有了MFA,為何還是被駭客攻擊?

2023年,知名網路安全公司KnowBe4對2,600名IT專業人員的調查顯示,大型組織與中小型組織在安全實務上仍存在顯著的差異。雖然只有38%的大型組織尚未透過啟用多重身分驗證( multifactor authentication ,MFA )來保護其使用者帳戶,但有高達62%的中小型組織根本沒有實施任何MFA 。

不過,可喜的是,隨著無密碼方法的普及、以及應用複雜性的成長,MFA方法正在變得越來越多地被用到。後疫情時代,美國拜登政府於2021年發布了關於改善國家網路安全的行政命令。作為跟進,Google當年也對其所有員工提出了MFA要求。之後,Microsoft for Azure的各類登入都透過加強其身份驗證的實踐,旨在增強IT運營,並鼓勵在所有應用程式中,進行全面且持續的身份驗證。有調查表明,目前已有三分之二的普通用戶會經常使用MFA登錄,而使用MFA進行登錄保護的企業管理員更是高達90% 。

有了MFA就萬無一失?

目前,大多數人都已領略了MFA在增強安全方面的優勢。但是MFA在具體實施上卻存在著不統一、甚至參差不齊的問題。這往往讓業務安全經理及其使用者深感困惑。當然,有時MFA用戶也會因為增加了更多的認證因素,而承擔額外的工作量。這種天生的不便性也增加了MFA的障礙。

只要留心,就會發現新聞中屢屢報道了各種繞過MFA的攻擊事件。例如,最近有消息稱,某團體發動了針對已安裝了Microsoft 365的小型企業的、魚叉式網路釣魚攻擊。此外,在2022年,Okta也曾遭受了一系列網路攻擊。這些攻擊透過感染供應鏈竊取了其存放這GitHub的原始碼。而且,其中的兩次單獨的攻擊都竊取了大量用戶憑證,並破壞了由其支援的入口網頁。而作為身分驗證的服務供應商,Okta對此事件發生的情況,並未提供非常透明的資訊。這讓外界對MFA是否正確實施,提出了質疑。

值得注意的MFA威脅模式

在我們開始討論最常見的駭客攻擊技術之前,讓我們先來了解一些典型的MFA失敗案例。總的說來,它們可以歸納為以下三種威脅模式:

  1. MFA疲勞或推送炸彈,透過發送大量授權請求(通常表現為密集地推送SMS訊息,直到用戶不堪其擾,從而批准請求,並授予攻擊者訪問權限。例如:Uber在2022年發生的安全事件就屬於此類。​​​​​​​​​​​​​​​ ​MFA普及程度,反而激勵了對手繞過這種控制的鬥志。
  2. 攻擊者也會結合使用社會工程和網路釣魚攻擊,來破壞系統的整體身分驗證流程,並誘騙使用者放棄其MFA令牌。使用者行為的變化(例如疫情後、奧運會期間開始密集使用遠端辦公的場景,就經常被攻擊者所利用。Arctic Wolf在其最近的一篇部落格中寫道:「將社會工程與MFA疲勞攻擊結合使用,會大幅提高攻擊者的得手率,畢竟這樣很容易產生一種虛假的信任感。
  3. 以非MFA使用者和具有弱密碼的應用程式作為目標,是第三種常見的威脅模式。如前文所述,雖然MFA的採用率已顯著提高,但遠未達到普遍程度,攻擊者仍可找到那些未受保護的系統和用戶,來進行相應的攻擊。例如,幾年前,Akira 勒索軟體攻擊者就使用未配置MFA的Cisco 網路滲透到目標組織中,並利用暴力破解的方式,來取得使用者憑證。 2021年的Colonial Pipeline攻擊,大家一定還記憶猶新。當時,分析師發現是由於其洩露了未運行任何MFA的傳統網路上的單一密碼所造成的。此類弱密碼一直被使用在某個十分「長壽」的應用程式所連接的Cisco網路交換器中。儘管該公司在2017年的一篇部落格文章中,早已發出了警告,但此功能仍在持續利用。

常見的MFA攻擊方法

在上述所提及的各種威脅中,通常有以下三類MFA攻擊會被使用。

  1. 移動安全性差。行動智慧型手機是進入公司網路的重要節點,攻擊者會利用諸如替換SIM卡等各種方法,來達到其目的。例如,攻擊者可以設法讓電信服務供應商的客服人員相信他們是合法的SIM卡所有者,從而能夠獲取到SMS的身份驗證訊息。當然,其他方法也包括,直接攻擊蜂窩服務提供者的網路本身。
  2. 不完全的MFA身份驗證工作流程。通常,企業的身份驗證工作流程較為複雜,使用者可以選擇透過Web入口網站、智慧型手機應用、以及應用程式介面(API)直接存取並調取應用程式。同時,他們可以透過採用不同作業系統的各種連接埠、本地網路或私有網路進行連線。這些都意味著,我們在測試MFA時,都必須考慮到各種情況,並且盡量攔截通過供應鏈上的中間人、或瀏覽器裡的中間人(man-in-the-browser)所發起的MFA程式碼層面的攻擊。
  3. 針對Cookie的攻擊,例如Cookie傳遞(pass-the-cookie )和被盜的會話Cookie。發生此類情況往往是由於網站並未強制執行會話的非活動時間限制,從而讓攻擊者可以使用這些不完善的Cookie ,來達到繞過MFA的目的。你可以透過由KnowBe4提供的鏈接,來了解更多詳細資訊。

防範MFA攻擊的策略

鑑於上述漏洞,我們需要以不降低使用者體驗度為前提,建構出更完善的MFA。以下便是一些能夠確保你的MFA策略成功實施的建議。

  • 首先,請了解你要保護的資源。 CISA(美國網路安全與基礎設施安全局)在其2 022年發布的情況說明書裡提到:「網路威脅攻擊者通常會以電子郵件系統、文件伺服器和遠端存取系統為目標,設法存取組織的數據,同時會試圖破壞Active Directory等身分識別伺服器,以便其建立新的帳戶或控制現有使用者帳戶」CISA建議你考慮將支援FIDO協定的系統,用於由MFA保護的最重要的零件,例如:那些最敏感的應用所使用的硬體金鑰。目前,FIDO聯盟已經發布了一系列關於企業應如何更好地實施此類方法的白皮書。對此,RSA透過鏈接,給出了深入探討,值得你仔細閱讀。
  • 其次,所有身分驗證都應基於風險,並根據使用者在任何給定時刻的行為,自動且動態地調整安全防護。也就是說,那些僅使用單一存取控制的舊方法,需要及時被替換或整合。目前,已有許多身份驗證產品能夠將MFA耦合到其自適應的身份驗證過程中。同時,與此相配套部分應該是對存取權限的仔細評估。鑑於多數時候,使用者一旦被配置了存取權限,就再也沒有任何後續的審核或權限的調整,IT安全人員應該「確保員工只能存取和完成其工作職責所需的有限數據,」Abnormal Security在其一篇部落格文章中這樣寫道。
  • 此外,請不要忽略密碼重置的過程,這往往是攻擊者的常用爆破點。Mitnick Security 在今年4月份的一篇部落格文章中提到:「令人驚訝的是,有許多網站根本沒有對其2FA的重置密碼流程予以雙重驗證,或者他們只是提供了一套不強制用戶使用MFA的機制」。
  • 再次,應該透過評估,鎖定最有可能成為被攻擊目標的使用者。 CISA在報告中寫道:「每個組織都會有一些少量的、具有額外存取權限的使用者帳戶。他們往往會成為網路攻擊者所覬覦的高價值目標」。因此,在MFA專案的初始推行階段,我們應當重點考慮包括IT維、系統管理員、律師、以及HR經理等組群的管控。
  • 實際上,上述各個要點都應該成為整體MFA工作流程分析的一部分。當然,這些也並非什麼新鮮事。早在2021年,任職於Akamai的Gerhard Giese就在其一篇博文中指出,MFA並不總是能夠有效地防禦撞庫攻擊(credential stuffing)。他說,IT經理需要「重新檢查現有的身份驗證工作流程和登入介面,以確保攻擊者無法透過查詢網路伺服器的回應,來發現有效的憑證,以及實施針對殭屍網路攻擊的有效管理。

綜上所述,透過全面規劃、實施和測試,MFA技術應該對內成為企業安全關鍵基礎架構的一部分,對外成為響應政府和監管部門要求的實施動力。