Microsoft har tagit bort ett viktigt hinder för organisationer som vill distribuera nätfiske-resistent multifaktorautentisering (MFA) genom att aktivera certifikatbaserad autentisering (CBA) i Azure Active Directory.
Utgivningen av CBA i Azure AD, tillkännagavs under förra månadens Microsoft Ignite-konferens, lovar att bana väg för stora företag att migrera sina lokala Active Directory-implementationer till molnet. Det är ett drag Microsoft uppmuntrar företag att vidta för att skydda sina organisationer från nätfiskeattacker.
Vidare tog Microsoft den här veckan det första steget mot att möjliggöra nätfiske-resistent MFA på medarbetarägda iOS- och Android-enheter utan att kräva att IT installerar användarcertifikat. Specifikt utfärdade Microsoft på onsdagen en förhandsversion av Azure AD med CBA-stöd på mobila enheter med säkerhetsnycklar från Yubico.
Uppfyller federala standarder
CBA-kapacitet i Azure AD är omedelbart avgörande för federala myndigheter, som står inför en deadline i mars 2024 för att distribuera nätfiske-resistent MFA i enlighet med USA:s president Joe Bidens 2021 Executive Order (14028) om förbättring av nationens cybersäkerhet.
Den verkställande ordern ger alla federala myndigheter och de som de gör affärer med att gå över till ZTA-säkerhet (zero trust architecture). Nätfiske-resistent MFA är ett krav som beskrivs i den uppföljande vägledningen, Memorandum MB-22-09, utfärdat tidigt detta år av US Office of Budget and Management (OMB).
OMB:s memorandum specificerar att alla civila och underrättelsetjänster implementerar molnbaserade identitetsarkitekturer som är resistenta mot nätfiske. Det innebär att eliminera äldre MFA-lösningar som angripare kan kompromissa, inklusive SMS och engångslösenord (OTP) baserad autentisering mottaglig för nätfiskeattacker.
Sms-nätfiskeattacker, även kallade "smishing", är bedrägliga textmeddelanden som verkar legitima, och uppmanar offren att ange personlig information på en falsk webbplats. "Smishing har blivit alltmer en meningsfull attackvektor; Jag ser det hela tiden, säger Andrew Shikiar, verkställande direktör för FIDO Alliance.
Utöver federala myndigheter och entreprenörer har förhindrande av nätfiske från MFA-bypass-attacker blivit avgörande för alla företag. I år har MFA-reläattackerna eskalerat; till exempel, i augusti-kompromissen av Twilios brett använda MFA-tjänst, uppmanade angriparna omedvetna användare att dela sina Okta-uppgifter.
Experter räknar med att sådana attacker kommer att öka nästa år. "Jag tror att social ingenjörskonst och MFA-bypass-attacker kommer att fortsätta att växa under 2023, där några andra stora tjänsteleverantörer drabbas av meningsfulla intrång som vi gjorde i år", säger Shikiar.
Flytta från ADFS till Azure AD
Microsoft betonade att CBA i Azure AD är avgörande för att bana väg för federala statliga myndigheter att följa presidentens verkställande order. CBA tillhandahåller en migreringsväg från lokala Active Directory Federation Services (ADFS) till den molnbaserade Azure AD.
Nu när CBA är tillgängligt i Azure AD kan organisationer använda den molnbaserade versionen av Active Directory för att kräva att användare loggar in direkt från alla Microsoft Office- och Dynamics-program och vissa tredjepartsappar, vilket kommer att autentisera dem med en organisations infrastruktur för publika nyckel (PKI) med X.509-certifikat. X.509-certifikatet gör applikationer resistenta mot nätfiske eftersom varje användare och enhet har sitt unika certifikat.
Hittills har organisationer som valt att implementera CBA i molnet varit tvungna att använda tredjepartsautentiseringstjänster för att upprätthålla certifikatpolicyer. "Vad Microsoft gör är att undanröja hindret för att behöva ha en separat tjänst, och mellan dig och molnet, de stödjer det inbyggt", säger Derek Hanson, VP för lösningsarkitektur och standarder på Yubico.
"Detta tar bort den sista stora blockeraren för er som vill flytta alla era identiteter till molnet", sa Joy Chik, ordförande för Microsofts identitets- och nätverksåtkomstavdelning, under en session på företagets Ignite-konferens.
Chik betonade att anslutning av applikationer till Azure AD banar väg för att avveckla lokal ADFS, som organisationer vanligtvis använder för att aktivera PKI. De flesta organisationer har dock förlitat sig på ADFS i decennier, och att migrera till Azure AD är ett komplext drag. Ändå sa Chik att det är nödvändigt. "ADFS har blivit en primär attackvektor", sa hon.
De flesta företag som använder X.509 för autentisering förlitar sig faktiskt på federerade servrar – och i de flesta fall betyder det ADFS. Doug Simmons, verkställande direktör och främsta konsultanalytiker på TechVision Research, uppskattar att minst 80 % till 90 % av företagen använder ADFS.
"Jag känner verkligen inte till några organisationer som inte använder ADFS," säger Simmons. Nu när CBA är tillgängligt i Azure AD, samtycker Simmons till att organisationer kommer att börja migrera från ADFS. "Jag tror att de sannolikt kommer att genomföra migreringen inom de kommande två åren", säger han.
Att uppfylla regeringsmandaten
Under det senaste året sa Chik att Microsoft har lagt till mer än 20 funktioner för att säkerställa att alla kritiska autentiseringsfunktioner i ADFS är tillgängliga i Azure AD. "Certifikatbaserad autentisering är avgörande för kunder i reglerade branscher," sa Chik. Men hon tillade, "Detta inkluderar amerikanska federala myndigheter, som måste distribuera phishing-resistent MFA för att följa Vita husets verkställande order om cybersäkerhet."
Simmons noterar att det är avgörande att möjliggöra för byråer att uppfylla detta mandat för att Microsoft ska behålla och utöka regeringsinstallationer, särskilt byråer som kräver autentisering som följer FIPS 140- och FIDO2-standarderna. "Vad jag förstår behöver Microsoft Azure för att ligga före FedGov-spelet eller riskera att bli omkörd ytterligare av Google, AWS och andra," förklarar Simmons. "Så detta skulle vara nödvändigt för att visa efterlevnad och fullt integrerat stöd."
Tidigare i år, Microsoft lanserade Entra, en plattform för identitets- och åtkomsthantering (IAM) förankrad av Azure Active Directory och använder andra verktyg, inklusive behörighetshantering, verifierat ID, arbetsbelastningsidentiteter och identitetsstyrning.
"Med Entra gör de en betydande investering i administrativ säkerhet för flera moln," tillägger Simmons. "Multicloud är nyckeln eftersom de inser att världen inte tar slut med Azure. Faktum är att de flesta av deras kunder – och förmodligen alla våra kunder – har de tre stora molnen i produktionen. För att bättre säkra cross-cloud admin måste de göra stark autentisering tillgänglig för de privilegierade användarna, som kan vara utvecklare och administratörer. Att bara stödja telefonbaserad push MFA är inte tillräckligt för vissa organisationer, särskilt när det kommer till den amerikanska regeringen och försvaret.”
Tillför Azure AD CBA-stöd till mobila enheter
Microsofts lansering denna vecka av den offentliga förhandsvisningen av Azure AD CBA-stöd på iOS- och Android-enheter möjliggör användning av certifikat på hårdvarusäkerhetsnycklar, från början Yubicos YubiKey. Microsofts chef för identitetssäkerhet Alex Weinert meddelade releasen i ett kort blogginlägg.
"Med Bring Your Own Device (BYOD) på uppgång kommer den här funktionen att ge dig möjligheten att kräva nätfiske-resistent MFA på mobil utan att behöva tillhandahålla certifikat på användarens mobila enhet", skrev Weinert.
Yubico, som ledde utvecklingen av FIDO-autentiseringsstandarderna, samarbetade med Microsoft för att aktivera sina YubiKeys, den första FIPS-certifierade, nätfiske-resistenta autentiseringsenheten som för närvarande är tillgänglig för Azure AD på mobilen. I slutändan kommer entreprenörer och US Department of Defense personal att kunna bädda in sina DoD gemensamma åtkomstkort (CAC) och personlig identitetsverifiering (PIV) kort till sina mobila enheter.
"CBA är för närvarande den enda formen av nätfiske-resistent autentisering inom Azure som stöds på mobila enheter, vilket är en viktig faktor för en organisation när man bestämmer sig för vilket schema man ska använda", säger Yubicos lösningsarkitekt Erik Parkkonen i ett blogginlägg. Förutom att ta några konfigurationssteg inom Azure AD och installera Microsoft Authenticator-appen på Android or iOS / iPadOSmåste användare installera Yubico Authenticator-appen på mobila enheter.
Användare måste sedan installera sin personliga identitetsverifiering (PIV) oberoende av Azure-lösningen, noterade Parkkonen. Vidare kan administratörer distribuera Microsofts senaste autentiseringspolicyer för villkorad åtkomst för att upprätthålla CBA. Microsoft förra veckan släppte en förhandsvisning av de nya styrkorna för villkorlig åtkomst-autentisering.
