多因素认证（MFA）是最有效的防御措施

宣布时间 2022-10-25

随着云计算、大数据、人工智能、物联网、5G等新兴技术的飞速生长与普及，以数据泄露为代表的宁静事件在全球范围愈加频发。据IBM Security《2022年数据泄露成本陈诉》显示，数据泄露的平均成本已达 435 万美元，较2020年增长了近13%。数据泄露给企业宁静带来严峻考验的同时，也引发其对宁静能力建设新的思考。

凭证是最大的攻击向量

Verizon《2022年数据泄露视察陈诉》显示，2022年数据泄露事件中82%的违规行为涉及人为因素，勒索软件泄露事件增加了13%，凌驾去五年的总和。目前有四个主要途径会威胁到数据资产：凭证窃取、网络钓鱼、漏洞利用和僵尸网络，其中凭证窃取排第一，是最大的攻击向量。

凭证窃取成为威胁数据资产的首要途径

图1:凭证窃取成为威胁数据资产的首要途径

攻击者经常使用密码喷射、凭证填充、中间机器等攻击向量窃取凭证，以直接获取的姿态偷取数据。为何凭证窃取会成为数据泄露的首要途径？归根结底，是因为单因素认证。它是一种单一验证自己身份的要领，严重依赖于将一个因素（例如密码）与用户名匹配以获取对系统的访问权限，宁静性无疑是最低的，加之单因素认证还经常伴生弱口令这种高风险漏洞，更极大的增加网络犯罪分子接管帐号权限的可能性。

尽管每年都市泛起数据泄露的事件，但组织可以寻求创新要领来防止数据泄露并减轻潜在损害。例如，在2014年iCloud被攻击之后，Apple开始积极勉励用户接纳双因素身份验证，以加强数据宁静性。

《Delinea 2022全球研究陈诉》指出：凭据来自全球2100名宁静专家的数据，50%的公司使用宁静密钥�；ぬ厝ǚ梦�。此外，这些公司中已有48%使用多因素认证（MFA）或双因素认证（2FA），只有41%使用密码轮换。

48%公司已使用MFA或2FA

图2：48%公司已使用MFA或2FA

因此，单一的静态口令认证已不能适应当前庞大多变的网络反抗形势！面对攻击行为，我们需要启用特别的认证宁静层�；っ舾械囊ψ试�，多因素认证（MFA）是最有效的防御措施。如果您还没有考虑过这种技术，那么是时候开始了！

加强多因素认证已成为尺度规范

1、国内：多个政策严密规范宁静合规建设

等保2.0《信息宁静技术—网络宁静品级�；せ疽蟆飞矸菁鹨笳陆�，针对第三级系统的身份鉴别提出：应接纳口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别。

《网络宁静品级�；げ馄栏叻缦张卸ㄖ敢═/ISEAA 001-2020）》针对第三级及以上系统明确：要害网络设备、宁静设备、操作系统如果不满足双因素鉴别要求，则可判定为高风险项。

FYB/T 59007—2020《运维服务过程宁静管理规范》7.2.2 身份鉴别管理章节要求应具备管理帐号多因素强认证功效，不限于通过Radius、Tacacs等认证协议接管网络设备、宁静设备、主机、数据库的认证。

2、国外：单因素身份验证被CISA添加到不良做法列表

CISA 2021年8月在“高风险”网络宁静实践的不良做法列表中添加了“使用单因素身份验证对系统进行远程或管理访问”这一项。文中指出使用单因素身份验证对支持要害基础设施运行的系统进行远程或管理访问是危险的，并显着增加了对国家宁静、国家经济宁静以及国家公共卫生和宁静的风险。

UIAM--有效防御数据泄露的更优选择

东森平台集团于2020年宣布了多因素认证的宁静产物，即统一身份认证系统（简称UIAM）。UIAM为针对性满足等保2.0认证测评相关要求而设计的一款产物，支持通过尺度认证协议（Radius、Tacacs+、Ldap）接管目标资源认证，进行统一认证管理和统一帐号管理，实现用户登录资源时进行双因素认证，满足等保合规要求。任意类型的目标资源，无论是主机设备、网络设备、宁静设备、数据库还是其他，只要支持尺度认证协议，都可以快速配置从而接入UIAM认证，实现认证加固。

东森平台多因素认证产物UIAM

图3：东森平台多因素认证产物UIAM

1、网络运维宁静威胁难题解析

目前与运维网关相关联的攻击方式，主要包罗：

攻击者获取了凭证，则以“合法身份”登录运维网关，流通无阻；

资源外部网络可达，外部攻击者可对其直接实施网络攻击；

网络配置失误，远程管理资源时可绕过运维网关，导致其面临内部恶意人员网络攻击；

资源自身存在重大宁静漏洞，导致同网段或路由可达的资源面临网络攻击。

与运维网关相关联的攻击方式

图4：与运维网关相关联的攻击方式

同时，从历次攻防演练来看，凭证的泄露只是运维网关遭受攻击的其中一面，其最大的问题在于资源自身认证宁静性太低，大多数资源仅为单一静态认证方式，由于没有双因素等强鉴别措施保障，导致攻击者可利用获取的凭据或管理用户的简单方式假冒用户身份。

2、UIAM：多重机制有效保障企业数据宁静

在原本静态帐号密码认证的基础上增加认证因子，有效防止决静态密码被窃取后导致的非授权访问和数据泄密问题，�；に凶试疵馐芑谄揪莸墓セ飨蛄�。

通过尺度协议直接在目标资源实现双因素认证加固，满足等保2.0身份鉴别合规性要求。

消灭传统运维管控盲点，解决绕开运维网关直接登录设备的宁静问题。

实现网络设备AAA管理，解决网络中心多种类型设备统一认证管理难题，通过简单的配置和集中的访问管理节省管理资源。

东森平台集团二十余年来一直深耕宁静领域，拥有深厚的核心技术沉淀及全面的数据宁静产物，而且立足于行业和社会需求，将自身技术手段与实际应用场景相结合，为企业数字化转型提供强有力的技术能力支撑，切实保障网络宁静建设与生长。

7*24小时服务热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

东森平台

网络宁静防护

网络宁静检测

应用宁静

数据宁静

宁静管理

云宁静

工控宁静

移动及终端宁静

密码应用宁静

专业宁静服务

宁静运营中心

知白学院

威胁情报中心

宁静通报

研究陈诉

宁静团队

渠道体系

售后服务

升级通告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系东森平台

关于东森平台