮作用,系統將逐漸了解這種情況一切如常,並為該事件分配較低的風險評分。這將允許員工僅使用使用者名稱和密碼登錄,從而使您的 SIEM 系統免於不必要的警報。
#6 應用程式設定錯誤和漏洞利用
2024 年 Verizon資料外洩調查報告稱,利用系統漏洞的攻擊比前一年增加了兩倍,這是值得擔心的事情。
想像一下,網路犯罪分子因配置錯誤而在您的某個應用程式中發現了漏洞。透過利用此缺陷,他們可以完全繞過身份驗證過程或產生不準確的事件日誌,留下看似合法的痕跡。依賴這些日誌的靜態 MFA 規則將變得無效且無法偵測到入侵。
RBA 會如何處理:
RBA 將分析日誌之外的風險因素,以準確地確定威脅可能性。其基於上下文的身份驗證機制將提高風險評分,識別應用程式錯誤配置以及由此產生的違規行為。這將觸發 MFA 提示,以防止攻擊者獲得未經授權的存取。
#7 IP 位址難題
考慮我們的最後一種情況:攻擊者試圖在辦公時間使用您員工自己的設備從另一個區域進入您的網路。他們使用 Tor 來掩蓋自己的實際位置並以匿名方式獲得存取權限。駭客知道您的員工使用的確切瀏覽器和作業系統。
RBA 會如何處理:
由於登入嘗試是從陌生的 IP 位址、國家/地區和裝置進行的,RBA 會將此事件標記為高風險,並提示攻擊者進行 MFA。攻擊者將會失敗並被拒絕存取網路資源。
您該如何部署 RBA 以防禦進階威脅
假設您組織的 IT 網路是您的數位王國,您的貴重物品存放在安全的城堡中。要使用基於風險的方法來保護您的城堡免遭掠奪,您需要在每個入口處配備一個警覺性高的看門人(基於風險的威脅防護系統)。它必須即時評估存取城堡的請求,並根據幾個風險因素對它們進行分類,並隨著時間的推移有效地了解誰值得信任,誰值得懷疑(機器學習)。
新的看門人還必須與王國現有的安全態勢(例如單一登入 (SSO)和身分和存取管理 (IAM)系統)一起工作,分析進入點的風險並為其分配風險等級(低、中)或高)取決於上下文。例如,他們將噴火龍視為高風險(勒索軟體攻擊),將隧道挖掘者視為中風險(內部威脅),將討厭的弓箭手視為低風險威脅(未經授權存取非關鍵資料)。
明智的將軍必須創建合適的安全策略,不信任任何人(零信任策略),以根據風險值管理潛在威脅。然後,看門人必須大力實施這些政策,並根據風險等級,要求提供額外的身份證明 (2FA/MFA) 以獲得存取權限或完全阻止其進入。
此外,看門人的工作方式必須對城堡的常客(真正的使用者)來說最不麻煩。例如,如果受信任的顧問或供應商請求存取,他們將透過顯示基本身分(密碼和已知設備/位置)快速獲得進入權限。
擁抱自適應身分驗證:網路安全的未來
儘管許多企業都擁有強大的身份驗證方法,但它們不足以跟上日益複雜的威脅。網路犯罪分子不斷改進他們的策略,您需要盡快調整防禦措施以適應新形態的攻擊。
傳統的驗證方法(例如密碼保護或靜態 MFA 規則)不再能夠完全防止現代網路攻擊,導致的企業寶貴的資料外洩。
利用最先進、基於風險的身份驗證策略協助企業領先於駭客,它是提供全面安全態勢、即時分析威脅並智慧應用安全措施的關鍵。基於風險的身份驗證策略可以強化您的網路安全,同時最大限度地降低合法用戶的麻煩。
不要等待網路攻擊毀掉您的業務,部署基於風險的 RBA 解決方案並鞏固您今日的數位王國。
客戶案例
關於 OneLogin 解決方案
OneLogin 存取管理平台提供安全的單一登入、多因素驗證、與 AD、LDAP 及其他外部目錄的目錄整合、使用者佈建、端點管理等功能,並可利用機器學習進行動態風險評估,以檢測高風險登入並觸發多因素身份驗證。