top of page

頂尖企業首選:Okta 抗網釣 MFA 強化資安防線

2天前

已更新:1天前

文章來源 / Okta Official Blog


Okta 研究發現,雖然 MFA 採用的增長速度正在放緩,但 Okta FastPass 和 FIDO2 等防網路釣魚 MFA 方法的使用正在蓬勃發展。


總體而言,Okta 客戶熱衷於採用多因子身分驗證。截至 2024 年 1 月,Okta 的《2024 年安全登入趨勢報告》發現,91% 的 Okta 管理員和 66% 的 Okta 員工使用者使用 MFA 登錄應用程式。


根據《安全登入趨勢報告》,在員工身分驗證領域增長最快的因素是 Okta FastPass,該功能在 2023 年的使用者比例為 2%,到 2024 年增長至 6%;對於 Okta 管理員使用者,從 5% 增長至 13%。這意味著數百萬使用者已經實現了無密碼登入的夢想。超過 5% 的 Okta 平台使用者使用抗網釣、無密碼的身分驗證工具登入多次,且從未需要輸入密碼!


數據顯示,多重身分驗證(MFA)世界分為「擁有安全」與「缺乏安全」的兩極。為何有如此大比例的客戶為所有使用者採用抗網釣功能,而大多數企業組織仍然繼續使用密碼和一次性密碼(OTP)呢?


今年,Okta 資安部門進行了一項獨立研究,旨在揭示為何 FastPass 和 FIDO2 的增長速度遠快於其他登入方式的一些原因。


我們從實證中得知,這些登入方式對使用者來說更加方便:FastPass 可以在不到 4 秒內配置,提供一個擁有因子和生物辨識因子,這比將密碼與基於一次性密碼(OTP)的挑戰結合起來的速度快了好幾倍。我們還知道,許多監管機構和諮詢機構——例如美國網路安全與基礎設施安全局(CISA)澳洲網路安全中心(ACSC)——現在建議對於那些希望展示其對成熟安全計劃承諾的企業組織,採用抗網釣的多因子身分驗證(MFA)。


Okta 資安部門旨在探索是否面對大量對手的威脅,也能增加抗網釣因子的採用方面發揮作用。Okta 擁有獨特的優勢來提供這一洞察:


  • 我們擁有強大的數據基礎,因為多年來我們收集了 Okta Workforce Identity Cloud 上匿名化的多因子身分驗證(MFA)採用數據,這些數據會在每年的 Okta 安全登入趨勢報告中發佈。

  • 我們有可靠的方法來將網釣攻擊活動與特定攻擊者進行歸類和歸因。每天,Okta 資安部門會在我們發現模擬客戶登入頁面的網釣基礎設施時,通知大量客戶。迄今為止,我們已經發送了數千次通知,僅在過去三個月內就發送了接近 600 次通知。


有了這些數據,我們可以從一組統計學上具有顯著意義的客戶中挑選出,這些客戶我們已知曾被特定威脅攻擊者針對,並比較他們在首次受到攻擊之前與之後使用抗釣魚身分驗證器的註冊率。我們還可以將這些註冊率與整個員工身分雲服務的註冊率進行比較。我們的假設是,經常受到攻擊且經過多次實戰的企業組織,會隨著時間的推移選擇更強大的身分驗證工具。


我們選擇專注於 Scatter Swine 進行研究。Scatter Swine 是 Okta 在 2022 年為一個活躍的威脅攻擊者群體所定的名稱,這群攻擊者屬於一個更大範圍的攻擊者群體,其他企業組織稱之為 Scattered Spider、Muddled Libra 和 Octo Tempest。這些攻擊者一旦鎖定目標,便會發起大量攻擊行動,經常註冊多個網域並對數十甚至數百名員工發送 SMS 釣魚訊息。


我們的研究針對 2022 年至 2024 年初期間,曾被這一群體攻擊的 35 家企業,並測量他們在首次收到 Okta 通知即將遭受攻擊的那天之前與 2024 年 3 月期間,使用抗網釣身分驗證因子的採用率。


結果:

我們的假設基本上是正確的。


這些企業組織在抗網釣身分驗證因子的註冊率中位數已經達到 23%,是一般 Okta 客戶註冊率的兩倍多。許多這些企業組織是現代科技公司,通常在一開始就需要更強的安全控制措施。

一旦企業意識到自己正被積極針對,這些身分驗證工具的註冊率將從中位數23% 飆升至 95%。絕大多數企業從僅保護少數特權用戶的 FIDO2 驗證,轉變為將每個用戶都註冊於多種抗網調身分驗證工具。在許多企業組織中,儘管該企業組織已經將 100% 的用戶註冊到 Okta FastPass,仍然保持 FIDO2 硬體安全金鑰作為恢復金鑰。


那麼,這些高度被針對的企業組織與其他同業相比有什麼不同之處?


  • 他們更有可能使用 Log Streaming 實時獲取身分驗證日誌,這強烈暗示了他們對此類遙測資料的積極監控。

  • 他們更有可能自動化身分管理流程,並且擁有較多的 Okta Workflows(無代碼自動化)。

  • 他們更有可能啟用 Okta 中的基本防護功能,例如 ThreatInsight(該功能能有效防止高頻率攻擊)。


那麼,為何要等到被針對後才行動呢?攻擊者現在能輕易獲得可以繞過大多數基本 MFA 形式的工具,並以「as a service」的方式運行,進一步推動更高效的釣魚攻擊。


在這種環境下,我們相信所有企業組織都應該採用抗網釣身分驗證。我們的數據表明,無密碼、抗網釣身分驗證可以快速部署,並立即降低風險。


我們從客戶那裡得到的最佳反饋是,在強制執行抗網釣防護後,許多攻擊類型他們再也不需要擔心了。


了解更多有關常見釣魚方法、策略和目標,以及如何檢測和防止攻擊,請參閱我們的《網釣防護終極指南》。



相關文章

查看全部

コメント

bottom of page