《電子技術(shù)應(yīng)用》
您所在的位置:首頁(yè) > 通信與網(wǎng)絡(luò) > 業(yè)界動(dòng)態(tài) > 用零信任打擊網(wǎng)絡(luò)釣魚(yú),美國(guó)白宮又有重要部署

用零信任打擊網(wǎng)絡(luò)釣魚(yú),,美國(guó)白宮又有重要部署

2021-10-20
來(lái)源:互聯(lián)網(wǎng)安全內(nèi)參

  為加快轉(zhuǎn)向零信任架構(gòu),,落實(shí)零信任戰(zhàn)略,美國(guó)白宮管理與預(yù)算辦公室正著手推進(jìn)一項(xiàng)反網(wǎng)絡(luò)釣魚(yú)計(jì)劃,,這將是下一階段聯(lián)邦機(jī)構(gòu)的重大任務(wù);

  該計(jì)劃將淘汰基于短信/郵件/應(yīng)用的多因素認(rèn)證,這些技術(shù)均已被網(wǎng)絡(luò)釣魚(yú)破解,,轉(zhuǎn)為部署硬件安全密鑰和單點(diǎn)登錄技術(shù),;

  強(qiáng)身份驗(yàn)證是零信任架構(gòu)的基礎(chǔ)組件,反網(wǎng)絡(luò)釣魚(yú)的多因素身份驗(yàn)證也將成為聯(lián)邦政府安全基線中的重要組成部分,。

  美國(guó)白宮正著手推進(jìn)一項(xiàng)雄心勃勃的計(jì)劃,,希望顯著降低美國(guó)政府遭遇網(wǎng)絡(luò)釣魚(yú)侵?jǐn)_的風(fēng)險(xiǎn)。其中的典型方法包括逐步淘汰基于短信/郵件/應(yīng)用程序的多因素身份驗(yàn)證,,轉(zhuǎn)而替換為硬件安全密鑰等反網(wǎng)絡(luò)釣魚(yú)解決方案,。

  白宮管理與預(yù)算辦公室(OMB)的一位官員在電話采訪中表示,該計(jì)劃是聯(lián)邦政府接下來(lái)的一項(xiàng)重大任務(wù),。OMB認(rèn)為這項(xiàng)網(wǎng)絡(luò)釣魚(yú)緩解措施代表著聯(lián)邦政府向“零信任”架構(gòu)邁出的重要一步,。

  在這種新型架構(gòu)中,組織的保護(hù)能力不再立足于對(duì)任何特定系統(tǒng),、網(wǎng)絡(luò)或服務(wù)的信任,。相反,零信任系統(tǒng)會(huì)對(duì)試圖訪問(wèn)系統(tǒng)的一切其他系統(tǒng)或個(gè)人執(zhí)行驗(yàn)證,。這位官員指出,,從本質(zhì)上講,任何嘗試登錄政府網(wǎng)站或服務(wù)的訪問(wèn)者都應(yīng)接受對(duì)其聲稱身份與實(shí)際身份的嚴(yán)格驗(yàn)證,。而這項(xiàng)工作的前提,,又落在了加強(qiáng)防范網(wǎng)絡(luò)釣魚(yú)上。

  這位官員解釋道,,管理與預(yù)算辦公室特別關(guān)注那些自動(dòng)化,、低成本且可擴(kuò)展的網(wǎng)絡(luò)釣魚(yú)攻擊活動(dòng)。這類服務(wù)能夠以“令人信服”的方式仿冒政府網(wǎng)站,,還能從受害者手中騙取多因素身份驗(yàn)證令牌,。這位官員表示,通過(guò)短信,、電子郵件發(fā)送或顯示在獨(dú)立應(yīng)用內(nèi)的一次性驗(yàn)證碼,,如今都已逐漸失去安全性。

  事實(shí)上,,這幾種多因素身份驗(yàn)證令牌都可能以某種形式被釣魚(yú)或其他方式所劫持,。SIM卡交換、針對(duì)電信員工的欺詐或賄賂,、將受害者短信重新定向至黑客自己的手機(jī)等方法,,都能成功獲取到目標(biāo)人物的密碼或登錄令牌。此外,,釣魚(yú)網(wǎng)站還可以請(qǐng)求由Google Authenticator等應(yīng)用程序生成的用戶驗(yàn)證碼,。這位官員指出,某些多因素身份驗(yàn)證系統(tǒng)使用的推送通知功能同樣可能受釣魚(yú)活動(dòng)影響,,例如通過(guò)惡意站點(diǎn)觸發(fā)這些彈窗并要求受害者批準(zhǔn)登錄嘗試,。

  加快部署硬件安全密鑰和單點(diǎn)登錄技術(shù)

  好消息是,,硬件安全密鑰等解決方案不會(huì)受到釣魚(yú)活動(dòng)的影響。

  管理與預(yù)算辦公室最近發(fā)布了其聯(lián)邦零信任戰(zhàn)略草案,。這份草案并沒(méi)有向機(jī)構(gòu)明確指定應(yīng)使用哪些產(chǎn)品,,例如Yubikey、Google Titan等,。相反,,其中僅提到PIV(個(gè)人身份驗(yàn)證)卡以及WebAuthn(一種允許使用硬件安全密鑰進(jìn)行網(wǎng)站登錄的Web規(guī)范)。草案寫(xiě)道,,各機(jī)構(gòu)必須在應(yīng)用層面為機(jī)構(gòu)雇員,、承包商以及合作伙伴提供遏制網(wǎng)絡(luò)釣魚(yú)影響的多因素身份驗(yàn)證方案。

  美國(guó)聯(lián)邦政府機(jī)關(guān)數(shù)量眾多,,而且大部分擁有自己的特定系統(tǒng)與基礎(chǔ)設(shè)施,,對(duì)這套龐大的體系進(jìn)行全面多因素身份驗(yàn)證升級(jí)聽(tīng)起來(lái)令人生畏。但這位官員表示,,美國(guó)政府在這項(xiàng)工作上仍然具有優(yōu)勢(shì):他們已經(jīng)在部分建筑物及系統(tǒng)的訪問(wèn)/登錄中使用到PIV卡,。而對(duì)網(wǎng)絡(luò)釣魚(yú)的防范,也可以說(shuō)是把相同的指導(dǎo)原則擴(kuò)展到使用U盤式密鑰登錄更多系統(tǒng),。當(dāng)然,,這項(xiàng)工作需要對(duì)機(jī)構(gòu)內(nèi)的基礎(chǔ)設(shè)施加以更新,再由各部門完成個(gè)人用戶卡片分發(fā)與使用方法培訓(xùn)等工作,。

  管理與預(yù)算辦公室還建議各級(jí)部門建立單點(diǎn)登錄(SSO)服務(wù),。在這套體系中,用戶不再需要獨(dú)立登錄各個(gè)站點(diǎn),,而是可以通過(guò)單一總體系統(tǒng)(例如Okta)進(jìn)行身份驗(yàn)證,之后由該系統(tǒng)處理面向不同服務(wù)的登錄操作,。這位官員介紹道,,考慮到某些政府機(jī)關(guān)的規(guī)模較大,因此將多種不同身份系統(tǒng)整合起來(lái)可能效果更好,,這樣可以減少保護(hù)對(duì)象數(shù)量,、降低多因素身份驗(yàn)證的實(shí)現(xiàn)難度等。該官員還補(bǔ)充道,,單點(diǎn)登錄也是可用性與安全性有機(jī)結(jié)合的理想案例,。

  至于當(dāng)下的工作,管理與預(yù)算辦公室計(jì)劃將最終確定聯(lián)邦政府零信任戰(zhàn)略文件,,再與各級(jí)政府機(jī)構(gòu)合作推進(jìn)并監(jiān)督后續(xù)的安全調(diào)整工作,。

  草案中寫(xiě)道,“強(qiáng)身份驗(yàn)證是零信任架構(gòu)中的基礎(chǔ)組件,,而多因素身份驗(yàn)證也將成為聯(lián)邦政府安全基線中的重要組成部分,?!?/p>




電子技術(shù)圖片.png

本站內(nèi)容除特別聲明的原創(chuàng)文章之外,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,,并不代表本網(wǎng)站贊同其觀點(diǎn),。轉(zhuǎn)載的所有的文章、圖片,、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有,。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無(wú)法一一聯(lián)系確認(rèn)版權(quán)者。如涉及作品內(nèi)容,、版權(quán)和其它問(wèn)題,,請(qǐng)及時(shí)通過(guò)電子郵件或電話通知我們,以便迅速采取適當(dāng)措施,,避免給雙方造成不必要的經(jīng)濟(jì)損失,。聯(lián)系電話:010-82306118;郵箱:[email protected],。