Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Sütun adı: Kimlikleri ve sırları koruma
Şablon adı: Kimlik avına dayanıklı MFA
Kimlik avına dayanıklı çok faktörlü kimlik doğrulaması (MFA), kimlik doğrulamasını sağlamlaştırmaya, yönetilmeyen kimlik bilgilerini ortadan kaldırmaya, Sıfır Güven ilkelerini zorlamaya ve şifreleme anahtarlarını korumaya odaklanan Güvenli Gelecek Girişimi'nin (SFI) kimlikleri ve gizli dizileri koruma sütununun bir parçasıdır. Kimliğin doğrulanabilir olmasını, erişimin hesap verebilir olmasını ve gizli bilgilerin dijital ortam genelinde sıkı bir şekilde savunulmasını sağlar.
Bağlam ve sorun
SMS kodları, e-posta tabanlı OTP'ler ve anında iletme bildirimleri gibi geleneksel MFA yöntemleri günümüzün saldırganlarına karşı daha az etkili hale geliyor. Gelişmiş kimlik avı kampanyaları, ikinci faktörlerin ele geçirilebileceğini veya taklit edilebileceğini göstermiştir. Saldırganlar artık bu mekanizmaları atlamak için sosyal mühendislik, ortadaki adam taktikleri ve kullanıcı yorgunluğundan (örneğin MFA bombalama) yararlanıyor. Hibrit iş gücü ve çeşitli cihaz ekosistemlerine sahip dağıtılmış, bulut öncelikli kuruluşlarda bu riskler artırılır.
Geleneksel MFA artık yeterli değildir; kimlik avına dayanıklı MFA yeni temeldir.
Çözüm
Bu zorlukları gidermek için Microsoft, Güvenli Gelecek Girişimi kapsamında kimlik avına dayanıklı MFA hedefini başlattı. Amaç: Kullanıcı hesaplarının %100'ü güvenli bir şekilde yönetilen, kimlik avına dayanıklı çok faktörlü kimlik doğrulama ile şirket genelinde kimlik avına dayanıklı MFA'ya geçiş sağlamaktır.
Bu dönüştürme, aşağıdakiler üzerine oluşturulmuş aşamalı bir dağıtım aracılığıyla uygulandı:
- Geçiş anahtarlarının kullanımı (FIDO2 güvenlik anahtarları, Microsoft Authenticator uygulaması, işletmeler için Windows Hello, macOS Platform SSO Güvenli Yuva vb.)
- Sahip olunan, bağlı kiracılar arasında Koşullu Erişim uygulanması
- Senaryoya ve gereksinimlere bağlı olarak kullanıcı tabanlı otomasyonu (hizmet hesapları) tanımlama ve iş yükü kimliklerine geçirme
- Güçlü işe alım korumaları, Geçici Erişim Geçişi (TAP) ve NIST SP 800-63-4 ile uyumlu video tabanlı kimlik doğrulamasını içermektedir.
Microsoft ayrıca, kimlik avına dayanıklı MFA'yı çalışan yaşam döngüsünün her aşamasına entegre etti; onboarding, geçişler ve devre dışı bırakma iş akışlarına dahil edilmesiyle aşağıdaki sonuçlar elde edildi:
- Çalışan üretkenliği hesaplarının 92% kimlik avına dayanıklı kimlik doğrulama yöntemleriyle korunuyor
- Dış kullanıcı erişiminin güvenliği kimlik avına dayanıklı kimlik bilgileriyle sağlanır.
- Büyük ölçekte uzaktan ekleme, yüksek güvenceli kimlik doğrulaması ile sağlanır.
Yönerge
Kuruluşlar aşağıdaki eyleme dönüştürülebilir uygulamaları kullanarak benzer bir desen benimseyebilir:
| Kullanım örneği | Önerilen eylem | Kaynak |
|---|---|---|
| İş yükü kimlikleri | Kullanıcı tabanlı otomasyonu (hizmet hesapları) belirleyin ve iş yükü kimliklerine geçirin veya sertifika tabanlı kimlik doğrulamasını kullanmayı göz önünde bulundurun. | İş yükü kimlikleri nelerdir? |
| Zamana bağlı kimlik bilgileri | İşe alım ve kurtarma süreçlerini zamana bağlı kimlik bilgileriyle güvenli hale getirmek için geçici erişim yetkilerini (TAP) kullanın. | Geçici Erişim Geçişini Yapılandırma |
| Güvenli Kurulum | Sahte erişimi önlemek için video doğrulama ve canlılık algılamayı kullanın. | Yüz canlılığı algılama |
| Daha güçlü kimlik doğrulama yöntemleri | FIDO2 veya parola anahtarı çözümleri dağıtarak kimlik avı yapılamayan veya tekrar kullanılamayan kimlik doğrulama yöntemlerine öncelik verin. |
FIDO2 nedir? Parolasız dağıtım kılavuzu |
| Koşullu Erişim | Koşullu Erişim İlkeleri'ni kullanarak oturum açma ilkelerini tüm kiracılar ve ortamlar arasında hizalayın. | Koşullu Erişim ilkesi şablonları |
| Kullanıcı Yaşam Döngüsü İş Akışları | Kimlik avı saldırılarına dayanıklı kimlik bilgilerini kaydetmek için kullanıcı Yaşam Döngüsü İş Akışları uygulayın. | Yaşam döngüsü iş akışları nedir? |
| Özelleştirilmiş mantığa göre TAP kimlik bilgileri oluşturun. Her kullanıcı aşamasında güvenli MFA kaydının ve devre dışı bırakmanın gerçekleştiğine emin olun. | Yaşam Döngüsü İş Akışı yerleşik görevleri |
Fayda -ları
- Kimlik avına karşı güçlü savunma: En yaygın risk vektörlerini ortadan kaldırır.
- Azaltılmış kullanıcı etkileşimi: Şifreleme anahtarları erişimi kolaylaştırır ve yorgunluğu azaltır.
- Ölçeklenebilir kimlik güvenliği: Platformlar, kullanıcı türleri ve coğrafyalar arasında çalışır.
- İyileştirilmiş kurtarma ve destek: TAP ve yaşam kanıtı doğrulaması, güvenli yeniden kimlik doğrulaması sağlar.
- Kiracılar için yükseltilmiş temel: Tutarlı Koşullu Erişim ilkeleri hem iç hem de dış kimlikler için güvenliği yükseltir.
Dengelemeler
- Cihaz sağlama karmaşıklığı: Hem yerinde hem de uzak kullanıcılara dağıtılması gereken donanım anahtarları ve parola anahtarları.
- Platform ayrımları: Bazı işletim sistemlerinde geçiş anahtarları için sınırlı yerel destek, mühendislik geçici çözümleri gerektirebilir.
- Kullanıcı deneyimi ayarlaması: Davranışların değiştirilmesi, benimsemeyi sağlamak için eğitim ve iletişim gerektirir.
- Daha fazla uygulama çabası: Kimlik altyapısı modernleştirmesi, koşullu ilkeler ve segmentlere ayrılmış dağıtımlar için destek proje kapsamı ekler.
Önemli başarı faktörleri
Başarıyı izlemek için aşağıdakileri ölçün:
- Kimlik avına dayanıklı MFA ile korunan kullanıcıların yüzdesi
- Kimlik avına dayanıklı yöntemler gerektiren oturum açma işlemleri yüzdesi
- Güvenli kimlik doğrulama iş akışlarıyla eklenen hesapların yüzdesi (örneğin, TAP + gerçeklik kontrolü)
- Kiracılar arasında Koşullu Erişim politikalarının uygulama kapsamı
- MFA yorgunluğu veya kilitlenmeleriyle ilgili destek biletlerinde azalma
- Olay sonrası yeni kimlik bilgilerini güvenli bir şekilde benimseme süresi
- Uygulamaların envanterini çıkart ve kimlik doğrulaması için Entra kullanarak uygulamaları taşı.
Özet
Kimlik avına dayanıklı MFA artık isteğe bağlı değildir; kimlik bilgileri tabanlı saldırı riskini azaltmak için gereklidir. Microsoft, güvenlik açığı bulunan MFA yöntemlerini kimlik avına dayanıklı çözümlerle değiştirerek hem kimlik güvenliğini hem de kullanıcı güvenini ilerletmektedir. Kuruluşlar, kendi ortamlarını günümüzün en yaygın kimlik tehditlerine karşı korumak için bu modeli çoğaltabilir.
Kimlik avına dayanıklı MFA uygulayarak, kuruluşunuzun kimlik bilgileri tabanlı saldırılara maruz kalmasını azaltabilirsiniz.