أزالت Microsoft عقبة رئيسية تواجه المنظمات التي تسعى إلى نشر مصادقة متعددة العوامل مقاومة للتصيد الاحتيالي (MFA) من خلال تمكين المصادقة القائمة على الشهادة (CBA) في Azure Active Directory.
تم الإعلان عن إصدار CBA في Azure AD خلال الشهر الماضي مؤتمر Microsoft Ignite، يعد بتمهيد الطريق للمؤسسات الكبيرة لترحيل تطبيقات Active Directory المحلية الخاصة بهم إلى السحابة. إنها خطوة تشجع Microsoft الشركات على التعهد بها لحماية مؤسساتها من هجمات التصيد الاحتيالي.
علاوة على ذلك ، اتخذت Microsoft هذا الأسبوع الخطوة الأولى نحو تمكين MFA المقاوم للتصيد الاحتيالي على أجهزة iOS و Android المملوكة للموظفين دون الحاجة إلى تكنولوجيا المعلومات لتثبيت شهادات المستخدم. على وجه التحديد ، أصدرت Microsoft يوم الأربعاء إصدار معاينة لـ Azure AD مع دعم CBA على الأجهزة المحمولة باستخدام مفاتيح الأمان من Yubico.
تلبية المعايير الفيدرالية
تعد قدرة CBA في Azure AD أمرًا بالغ الأهمية للوكالات الحكومية الفيدرالية ، التي تواجه الموعد النهائي في مارس 2024 لنشر MFA المقاوم للتصيد الاحتيالي وفقًا لرئيس الولايات المتحدة جو بايدن 2021 الأمر التنفيذي رقم (14028) بشأن تحسين الأمن السيبراني للأمة.
يوجه الأمر التنفيذي جميع الوكالات الحكومية الفيدرالية وتلك التي تتعامل معها للانتقال إلى أمان البنية الصفرية للثقة (ZTA). MFA المقاوم للتصيد الاحتيالي هو مطلب مفصل في إرشادات المتابعة ، مذكرة MB-22-09، صدر في وقت مبكر من هذا العام عن مكتب الميزانية والإدارة في الولايات المتحدة (OMB).
تحدد مذكرة OMB أن جميع الوكالات المدنية والاستخباراتية تنفذ بنى هوية قائمة على السحابة مقاومة للتصيد الاحتيالي. وهذا يعني القضاء على حلول MFA القديمة التي يمكن للمهاجمين اختراقها ، بما في ذلك المصادقة المستندة إلى الرسائل النصية القصيرة وكلمة المرور لمرة واحدة (OTP) المعرضة لهجمات التصيد الاحتيالي.
هجمات التصيد عبر الرسائل النصية القصيرة ، والتي تسمى أيضًا "التصيد الاحتيالي" ، هي رسائل نصية احتيالية تبدو مشروعة ، وتوجه الضحايا إلى إدخال معلومات شخصية في موقع ويب مزيف. "لقد تحول التصيد الاحتيالي بشكل متزايد إلى وسيلة هجوم ذات مغزى ؛ يقول أندرو شيكيار ، المدير التنفيذي لـ تحالف FIDO.
بعيدًا عن الوكالات الفيدرالية والمقاولين ، أصبح منع التصيد الاحتيالي من هجمات تجاوز MFA أمرًا بالغ الأهمية لجميع المؤسسات. هذا العام ، تصاعدت هجمات ترحيل MFA ؛ على سبيل المثال ، في تسوية أغسطس لخدمة MFA المستخدمة على نطاق واسع في Twilio ، حث المهاجمون المستخدمين غير الراغبين على مشاركة بيانات اعتماد Okta الخاصة بهم.
ويتوقع الخبراء أن مثل هذه الهجمات سترتفع العام المقبل. يقول شيكيار: "أعتقد أن هجمات الهندسة الاجتماعية وتجاوز MFA ستستمر في النمو في عام 2023 ، حيث يعاني بعض مزودي الخدمات الرئيسيين الآخرين من انتهاكات ذات مغزى كما فعلنا هذا العام".
الانتقال من ADFS إلى Azure AD
أكدت Microsoft أن CBA في Azure AD أمر بالغ الأهمية في تمهيد الطريق أمام الوكالات الحكومية الفيدرالية للامتثال للأمر التنفيذي للرئيس. يوفر CBA مسار ترحيل من خدمات اتحاد الدليل النشط المحلية (ADFS) إلى Azure AD المستندة إلى مجموعة النظراء.
الآن بعد أن أصبح CBA متاحًا في Azure AD ، يمكن للمؤسسات استخدام الإصدار المستند إلى السحابة من Active Directory لمطالبة المستخدمين بتسجيل الدخول مباشرةً من جميع برامج Microsoft Office و Dynamics وبعض تطبيقات الجهات الخارجية ، والتي ستصادقهم مع البنية التحتية للمفتاح العام للمؤسسة (PKI) باستخدام شهادات X.509. تجعل شهادة X.509 التطبيقات مقاومة للتصيد الاحتيالي لأن لكل مستخدم وجهاز شهادته الفريدة.
حتى الآن ، كان على المؤسسات التي تختار تنفيذ CBA في السحابة استخدام خدمات مصادقة تابعة لجهات خارجية لفرض سياسات الشهادة. يقول ديريك هانسون ، نائب رئيس هندسة الحلول والمعايير في Yubico: "ما تفعله Microsoft هو إزالة عقبة الاضطرار إلى الحصول على خدمة منفصلة ، وبينك وبين السحابة ، أنها تدعم ذلك محليًا".
قال جوي تشيك ، رئيس قسم الهوية والوصول إلى الشبكة في Microsoft ، خلال جلسة في مؤتمر Ignite للشركة: "يؤدي هذا إلى إزالة آخر أداة حظر رئيسية لأولئك الذين يرغبون في نقل جميع هوياتك إلى السحابة".
أكد Chik أن توصيل التطبيقات بـ Azure AD يمهد الطريق لإلغاء ADFS المحلي ، والذي تستخدمه المؤسسات عادةً لتمكين PKI. ومع ذلك ، فقد اعتمدت معظم المؤسسات على ADFS لعقود من الزمن ، ويعد الترحيل إلى Azure AD خطوة معقدة. ومع ذلك ، قال تشيك إنه ضروري. وقالت: "لقد أصبح ADFS ناقلًا رئيسيًا للهجوم".
في الواقع ، تعتمد معظم الشركات التي تستخدم X.509 للمصادقة على الخوادم الموحدة - وهذا يعني في معظم الحالات ADFS. دوج سيمونز ، العضو المنتدب والمحلل الاستشاري الرئيسي في أبحاث TechVision، يقدر أن ما لا يقل عن 80٪ إلى 90٪ من الشركات تستخدم ADFS.
يقول سيمونز: "لا أعرف حقًا أي منظمة لا تستخدم ADFS". الآن بعد أن أصبح CBA متاحًا في Azure AD ، يوافق Simmons على أن تبدأ المؤسسات عملية الترحيل من ADFS. وهو يقول: "أعتقد أنهم من المرجح أن يقوموا بالهجرة في غضون العامين المقبلين".
أداء التفويضات الحكومية
قال Chik خلال العام الماضي ، إن Microsoft قد أضافت أكثر من 20 قدرة لضمان توفر جميع إمكانات المصادقة الهامة في ADFS في Azure AD. قال تشيك: "المصادقة القائمة على الشهادة أمر بالغ الأهمية للعملاء في الصناعات المنظمة". لكنها أضافت: "يشمل ذلك الوكالات الفيدرالية الأمريكية ، التي يجب أن تنشر وزارة الخارجية المقاومة للتصيد الاحتيالي للامتثال للأمر التنفيذي للبيت الأبيض بشأن الأمن السيبراني".
يلاحظ سيمونز أن تمكين الوكالات من الوفاء بهذا التفويض أمر بالغ الأهمية لشركة Microsoft للاحتفاظ بعمليات النشر الحكومية وتوسيعها ، وخاصة الوكالات التي تتطلب مصادقة تتوافق مع معايير FIPS 140 و FIDO2. يوضح Simmons: "وفقًا لما أفهمه ، تحتاج Microsoft إلى Azure للبقاء في صدارة لعبة FedGov أو المخاطرة بالتغلب عليها من قِبل Google و AWS وغيرها". "لذلك ، سيكون هذا ضروريًا لإثبات الامتثال المذكور والدعم المتكامل تمامًا."
في وقت سابق من هذا العام، أطلقت Microsoft Entra، وهو نظام أساسي لإدارة الهوية والوصول (IAM) مثبت بواسطة Azure Active Directory ويستخدم أدوات أخرى ، بما في ذلك إدارة الأذونات ، والمعرف الذي تم التحقق منه ، وهويات حمل العمل ، وإدارة الهوية.
ويضيف سيمونز: "مع Entra ، يقومون باستثمار كبير في الأمان الإداري متعدد السحابة". "تعد Multicloud مفتاحًا لأنهم يدركون أن العالم لا ينتهي بـ Azure. في الواقع ، فإن معظم عملائهم - وربما جميع عملائنا - لديهم السحب الثلاث الكبرى في الإنتاج. لتأمين مسؤول عبر السحابة بشكل أفضل ، يجب عليهم إتاحة مصادقة قوية للمستخدمين المتميزين ، الذين يمكن أن يكونوا مطورين ومسؤولين. إن مجرد دعم MFA القائم على الهاتف ليس كافيًا لبعض المنظمات ، لا سيما عندما يتعلق الأمر بالحكومة والدفاع في الولايات المتحدة ".
جلب دعم Azure AD CBA إلى الأجهزة المحمولة
يتيح إصدار Microsoft هذا الأسبوع للمعاينة العامة لدعم Azure AD CBA على أجهزة iOS و Android استخدام الشهادات على مفاتيح أمان الأجهزة ، في البداية Yubico's YubiKey. أعلن مدير أمن الهوية في Microsoft Alex Weinert عن إطلاق سراحه في منشور موجز للمدونة.
كتب وينيرت: "مع زيادة إحضار جهازك الخاص (BYOD) ، ستمنحك هذه الميزة القدرة على طلب MFA المقاوم للتصيد الاحتيالي على الهاتف المحمول دون الحاجة إلى توفير شهادات على جهاز المستخدم المحمول".
عملت Yubico ، التي قادت تطوير معايير مصادقة FIDO ، مع Microsoft لتمكين YubiKeys الخاصة بها ، وهي أول أداة مصادقة معتمدة من FIPS ومقاومة للتصيد الاحتيالي متوفرة حاليًا لـ Azure AD على الهاتف المحمول. في نهاية المطاف ، سيتمكن المتعاقدون وأفراد وزارة الدفاع الأمريكية من تضمين بطاقات الوصول الشائعة لوزارة الدفاع (CAC) و بطاقات التحقق من الهوية الشخصية (PIV) في أجهزتهم المحمولة.
قال إريك بارككونن ، مهندس حلول Yubico في بلوق وظيفة. بالإضافة إلى أخذ بعض خطوات التكوين داخل Azure AD وتثبيت تطبيق Microsoft Authenticator على أندرويد or iOS / iPadOS، يجب على المستخدمين تثبيت تطبيق Yubico Authenticator على الأجهزة النقالة.
يجب على المستخدمين بعد ذلك تثبيت بيانات اعتماد التحقق من الهوية الشخصية (PIV) بشكل مستقل عن حل Azure ، كما أشار بارككونين. علاوة على ذلك ، يمكن للمسؤولين نشر أحدث سياسات قوة مصادقة الوصول المشروط من Microsoft لفرض CBA. مايكروسوفت صدر الأسبوع الماضي المعاينة من إمكانيات قوة مصادقة الوصول المشروط الجديدة.
