Основные восемь многофакторной проверки подлинности
В этой статье подробно описаны методы достижения модели зрелости в Рамках Австралийского центра кибербезопасности (ACSC) Essential Eight для многофакторной проверки подлинности с помощью платформа удостоверений Майкрософт.
MFA — это один из наиболее эффективных средств, которые организация может реализовать, чтобы предотвратить получение злоумышленником доступа к устройству или сети и доступ к конфиденциальной информации. При правильной реализации MFA злоумышленник может затруднить кражу допустимых учетных данных для дальнейших вредоносных действий в сети. Благодаря своей эффективности MFA является одним из основных восьми из стратегий ACSC по устранению инцидентов кибербезопасности для устранения инцидентов кибербезопасности.
Злоумышленники часто пытаются украсть законные учетные данные пользователя или администратора при компрометации сети. Эти учетные данные позволяют им легко распространяться по сети и выполнять вредоносные действия без других эксплойтов, что снижает вероятность обнаружения. Злоумышленники также пытаются получить учетные данные для решений удаленного доступа, включая виртуальные частные сети (VPN), так как эти доступы могут дополнительно маскировать свои действия и снизить вероятность обнаружения.
При правильной реализации MFA злоумышленнику сложнее украсть полный набор учетных данных. Для многофакторной проверки подлинности пользователь должен доказать, что у него есть физический доступ ко второму фактору. То, что у них есть (физический маркер, смарт-карта, телефон или программный сертификат) или являются (биометрические данные, такие как отпечаток пальца или сканирование радужной оболочки).
Модель acSC Essential Восемь Зрелость для многофакторной проверки подлинности основана на специальной публикации Национального института стандартов и технологий (NIST) 800-63 B Digital Identity Guidelines: Authentication and Lifecycle Management( 800-63 B Digital Identity Guidelines: Authentication and Lifecycle Management ).
В следующих статьях описаны основные понятия многофакторной проверки подлинности и способы сопоставления типов средств проверки подлинности NIST с Microsoft Entra методами проверки подлинности.
- Основы проверки подлинности NIST
- Типы средств проверки подлинности NIST и выровненные Microsoft Entra методами проверки подлинности
ACSC обращается к типам аутентификаторов в разделе Основные восемь часто задаваемых вопросов о реализации модели зрелости, касающихся многофакторной проверки подлинности (MFA).
- Windows Hello для бизнеса использует биометрию (то, что пользователи) или ПИН-код (что-то известно пользователям). Разблокировка ключа или сертификата, привязанного к доверенному модулю платформы устройства (что есть у пользователей). Дополнительные сведения см. в Windows Hello для бизнеса Обзор.
Дополнительные ссылки, касающиеся MFA от ACSC, приведены в статье Основные восемь ответов по модели зрелости , посвященной разделу 5.1.1–5.1.9 в публикации NIST SP800-63 B Digital Identity Guidelines: Authentication and Lifecycle Management . В этих разделах содержатся дополнительные сведения о типах средств проверки подлинности. Эти типы можно использовать для того, что пользователи знают, что-то есть у пользователей и что-то такое, что пользователи могут быть разблокированы с помощью того, что пользователи знают или есть. AcSC содержит дополнительные рекомендации по реализации многофакторной проверки подлинности.
Все Microsoft Entra методы проверки подлинности, которые соответствуют уровням зрелости 2 и 3, используют криптографические средства проверки подлинности, которые привязывают выходные данные аутентификатора к конкретному сеансу, для которого выполняется проверка подлинности. Они выполняют эту привязку, используя закрытый ключ, контролируемый заявителем, для которого открытый ключ известен проверяющей. Это соответствует требованиям к устойчивости к фишингу для уровней зрелости 2 и 3.
Согласно NIST, аутентификаторы, которые включают ручной ввод выходных данных аутентификатора, таких как внеполосные и OTP (одноразовые контакты) аутентификаторы, НЕ должны считаться устойчивыми к олицетворению проверяющего. Причина заключается в том, что ручная запись не привязывает выходные данные средства проверки подлинности к конкретному сеансу, для которого выполняется проверка подлинности. При атаке "злоумышленник в середине" проверяющий может воспроизвести выходные данные проверки подлинности OTP в проверяющий объект и успешно пройти проверку подлинности.
В результате любой аутентификатор, который не криптографически проверяет, что сервер входа является тем, кто он говорит, что это, может быть фишингом.
Сводка основных типов средств проверки подлинности, разрешенных на каждом уровне зрелости.