端到端防钓鱼:远大目标还是现实可能?

本文深入探讨了现代钓鱼攻击的技术演变及防护策略,分析了AI驱动攻击、中间人攻击等多手段,并详细介绍了无密码认证、会话保护等端到端防钓鱼技术架构与实施方案。

端到端防钓鱼:远大目标还是现实可能?

基础防护已不再足够。免费方案也难以应对挑战。即使有多因素认证(MFA)守护着基于身份的新安全边界,钓鱼攻击仍然是威胁行为者最青睐的工具之一,这就要求身份和访问管理(IAM)提供更强的保护。MFA可能使攻击者更难直接使用丢失、泄露、购买、弱或被盗的用户凭证登录企业环境,但显然也并非完全不可能。

这是因为用户培训甚至基础MFA都不足以确保抵御采用新技术规避认证的现代攻击活动:

  • AI驱动的攻击使用ChatGPT等大语言模型工具制作看似可信实体的逼真邮件
  • 中间人(AiTM)攻击诱使用户点击欺诈链接,将其导向攻击者控制的代理服务器
  • 新型多阶段MFA疲劳攻击利用重复用户认证来绕过和利用较弱形式的MFA
  • 当攻击者瞄准供应链和第三方访问权限、远程桌面协议(RDP)或传统应用时,防护缺口就会显现

这还不是全部。如上所列的现代钓鱼攻击现已超越认证环节,威胁会话cookie并绕过传统防御,使得全面防钓鱼变得至关重要——即使对训练有素的帮助台专业人员也是如此。

为什么端到端防钓鱼在身份生命周期中至关重要

在防范钓鱼方面,组织需要考虑的因素更多,而新老法规也在不断提高标准。为减轻现代钓鱼攻击的风险,监管机构、零信任指南和网络保险公司现在都强调防钓鱼MFA和强健的身份安全。例如美国管理和预算办公室(OMB)的第22-09号备忘录和欧洲的NIS2指令等前瞻性法规,现已明确将“防钓鱼MFA”规定为保护身份的最佳实践策略。

这些不断发展的指令关注认证因素的强度,但IAM领导者已经知道,他们的防御必须超越传统的应用登录。随着更多威胁行为者预期会遇到传统短信甚至基于推送的MFA,防钓鱼策略必须照亮整个身份生命周期中可利用的盲点。这意味着从新员工入职(易受虚假HR邮件攻击)开始,到帮助台交互、远程连接和权限撤销等关键点。

随着AI驱动的深度伪造和语音钓鱼(vishing)成为头条新闻,社会工程策略变得愈发难以检测。在许多情况下,组织可能退而使用密码或基础安全问题作为验证身份的备用方案。当今的身份安全实践必须迎接新挑战。例如,使用集成的身份验证服务可以创建更安全的备用选项,帮助帮助台技术人员即时建立信任。

“谁想要cookie?”防御会话中令牌窃取

许多组织使用cookie来在整个用户工作会话期间扩展信任。但如果入侵者能找到使用有效凭证登录的方法,他们有时可以窃取这些“记住我”cookie来劫持活动会话并验证进入其他应用。或者,在未触发检测的情况下更改或提升权限。

攻击者已擅长通过恶意JavaScript、Redline和Emotet等信息窃取程序或中间人攻击来窃取cookie。一旦他们获得会话令牌,就可以接管数字身份,绕过密码、MFA和其他安全控制。典型的预防措施,如缩短会话时长和更频繁地要求用户重新认证,只会增加生产力抱怨和用户挫败感。

安全性往往以增加摩擦为代价——当最终用户必须为其每个应用每天多次与之交互时,这尤其具有挑战性。如果我们移除使会话可被窃取的东西会怎样?Duo正在申请专利的无cookie认证为用户摩擦的显著减少铺平了道路,提供与平台无关的保护(Windows和macOS),无供应商锁定或生态系统限制,并提供内置的硬件支持防钓鱼能力。

展示“更强”如何也能意味着“更简”

安全只有在人们使用时才有效,而如果MFA过于复杂,人们就不会使用。要求用户跟踪多个密码、轮换、验证器应用和物理令牌是灾难的配方,也会导致新的数字弊病——MFA疲劳。

过于复杂的控制也给IT带来负担。根据Cisco Duo的《2025年身份安全状况报告》,近60%的安全领导者将令牌管理列为防钓鱼的最大障碍。大多数安全和IAM领导者希望使其MFA更具防钓鱼能力,但认为这可能不值得投入时间和精力。

推出新的认证方法(如生物识别和智能卡)、购买并向远程用户寄送硬件令牌,以及处理支持电话,所有这些都消耗无尽的IT周期,抵消了IAM投资的价值。

IAM策略必须克服领导者部署防钓鱼MFA的主要障碍:

  • 硬件令牌的成本和持续管理
  • 培训和支持
  • 系统兼容性

阻力源于运营负担,而非需求不足。提高防钓鱼能力的核心在于使更强的安全对每个用户都易于部署。毕竟,“如果安全控制不可部署,它就不可用。如果不可用,它就无法保护任何人。”对Duo而言,突破是在我们熟悉的界面上添加了硬件令牌提供的基于邻近度的验证。没有寄送麻烦,没有复杂配置,没有额外成本。

通过无密码灵活实现防钓鱼

将无密码认证作为实现防钓鱼并同时改善用户体验的选项并不罕见。推行无密码通常伴随着许多注意事项和挑战,然而许多致力于加强身份安全的组织已经在向前推进——通过单点登录简化认证,执行设备卫生标准,并利用基于风险的认证(RBA)减少重复登录。

无密码认证如何提高防钓鱼能力

经过过去几年的创新,监管机构、网络保险公司、合作伙伴和潜在客户也正朝着无密码方向发展,理由很充分:没有凭证,就无物可钓。即使AI也无法窃取已不存在的密码。

“完全无密码”只是另一个白日梦吗?毕竟,复杂性以传统应用的形式出现,需要与现有基础设施配合,并处理初始目录注册。新指南详细说明了如何使密码的消除——通常被视为“远大目标”——在身份生命周期的每个阶段(注册、应用和操作系统登录、帮助台支持和安全备用)成为近期现实(而非“路线图项目”)。

实现端到端防钓鱼的5个步骤

  1. 安全验证并引导新用户
  2. 在每个访问点加强用户认证
  3. 即使用户登录后也能通过无cookie防护防止会话窃取
  4. 保护“边缘”情况,如备用方案、帮助台通话和权限撤销
  5. 朝着完全消除密码迈进

更强的安全是分阶段实现的。通过身份验证、会话窃取防护和防钓鱼MFA实施端到端防钓鱼,确保您的组织现在和未来都受到保护。

Duo使您能够轻松开始实现完全端到端防钓鱼的旅程,无需高昂价格和隐藏成本。立即下载指南,了解如何构建无缝、可靠的身份安全,同时提供世界级的最终用户体验。

comments powered by Disqus
© 2020 - 2026 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次