為加快轉(zhuǎn)向零信任架構(gòu),落實(shí)零信任戰(zhàn)略,美國白宮管理與預(yù)算辦公室正著手推進(jìn)一項(xiàng)反網(wǎng)絡(luò)釣魚計(jì)劃,這將是下一階段聯(lián)邦機(jī)構(gòu)的重大任務(wù);
該計(jì)劃將淘汰基于短信/郵件/應(yīng)用的多因素認(rèn)證,這些技術(shù)均已被網(wǎng)絡(luò)釣魚破解,轉(zhuǎn)為部署硬件安全密鑰和單點(diǎn)登錄技術(shù);
強(qiáng)身份驗(yàn)證是零信任架構(gòu)的基礎(chǔ)組件,反網(wǎng)絡(luò)釣魚的多因素身份驗(yàn)證也將成為聯(lián)邦政府安全基線中的重要組成部分。
美國白宮正著手推進(jìn)一項(xiàng)雄心勃勃的計(jì)劃,希望顯著降低美國政府遭遇網(wǎng)絡(luò)釣魚侵?jǐn)_的風(fēng)險(xiǎn)。其中的典型方法包括逐步淘汰基于短信/郵件/應(yīng)用程序的多因素身份驗(yàn)證,轉(zhuǎn)而替換為硬件安全密鑰等反網(wǎng)絡(luò)釣魚解決方案。
白宮管理與預(yù)算辦公室(OMB)的一位官員在電話采訪中表示,該計(jì)劃是聯(lián)邦政府接下來的一項(xiàng)重大任務(wù)。OMB認(rèn)為這項(xiàng)網(wǎng)絡(luò)釣魚緩解措施代表著聯(lián)邦政府向“零信任”架構(gòu)邁出的重要一步。
在這種新型架構(gòu)中,組織的保護(hù)能力不再立足于對(duì)任何特定系統(tǒng)、網(wǎng)絡(luò)或服務(wù)的信任。相反,零信任系統(tǒng)會(huì)對(duì)試圖訪問系統(tǒng)的一切其他系統(tǒng)或個(gè)人執(zhí)行驗(yàn)證。這位官員指出,從本質(zhì)上講,任何嘗試登錄政府網(wǎng)站或服務(wù)的訪問者都應(yīng)接受對(duì)其聲稱身份與實(shí)際身份的嚴(yán)格驗(yàn)證。而這項(xiàng)工作的前提,又落在了加強(qiáng)防范網(wǎng)絡(luò)釣魚上。
這位官員解釋道,管理與預(yù)算辦公室特別關(guān)注那些自動(dòng)化、低成本且可擴(kuò)展的網(wǎng)絡(luò)釣魚攻擊活動(dòng)。這類服務(wù)能夠以“令人信服”的方式仿冒政府網(wǎng)站,還能從受害者手中騙取多因素身份驗(yàn)證令牌。這位官員表示,通過短信、電子郵件發(fā)送或顯示在獨(dú)立應(yīng)用內(nèi)的一次性驗(yàn)證碼,如今都已逐漸失去安全性。
事實(shí)上,這幾種多因素身份驗(yàn)證令牌都可能以某種形式被釣魚或其他方式所劫持。SIM卡交換、針對(duì)電信員工的欺詐或賄賂、將受害者短信重新定向至黑客自己的手機(jī)等方法,都能成功獲取到目標(biāo)人物的密碼或登錄令牌。此外,釣魚網(wǎng)站還可以請(qǐng)求由Google Authenticator等應(yīng)用程序生成的用戶驗(yàn)證碼。這位官員指出,某些多因素身份驗(yàn)證系統(tǒng)使用的推送通知功能同樣可能受釣魚活動(dòng)影響,例如通過惡意站點(diǎn)觸發(fā)這些彈窗并要求受害者批準(zhǔn)登錄嘗試。
加快部署硬件安全密鑰和單點(diǎn)登錄技術(shù)
好消息是,硬件安全密鑰等解決方案不會(huì)受到釣魚活動(dòng)的影響。
管理與預(yù)算辦公室最近發(fā)布了其聯(lián)邦零信任戰(zhàn)略草案。這份草案并沒有向機(jī)構(gòu)明確指定應(yīng)使用哪些產(chǎn)品,例如Yubikey、Google Titan等。相反,其中僅提到PIV(個(gè)人身份驗(yàn)證)卡以及WebAuthn(一種允許使用硬件安全密鑰進(jìn)行網(wǎng)站登錄的Web規(guī)范)。草案寫道,各機(jī)構(gòu)必須在應(yīng)用層面為機(jī)構(gòu)雇員、承包商以及合作伙伴提供遏制網(wǎng)絡(luò)釣魚影響的多因素身份驗(yàn)證方案。
美國聯(lián)邦政府機(jī)關(guān)數(shù)量眾多,而且大部分擁有自己的特定系統(tǒng)與基礎(chǔ)設(shè)施,對(duì)這套龐大的體系進(jìn)行全面多因素身份驗(yàn)證升級(jí)聽起來令人生畏。但這位官員表示,美國政府在這項(xiàng)工作上仍然具有優(yōu)勢(shì):他們已經(jīng)在部分建筑物及系統(tǒng)的訪問/登錄中使用到PIV卡。而對(duì)網(wǎng)絡(luò)釣魚的防范,也可以說是把相同的指導(dǎo)原則擴(kuò)展到使用U盤式密鑰登錄更多系統(tǒng)。當(dāng)然,這項(xiàng)工作需要對(duì)機(jī)構(gòu)內(nèi)的基礎(chǔ)設(shè)施加以更新,再由各部門完成個(gè)人用戶卡片分發(fā)與使用方法培訓(xùn)等工作。
管理與預(yù)算辦公室還建議各級(jí)部門建立單點(diǎn)登錄(SSO)服務(wù)。在這套體系中,用戶不再需要獨(dú)立登錄各個(gè)站點(diǎn),而是可以通過單一總體系統(tǒng)(例如Okta)進(jìn)行身份驗(yàn)證,之后由該系統(tǒng)處理面向不同服務(wù)的登錄操作。這位官員介紹道,考慮到某些政府機(jī)關(guān)的規(guī)模較大,因此將多種不同身份系統(tǒng)整合起來可能效果更好,這樣可以減少保護(hù)對(duì)象數(shù)量、降低多因素身份驗(yàn)證的實(shí)現(xiàn)難度等。該官員還補(bǔ)充道,單點(diǎn)登錄也是可用性與安全性有機(jī)結(jié)合的理想案例。
至于當(dāng)下的工作,管理與預(yù)算辦公室計(jì)劃將最終確定聯(lián)邦政府零信任戰(zhàn)略文件,再與各級(jí)政府機(jī)構(gòu)合作推進(jìn)并監(jiān)督后續(xù)的安全調(diào)整工作。
草案中寫道,“強(qiáng)身份驗(yàn)證是零信任架構(gòu)中的基礎(chǔ)組件,而多因素身份驗(yàn)證也將成為聯(lián)邦政府安全基線中的重要組成部分。”
