Ngăn chặn vi phạm dữ liệu, mật khẩu yếu và tấn công lừa đảo với MFA

Ngăn chặn vi phạm dữ liệu, mật khẩu yếu và tấn công lừa đảo với MFA

July 31, 2020 | vietsunshine

Forrester Research đã ước tính rằng 80 phần trăm các vi phạm bảo mật liên quan đến các thông tin đặc quyền yếu, mặc định, bị đánh cắp hoặc bị xâm phạm. Vì các tổ chức thiếu khả năng xác minh xem người dùng truy cập dữ liệu là xác thực hay chỉ là người đã mua mật khẩu bị xâm phạm từ Dark Web, nên các tổ chức không thể tin tưởng mật khẩu tĩnh nữa.

Do đó, các chuyên gia an ninh mạng đã khuyến nghị xác thực đa yếu tố (MFA) để thêm một lớp bảo mật bổ sung cho kiểm soát truy cập đặc quyền. Bằng cách áp dụng cách tiếp cận của MFA ở mọi nơi, các tổ chức có thể thiết lập một biện pháp ngăn chặn hiệu quả cao và cuối cùng giảm thiểu rủi ro của các tác nhân đe dọa trên các mạng. Dựa trên các nghiên cứu được thực hiện bởi Microsoft, một tài khoản có khả năng bị xâm phạm ít hơn 99,9% nếu sử dụng MFA. Thừa nhận tính hiệu quả của MFA, một danh sách ngày càng tăng các tiêu chuẩn ngành và quy định của chính phủ (ví dụ: PCI, HIPAA, NYDFS, NIST, v.v.) yêu cầu MFA là một phần của quy trình truy cập đặc quyền.

Nhiều tổ chức đã tuân thủ thực tiễn tốt nhất này. Trên thực tế, một nghiên cứu gần đây của Javelin Strateg & Research cho thấy sự phụ thuộc vào mật khẩu đã giảm từ 56% xuống 47% trong năm qua, khi các tổ chức tăng cường áp dụng cả MFA truyền thống và xác thực mạnh mẽ.

Tuy nhiên, bất chấp những lợi ích rõ ràng của MFA, các tổ chức có xu hướng tận dụng công nghệ này trên cơ sở chọn lọc. Thực tiễn tốt nhất là kích hoạt MFA ở mọi nơi – và không chỉ đối với một số quản trị viên, hệ thống hoặc ứng dụng đặc quyền nhất định, vì nó khiến các tổ chức tiếp xúc với khả năng tấn công và khai thác tiềm năng. Thay vào đó, MFA phải được bật trên tất cả các tài nguyên (VPN, tường lửa, thiết bị mạng, máy trạm, máy chủ cư trú tại chỗ hoặc trên đám mây) và tất cả các trường hợp sử dụng (ví dụ: MFA khi kiểm tra mật khẩu, MFA khi đăng nhập hệ thống, MFA khi nâng cao đặc quyền).

Centrify Identity-Centric PAM cung cấp tất cả các khả năng cần thiết cho các tổ chức để kích hoạt MFA ở mọi nơi và không giới hạn.

Lựa chọn linh hoạt cho các thách thức MFA, bao gồm cả những người đã sở hữu

Centrify Platform đi kèm với Dịch vụ xác thực MFA tích hợp, giảm bớt nhu cầu của một tổ chức để mua một giải pháp riêng biệt và hỗ trợ đầy đủ các trình xác thực – từ đơn giản nhất đến các trình xác thực nâng cao hơn để đảm bảo tuân thủ NIST SP 800-63A Assurance Level 2 hoặc 3. Những trình xác thực này bao gồm:

  • Thông báo đẩy (push notifications) di động,
  • Câu hỏi bảo mật,
  • Gọi điện thoại với xác minh mã PIN,
  • Mã thông báo OATH,
  • Máy chủ mật mã một lần,
  • FIDO U2F và FIDO2 (ví dụ: nhận dạng vân tay điện tử Apple Touch ID®, nhận dạng khuôn mặt Apple Face ID® và Microsoft® Windows Hello ™),
  • Thẻ thông minh

Đối với những tổ chức đã đầu tư vào các hệ thống MFA như RSA® SecurID ™, Duo® Security hoặc Symantec® VIP, họ có thể tận dụng các tích hợp RADIUS để sử dụng chúng cùng với PAM Centrify Identity-Centric.

MFA ở mọi nơi

Chỉ với cách tiếp cận dựa trên nền tảng đối với MFA, doanh nghiệp mới có thể hoàn toàn bảo vệ tổ chức của mình trên toàn bộ phổ tài nguyên. Cho dù đó là MFA cho hệ điều hành máy chủ và máy trạm, thiết bị mạng hoặc tích hợp MFA vào các khả năng quản lý truy cập đặc quyền như kiểm tra mật khẩu doanh nghiệp và thực thi các lệnh đặc quyền, Centrify cung cấp xác minh người dùng đặc quyền thông qua MFA trong tất cả các trường hợp sử dụng. Điều này bao gồm một quản trị viên đăng nhập như chính họ và nâng cao đặc quyền hoặc quản trị viên CNTT kiểm tra mật khẩu cho một tài khoản được chia sẻ.

Ứng dụng Centrify Mobile cho thông báo đẩy và Workflow

Ứng dụng Centrify Mobile cho iOS và Android cung cấp cho người dùng đặc quyền một giao diện đơn giản để nhận thông báo MFA hoặc yêu cầu quy trình làm việc để phê duyệt. Ứng dụng Centrify Mobile cũng cung cấp giao diện cho phép người dùng quản lý mã thông báo OATH trong đó key  được khoanh vùng bởi Centrify Privileged Access Service để hỗ trợ xác thực mã OTP của người dùng, theo yêu cầu của các ứng dụng hoặc dịch vụ đặc quyền khác nhau thực thi xác thực MFA tuân thủ OATH của họ như AWS® Console.

MFA cho máy khách RADIUS

Centrify cũng hỗ trợ cung cấp dịch vụ MFA cho các thiết bị mạng như bộ định tuyến, bộ chuyển mạch hoặc tường lửa nơi truy cập quản trị nên yêu cầu MFA trước khi truy cập người dùng đặc quyền.

Hỗ trợ riêng cho xác thực liên kết nâng cao

Có những tình huống khác mà người dùng có thể xác thực từ hệ thống xác thực bên ngoài vào giải pháp Centrify Identity-Centric PAM qua Active Directory với Kerberos/IWA hoặc thông qua Nhà cung cấp nhận dạng (IDP) như Idaptive ™, Okta®, Ping Identity® hoặc Microsoft® ADFS cũng như Microsoft Azure ™ sử dụng SAML.

Các bên thứ ba như IT support thuê ngoài, nhà phát triển bên ngoài hoặc hỗ trợ nhà cung cấp có thể được định cấu hình để xác thực nội bộ nhân viên của họ và truy cập giải pháp PAM Centrify-Centric thông qua liên kết để loại bỏ quản lý tài khoản thủ công.

Bảo vệ chống lại các cuộc tấn công với kiểm soát truy cập dựa trên hành vi

Các khả năng thích ứng MFA của Centrify chỉ thêm một lớp bảo mật khi cần – và dựa trên xếp hạng rủi ro – để giảm mối đe dọa liên quan đến thông tin đặc quyền bị xâm phạm. Định cấu hình kiểm soát truy cập dựa trên hành vi cho quản trị viên CNTT truy cập máy chủ Windows và Linux, nâng cao đặc quyền hoặc lợi dụng thông tin đăng nhập đặc quyền.

Lược dịch theo bài viết Combat Data Breaches, Weak Passwords, and Phishing Attacks with Multi-Factor Authentication của Torsten George chuyên gia an ninh mạng của Centrify.

Xem thêm: Giải pháp quản lý truy cập đặc quyền – PAM

Tags: ,