Отказ от пароля O365 для повышения безопасности MFA

Как и уборка вашего гаража, — это много разговоров и мало действий. Ставки высоки как никогда: более 4 из 5 утечек данных используют украденные или слабые учетные данные. Многофакторная проверка подлинности (MFA) может снизить эффективность украденных учетных данных, но пока пароль остается в силе, MFA будет лишь маскировать общую проблему безопасности. Полное удаление пароля, даже с помощью MFA, является лучшей альтернативой для облачных приложений с высоким уровнем риска, таких как Office 365 (O365).

Для 120 миллионов активных пользователей O365 является хранилищем критически важных для бизнеса данных. Почти пятая часть этих данных находится в OneDrive и SharePoint. Он включает в себя все, от финансовых записей до номеров социального страхования и защищенной медицинской информации. Чтобы защитить O365, вам необходимо понимать все его различные векторы атак. К счастью, наиболее распространенные атаки имеют общую стратегию — ! Во многих организациях это их сотрудники, особенно те, у кого есть уязвимые учетные данные.

На форумах черного рынка торгуют почти 2 миллиардами имен пользователей и паролей, и все они могут быть проверены на O365 с различными вариантами. Несмотря на то, что существуют меры безопасности против атак грубой силы, злоумышленники могут обойти их, проявив некоторую изобретательность. Старшие сотрудники компаний из списка Fortune 2000 недавно стали объектом атак, исходящих от экземпляров, размещенных на платформах облачных сервисов. Злоумышленники скрывали свои догадки об именах пользователей с помощью стратегии: атаки проводились в течение нескольких месяцев и с использованием нескольких IP-адресов, чтобы избежать блокировок или обнаружения. Подтвердив имя пользователя, они попытались пройти аутентификацию одним нажатием на пароль — вероятно, они хорошо представляли, что это такое.

Не всем атакам нужен такой уровень сложности, чтобы добиться успеха. Классическая фишинговая электронная почта может принимать форму автоматического оповещения по электронной почте от Microsoft или документа для просмотра от коллеги. Как правило, он заставляет пользователя вводить свои учетные данные на вредоносной веб-странице, которая выглядит как страница входа в O365. Несмотря на параметры безопасности, такие как фильтрация на основе репутации Microsoft, вредоносные электронные письма проскальзывают. Фактически, недавний анализ 10,7 миллионов входящих электронных писем показал, что служба электронной почты O365 пропустила 34 077 фишинговых писем и 3900 вредоносных вложений. Они могут составлять небольшой процент от общего числа доставленных электронных писем, но это не умаляет риска или неудобств, которые они представляют. В конце концов, достаточно одного электронного письма, чтобы поставить под угрозу безопасность. Фишинг паролей и вредоносные кейлоггеры разработаны специально для кражи учетных данных, поэтому удаление пароля является эффективным барьером.

Будь то плацдарм грубой силы или более распространенная попытка фишинга, получение доступа только к одной учетной записи может привести к более сложным атакам. Скомпрометированные учетные записи — лучший способ запуска этих атак, поскольку мало внимания уделяется отслеживанию внутренней электронной почты. Недавнее исследование показало, что более двух третей организаций каждый месяц имеют как минимум одну скомпрометированную учетную запись.

Атаки на основе учетных данных можно предотвратить с помощью MFA. Это не значит, что не будет других уязвимостей, которые можно использовать. Возьмите комбинацию паролей и смс-кодов для МФА. Первый фактор по своей сути уязвим. Что касается SMS-кодов, хакеры с определенной решимостью могут обойти операторов беспроводной связи и перехватить или перенаправить коды. В какой-то момент Национальный институт стандартов и технологий (NIST) призвал отказаться от SMS, но позже смягчил рекомендацию в своих Руководящих принципах цифровой аутентификации.

Вам не нужен пароль или SMS-коды для достижения многофакторной идентификации в O365. Аутентификация Specops для O365 немного приближает нас к реальности без пароля. Разработанное для повышения безопасности, решение заменяет пароль поставщиками удостоверений с высоким уровнем доверия (Duo Security и Symantec VIP), приложениями для проверки подлинности (Google и Microsoft Authenticator) и даже биометрическим вариантом с использованием функции считывания отпечатков пальцев, встроенной в большинство смартфонов.

Естественно, с любым сторонним решением нужно учитывать, куда идут их данные. Переход звучит здорово, но не в том случае, если он создает большую поверхность для атаки. Specops Authentication устанавливается внутри вашей Active Directory и хранит пользовательские данные локально. Групповая политика управляет разрешениями, избавляя от необходимости дублировать или сопоставлять ваш каталог с дополнительными системами.

Если вы заботитесь о безопасности администратора O365, вы, возможно, уже рассматривали MFA как средство защиты процесса аутентификации. Теперь вы можете сделать это, не требуя пароль в качестве первого фактора аутентификации. Замена пароля O365 поставщиками удостоверений с высоким уровнем доверия повышает безопасность проверки подлинности.