Microsoftova avtentikacija na podlagi potrdila omogoča MFA, odporen proti lažnemu predstavljanju

Microsoft je odstranil ključno oviro, s katero se soočajo organizacije, ki želijo uvesti proti lažnemu predstavljanju odporno večfaktorsko avtentikacijo (MFA), tako da omogoči avtentikacija na podlagi potrdila (CBA) v Azure Active Directory.

Izdaja CBA v Azure AD, objavljena prejšnji mesec Konferenca Microsoft Ignite, obljublja, da bo utrl pot velikim podjetjem za selitev svojih lokalnih implementacij Active Directory v oblak. To je poteza, s katero Microsoft spodbuja podjetja, da se lotijo ​​zaščite svojih organizacij pred lažnim predstavljanjem.

Poleg tega je Microsoft ta teden naredil prvi korak k omogočanju MFA, odpornega proti lažnemu predstavljanju, na napravah iOS in Android, ki so v lasti zaposlenih, ne da bi moral IT namestiti uporabniška potrdila. Natančneje, Microsoft je v sredo izdal predogled izdaje Azure AD s podporo za CBA na mobilnih napravah, ki uporabljajo varnostne ključe podjetja Yubico.

Izpolnjevanje zveznih standardov

Zmogljivost CBA v Azure AD je takoj kritična za zvezne vladne agencije, ki se soočajo z rokom marca 2024 za uvedbo MFA, odpornega proti lažnemu predstavljanju, v skladu z 2021 ameriškega predsednika Joeja Bidna Izvršni ukaz (14028) o izboljšanju kibernetske varnosti države.

Izvršni ukaz narekuje vsem zveznim vladnim agencijam in tistim, s katerimi posluje, da preidejo na varnost z arhitekturo ničelnega zaupanja (ZTA). MFA, odporen proti lažnemu predstavljanju, je zahteva, podrobno opisana v nadaljnjih navodilih, Memorandum MB-22-09, ki ga je v začetku tega leta izdal Urad ZDA za proračun in upravljanje (OMB).

Memorandum OMB določa, da vse civilne in obveščevalne agencije izvajajo identitetne arhitekture v oblaku, ki so odporne proti lažnemu predstavljanju. To pomeni odpravo podedovanih rešitev MFA, ki jih napadalci lahko ogrozijo, vključno s preverjanjem pristnosti na podlagi sporočil SMS in enkratnega gesla (OTP), ki je dovzetno za lažno predstavljanje.

Napadi lažnega predstavljanja SMS, imenovani tudi »smishing«, so goljufiva besedilna sporočila, ki se zdijo legitimna in žrtve usmerjajo k vnosu osebnih podatkov na lažno spletno mesto. »Smishing se vse bolj spreminja v pomemben napadalni vektor; To vidim ves čas,« pravi Andrew Shikiar, izvršni direktor podjetja Zavezništvo FIDO.

Poleg zveznih agencij in izvajalcev je preprečevanje lažnega predstavljanja zaradi obvodnih napadov MFA postalo ključno za vsa podjetja. Letos so se napadi releja MFA stopnjevali; na primer, v avgustovskem kompromisu široko uporabljene storitve MFA Twilio so napadalci nevede uporabnike pozvali, naj delijo svoje poverilnice Okta.

Strokovnjaki predvidevajo, da se bodo takšni napadi naslednje leto povečali. »Mislim, da bodo napadi socialnega inženiringa in obvodov MFA še naprej rasli v letu 2023, ko bodo nekateri drugi večji ponudniki storitev utrpeli pomembne kršitve, kot smo mi letos,« pravi Shikiar.

Prehod z ADFS na Azure AD

Microsoft je poudaril, da je CBA v Azure AD ključnega pomena pri utiranju poti zveznim vladnim agencijam za izpolnjevanje predsednikovega izvršnega ukaza. CBA zagotavlja selitveno pot iz krajevnih storitev Active Directory Federation Services (ADFS) v Azure AD v oblaku.

Zdaj, ko je CBA na voljo v Azure AD, lahko organizacije uporabljajo različico Active Directory v oblaku, da od uporabnikov zahtevajo neposredno prijavo iz vseh programov Microsoft Office in Dynamics ter nekaterih aplikacij tretjih oseb, ki jih bodo overile z infrastrukturo javnih ključev organizacije. (PKI) z uporabo potrdil X.509. Certifikat X.509 naredi aplikacije odporne na lažno predstavljanje, ker ima vsak uporabnik in naprava svoje edinstveno potrdilo.

Do zdaj so morale organizacije, ki so se odločile za implementacijo CBA v oblaku, za uveljavljanje politik potrdil uporabljati storitve za preverjanje pristnosti tretjih oseb. »Microsoft odpravlja oviro, ki jo povzroča potreba po ločeni storitvi, in med vami in oblakom to podpira izvorno,« pravi Derek Hanson, podpredsednik za arhitekturo rešitev in standarde pri Yubicu.

»S tem odstranimo še zadnji večji blokator za tiste, ki želite vse svoje identitete premakniti v oblak,« je povedala Joy Chik, predsednica Microsoftovega oddelka za identiteto in dostop do omrežja, med sejo na konferenci podjetja Ignite.

Chik je poudaril, da povezovanje aplikacij z Azure AD utira pot za umik lokalnih ADFS, ki jih organizacije običajno uporabljajo za omogočanje PKI. Vendar se večina organizacij že desetletja zanaša na ADFS in prehod na Azure AD je zapletena poteza. Kljub temu je Chik rekel, da je to potrebno. "ADFS je postal primarni vektor napadov," je dejala.

Dejansko se večina podjetij, ki uporablja X.509 za preverjanje pristnosti, zanaša na zvezne strežnike - in v večini primerov to pomeni ADFS. Doug Simmons, generalni direktor in glavni svetovalni analitik pri TechVision Research, ocenjuje, da vsaj 80 % do 90 % podjetij uporablja ADFS.

»Resnično ne poznam nobene organizacije, ki ne uporablja ADFS,« pravi Simmons. Zdaj, ko je CBA na voljo v Azure AD, se Simmons strinja, da bodo organizacije začele postopek selitve iz ADFS. "Mislim, da bodo selitev verjetno izvedli v naslednjih dveh letih," pravi.

Izpolnjevanje mandatov vlade

V preteklem letu je Chik dejal, da je Microsoft dodal več kot 20 zmožnosti za zagotovitev, da so vse kritične zmožnosti preverjanja pristnosti v ADFS na voljo v Azure AD. "Preverjanje pristnosti na podlagi potrdil je ključnega pomena za stranke v reguliranih panogah," je dejal Chik. Vendar je dodala: "To vključuje zvezne agencije ZDA, ki morajo uvesti MFA, odporno proti lažnemu predstavljanju, da bi izpolnjevale izvršni ukaz Bele hiše o kibernetski varnosti."

Simmons ugotavlja, da je omogočanje agencijam, da izpolnijo ta mandat, ključnega pomena za Microsoft, da obdrži in razširi vladne uvedbe, zlasti agencije, ki zahtevajo avtentikacijo, ki je v skladu s standardoma FIPS 140 in FIDO2. »Kolikor razumem, Microsoft potrebuje Azure, da ostane pred igro FedGov ali tvega, da ga Google, AWS in drugi še naprej prehitevajo,« pojasnjuje Simmons. "Torej, to bi bilo potrebno za dokaz omenjene skladnosti in popolnoma integrirane podpore."

V začetku tega leta, Microsoft je predstavil Entro, platforma za upravljanje identitete in dostopa (IAM), ki je zasidrana v Azure Active Directory in uporablja druga orodja, vključno z upravljanjem dovoljenj, preverjenim ID-jem, identitetami delovne obremenitve in upravljanjem identitete.

"Z Entro veliko vlagajo v administrativno varnost v več oblakih," dodaja Simmons. »Multicloud je ključen, ker se zavedajo, da se svet ne konča z Azure. Pravzaprav ima večina njihovih strank – in verjetno vse naše stranke – velike tri oblake v proizvodnji. Za boljšo varnost skrbništva v oblaku morajo omogočiti močno avtentikacijo privilegiranim uporabnikom, ki so lahko razvijalci in skrbniki. Za nekatere organizacije ni dovolj samo podpiranje telefonskega push MFA, zlasti ko gre za ameriško vlado in obrambo.«

Uvajanje podpore za Azure AD CBA v mobilne naprave

Microsoftova izdaja javnega predogleda podpore za Azure AD CBA v napravah iOS in Android ta teden omogoča uporabo potrdil na varnostnih ključih strojne opreme, sprva Yubico YubiKey. Microsoftov direktor varnosti identitete Alex Weinert je napovedal izdajo v kratkem blogu.

»Ker je Bring Your Own Device (BYOD) v porastu, vam bo ta funkcija dala možnost, da zahtevate MFA, odporen proti lažnemu predstavljanju, na mobilniku, ne da bi morali zagotoviti potrdila na uporabnikovi mobilni napravi,« je zapisal Weinert.

Yubico, ki je vodil razvoj standardov za preverjanje pristnosti FIDO, je sodeloval z Microsoftom, da bi omogočil svoj YubiKeys, prvi overitelj pristnosti s certifikatom FIPS, odporen proti lažnemu predstavljanju, ki je trenutno na voljo za Azure AD na mobilnih napravah. Končno bodo izvajalci in osebje ameriškega ministrstva za obrambo lahko vgradili svoje DoD skupne kartice za dostop (CAC) in kartice za preverjanje osebne identitete (PIV). v svoje mobilne naprave.

"CBA je trenutno edina oblika avtentikacije, odporne proti lažnemu predstavljanju, znotraj Azure, ki je podprta v mobilnih napravah, kar je pomemben dejavnik za organizacijo, ko se odloča, katero shemo bo sprejela," je povedal arhitekt rešitev Yubico Erik Parkkonen v blog post. Poleg tega, da vzamete nekaj konfiguracijske korake znotraj Azure AD in namestitev aplikacije Microsoft Authenticator Android or iOS / iPadOS, morajo uporabniki namestiti Aplikacija Yubico Authenticator na mobilnih napravah.

Uporabniki morajo nato namestiti svojo poverilnico za preverjanje osebne identitete (PIV) neodvisno od rešitve Azure, je opozoril Parkkonen. Poleg tega lahko skrbniki uvedejo Microsoftove najnovejše pravilnike o moči preverjanja pristnosti pogojnega dostopa, da uveljavijo CBA. Microsoft prejšnji teden izdal predogled novih zmožnosti moči preverjanja pristnosti pogojnega dostopa.