MFA和PAM解决方案可以保护组织吗？

当推出安全产品时，您认为它会实现其目的。然而不幸的是，事实往往并非如此。奥斯特曼研究公司 (Osterman Research) 受 Silverfort 委托制作的一份新报告显示，MFA（多重身份验证）和 PAM（特权访问管理）解决方案几乎从未得到足够全面的部署，无法提供针对身份威胁的弹性。此外，服务账户（通常超出这些控制的保护范围）也容易遭受恶意破坏。这些发现和更多内容可以在“身份攻击面的状态：对关键保护差距的洞察”中找到，这是第一份分析组织对身份威胁的弹性的报告。

什么是“身份攻击面”？#

身份攻击面是可以通过用户名和密码访问的任何组织资源。攻击者针对此攻击面的主要方式是使用受损的用户凭据。这样，身份攻击面就与其他攻击面有很大不同。例如，当针对端点时，攻击者必须开发创新的恶意软件和零日漏洞。但在身份领域，默认的攻击工具是合法的用户名和密码。暗网上估计有 24B 个用户名-密码组合，这意味着攻击者唯一需要做的工作就是获得初始访问权限。

有 MFA 和 PAM 来防止攻击#

但你呢？该报告总结了全球 600 名身份安全专业人士的调查结果，报告显示，绝大多数组织都已部署 MFA 和 PAM 解决方案，但仍然容易受到攻击。原因如下：

不到 7% 的组织为其大部分关键资源提供 MFA 保护#

调查提出的问题之一是：目前能够通过 MFA 保护以下资源和访问方法的比例是多少？

• 桌面登录（例如Windows、Mac）

• VPN等远程连接方式

• 远程开发计划

• 命令行远程访问（例如PowerShell、PsExec）

• SSH

• 本土和遗留应用程序

• IT基础设施（例如管理控制台）

• VDI

• 虚拟化平台和管理程序（例如VMware、Citrix）

• 共享网络驱动器

• 操作技术系统

该图总结了结果：

这些数字意味着一个关键差距，因为没有 MFA 的资源是对手可以使用受损凭证无缝访问的资源。将其转化为现实场景时，使用不受 MFA 保护的命令行工具（例如 PsExec 或 Remote PowerShell）的威胁行为者在跨网络移动以在多台计算机上植入勒索软件负载时不会遇到任何障碍。

只有 10.2% 的组织拥有完全启用的 PAM 解决方案#

PAM 解决方案因部署时间长、复杂而臭名昭著，但它到底有多糟糕呢？报告揭示了答案：这很糟糕。以下是受访者对“您的 PAM 实施之旅处于哪个阶段？”这一问题的回答汇总。

正如所看到的，大多数组织在 PAM 旅程中都陷入了困境，意味着至少有一些特权用户面临攻击。请记住，管理员用户是攻击者获取您皇冠上的宝石的最快途径。未能保护所有这些是任何组织都无法忽视的风险。

78% 的组织无法防止服务账户受损的恶意访问#

服务账户是众所周知的盲点。由于这些非人类账户通常享有很高的特权，但无法受到 MFA 的保护，而且它们通常没有记录，因此不受监控，因此它们是对手的主要目标。

以下是问题“您对防止攻击者在您的环境中使用服务账户进行恶意访问的能力有多大信心？”的答案。

请注意，这里的术语“中”有点误导，因为缺乏实时预防本质上使能够检测帐户泄露的安全价值失效。

对环境的身份攻击面的保护情况如何？使用成熟度模型#

该报告不仅指出了弱点和差距，还提供了一个有用的评分模型，该模型基于所有身份保护方面的汇总结果，可以揭示对身份威胁的抵御能力水平。

报告发现，很少有组织（低至 6.6%）制定了严格且实施的身份保护策略。但使用此模型可以回答相同的问题，并了解组织的情况，以及需要采取哪些行动。