使用MFA保护组织的安全

多因素身份验证（MFA）对数据保护来说并不是什么新鲜事，但随着远程工作的兴起，它变得更加突出，攻击者正在探索超越这一防线的新方法。攻击者更喜欢使用各种网络钓鱼和社会工程策略来操纵人为的安全元素，以规避艺术硕士的控制。

根据2022年威瑞森数据泄露调查报告,在2021年，82%的入侵行为涉及人为因素。

网络基础设施中的身份安全漏洞为攻击者获得对高风险身份的控制并闯入网络铺平了道路。在攻击者中，绕过MFA的一个流行策略是MFA疲劳。继续阅读，了解什么是MFA疲劳，它是如何工作的，以及组织可以做些什么来防止这种邪恶的攻击。

获取用户名和密码对攻击者来说并不难。顾名思义，MFA不仅仅需要一个，而是两个或两个以上的认证因素，如电子邮件、短信或OTP验证。这种组合使身份验证过程更加安全，因为攻击者不太可能破解多种因素。

什么是MFA疲劳？

MFA疲劳，也被称为MFA提示轰炸，是攻击者使用的一种技术，使用户的认证应用程序重复发送MFA推送通知，并骚扰用户，直到他们最终批准请求。其目标是通过无穷无尽的推送请求，让用户产生一种疲劳感。

随着不断通知的出现，用户不可能使用手机做其他事情，疲劳最终促使受害者批准请求，无论知情或不知情。MFA疲劳采用蛮力方法来规避MFA的安全控制。

ManageEngine如何帮助对抗MFA疲劳

ManageEngineAD360是一个集成的、整体的身份和访问管理解决方案，具有直观的界面和强大的能力来对抗MFA疲劳攻击。让我们仔细看看AD360是如何通过其身份安全特性来加强MFA的。

AD360为用户提供了20多种不同的认证方法，从生物识别到基于时间的一次性密码（TOTPs），从而为MFA提供了额外的安全层。组织可以为用户启用任何可用的身份验证方法，并强制用户注册能够证明其身份。AD360 MFA为访问请求提供了高水平的身份保证。

下面是一些ad360的特点，帮助阻止MFA疲劳。

1.自适应MFA

使用AD360，基于IT环境的IP地址、设备、访问时间和地理位置自动做出对用户的访问控制决策，而不需要管理干预。配置条件访问可以帮助在关键场景下实现安全措施，如：

授权为特权用户使用MFA。

阻止访问高风险操作，如来自不受信任的ip或未知设备的密码重置请求。

为机器登录启用端点MFA(窗口、macOS和Linux系统；RDP和VPN登录；通过SSO登录企业应用程序；和Outlook Web访问（OWA）登录。

基于用户上下文的自动访问控制策略将要求攻击者满足强制执行的条件访问规则，从而确保在不破坏用户体验的情况下的安全性。

2.身份验证工作流

AD360允许在用户启动密码自助服务请求、利用SSO或登录端点时，IT管理员能够触发预先配置的身份验证工作流。使用此工作流，IT管理员可以根据不同用户集的OU、域和组成员身份，为不同的用户集强制执行不同的身份验证器。

为关键业务操作实现身份验证工作流有助于防止攻击者访问敏感的组织数据。

3.无密码身份验证

通过ad360的无密码身份验证，用户无需输入密码来验证自己的身份。相反，它们是通过生物识别技术或TOTP进行身份验证的，这更安全，因为这些因素不容易被窃取

使用AD360进行无密码操作，有助于消除基于密码的攻击，并增强用户体验。

4.陈旧的帐户清理

AD360提供了广泛的报告，收集上次登录的数据、从未登录的用户、最近未登录的用户、不活动的用户等等。它有助于自动化用户帐户显示的预定义场景，如移动、禁用、启用、删除、密码重置和帐户解锁。

定期检查陈旧的用户帐户有助于尽量减少非活动帐户被泄露或滥用的风险。

在不断发展的网络威胁环境中，MFA疲劳可能是需要应对的最具挑战性的攻击。组织需要了解与此类攻击相关的风险，并相应地规划他们的安全基础设施。当与其他安全措施一起使用时，MFA是一个极好的额外安全层。回顾一下您组织中当前的MFA设置，确保您免受不断上升的MFA疲劳。