Microsoft, kimlik avına karşı korumalı çok faktörlü kimlik doğrulama (MFA) dağıtmak isteyen kuruluşların karşılaştığı önemli bir engeli, etkinleştirerek ortadan kaldırdı. sertifika tabanlı kimlik doğrulama (CBA) Azure Active Directory’de.
Azure AD’deki CBA sürümü, geçen ay duyurulmuştur. Microsoft Ignite konferansı, büyük kuruluşların şirket içi Active Directory uygulamalarını buluta geçirmelerinin yolunu açmayı vaat ediyor. Bu, Microsoft’un kuruluşları kimlik avı saldırılarından korumak için girişimlerini teşvik ettiği bir hamledir.
Ayrıca bu hafta Microsoft, BT’nin kullanıcı sertifikaları yüklemesini gerektirmeden çalışanların sahip olduğu iOS ve Android cihazlarda kimlik avına karşı korumalı MFA’yı etkinleştirmeye yönelik ilk adımı attı. Özellikle Çarşamba günü Microsoft, Yubico’nun güvenlik anahtarlarını kullanan mobil cihazlarda CBA desteğiyle Azure AD’nin bir önizleme sürümünü yayınladı.
Federal Standartları Karşılamak
Azure AD’deki CBA yeteneği, ABD Başkanı Joe Biden’ın 2021’e uygun olarak kimlik avına karşı dayanıklı MFA’yı dağıtmak için Mart 2024’e kadar son tarihle karşı karşıya olan federal devlet kurumları için hemen kritik öneme sahiptir. Ülkenin Siber Güvenliğinin Geliştirilmesine İlişkin Yürütme Emri (14028).
Yürütme emri, tüm federal hükümet kurumlarını ve iş yaptığı kurumları sıfır güven mimarisi (ZTA) güvenliğine geçmeye yönlendirir. Kimlik avına karşı korumalı MFA, sonraki kılavuzda ayrıntıları verilen bir gerekliliktir. Muhtıra MB-22-09ABD Bütçe ve Yönetim Ofisi (OMB) tarafından bu yılın başlarında yayınlandı.
OMB’nin muhtırası, tüm sivil ve istihbarat teşkilatlarının kimlik avına karşı dirençli bulut tabanlı kimlik mimarileri uyguladığını belirtir. Bu, kimlik avı saldırılarına açık SMS ve tek seferlik parola (OTP) tabanlı kimlik doğrulama dahil, saldırganların tehlikeye atabileceği eski MFA çözümlerini ortadan kaldırmak anlamına gelir.
“Smishing” olarak da adlandırılan SMS kimlik avı saldırıları, meşru görünen ve kurbanları kişisel bilgilerini sahte bir web sitesine girmeye yönlendiren sahte metin mesajlarıdır. CEO’su Andrew Shikiar, “Smishing giderek daha anlamlı bir saldırı vektörüne dönüştü; bunu her zaman görüyorum” diyor. FIDO İttifakı.
Federal kurumların ve yüklenicilerin ötesinde, MFA baypas saldırılarından kaynaklanan kimlik avını önlemek tüm işletmeler için çok önemli hale geldi. Bu yıl, MFA aktarma saldırıları arttı; örneğin, Twilio’nun yaygın olarak kullanılan MFA hizmetinin Ağustos ayında ele geçirilmesinde, saldırganlar farkında olmadan kullanıcıların Okta kimlik bilgilerini paylaşmalarını istedi.
Uzmanlar, bu tür saldırıların gelecek yıl artacağını tahmin ediyor. Shikiar, “Sosyal mühendislik ve MFA baypas saldırılarının, diğer bazı büyük hizmet sağlayıcıların bu yıl yaptığımız gibi anlamlı ihlallere maruz kaldığı 2023’te büyümeye devam edeceğini düşünüyorum” diyor.
ADFS’den Azure AD’ye Geçiş
Microsoft, Azure AD’deki CBA’nın federal devlet kurumlarının başkanın yürütme emrine uymasının önünü açmada kritik olduğunu vurguladı. CBA, şirket içi Active Directory Federasyon Hizmetleri’nden (ADFS) bulut tabanlı Azure AD’ye geçiş yolu sağlar.
Artık CBA, Azure AD’de kullanıma sunulduğuna göre, kuruluşlar, kullanıcıların doğrudan tüm Microsoft Office ve Dynamics programlarından ve bir kuruluşun ortak anahtar altyapısıyla kimliklerini doğrulayacak bazı üçüncü taraf uygulamalarından oturum açmasını zorunlu kılmak için Active Directory’nin bulut tabanlı sürümünü kullanabilir. (PKI) X.509 sertifikalarını kullanarak. X.509 sertifikası, her kullanıcı ve cihazın benzersiz sertifikasına sahip olduğu için uygulamaları kimlik avına karşı dayanıklı hale getirir.
Şimdiye kadar bulutta CBA uygulamayı seçen kuruluşlar, sertifika ilkelerini uygulamak için üçüncü taraf kimlik doğrulama hizmetlerini kullanmak zorundaydı. Yubico çözüm mimarisi ve standartlarından sorumlu Başkan Yardımcısı Derek Hanson, “Microsoft’un yaptığı, ayrı bir hizmete sahip olma zorunluluğunu ortadan kaldırmak ve sizinle bulut arasında bunu doğal olarak destekliyorlar” diyor.
Microsoft’un kimlik ve ağ erişimi bölümü başkanı Joy Chik, şirketin Ignite konferansındaki bir oturumda, “Bu, tüm kimliklerinizi buluta taşımak isteyenler için son büyük engelleyiciyi ortadan kaldırıyor” dedi.
Chik, uygulamaları Azure AD’ye bağlamanın, kuruluşların genellikle PKI’yi etkinleştirmek için kullandığı şirket içi ADFS’yi kullanımdan kaldırmanın yolunu açtığını vurguladı. Ancak çoğu kuruluş, onlarca yıldır ADFS’ye güveniyor ve Azure AD’ye geçiş yapmak karmaşık bir hareket. Yine de Chik bunun gerekli olduğunu söyledi. “ADFS, birincil saldırı vektörü haline geldi” dedi.
Gerçekten de, kimlik doğrulama için X.509 kullanan çoğu kuruluş, federe sunuculara güvenir ve çoğu durumda bu, ADFS anlamına gelir. Doug Simmons, genel müdür ve baş danışmanlık analisti TechVision Araştırmaişletmelerin en az %80 ila %90’ının ADFS kullandığını tahmin ediyor.
Simmons, “ADFS kullanmayan herhangi bir kuruluş bilmiyorum” diyor. Artık CBA, Azure AD’de kullanıma sunulduğuna göre Simmons, kuruluşların ADFS’den geçiş sürecine başlayacağını kabul ediyor. “Önümüzdeki iki yıl içinde büyük olasılıkla göçü yapacaklarını düşünüyorum” diyor.
Hükümet Görevlerini Yerine Getirmek
Geçen yıl boyunca Chik, Microsoft’un ADFS’deki tüm kritik kimlik doğrulama özelliklerinin Azure AD’de kullanılabilir olmasını sağlamak için 20’den fazla yetenek eklediğini söyledi. Chik, “Sertifika tabanlı kimlik doğrulama, düzenlenmiş sektörlerdeki müşteriler için kritik öneme sahiptir.” Dedi. Ancak, “Bu, siber güvenlikle ilgili Beyaz Saray yürütme emrine uymak için kimlik avına dayanıklı MFA dağıtması gereken ABD federal kurumlarını da içeriyor” dedi.
Simmons, ajansların bu görevi yerine getirmesini sağlamanın, Microsoft’un devlet dağıtımlarını, özellikle de FIPS 140 ve FIDO2 standartlarıyla uyumlu kimlik doğrulaması gerektiren ajansları elinde tutması ve genişletmesi için kritik öneme sahip olduğunu belirtiyor. Simmons, “Anladığım kadarıyla Microsoft, FedGov oyununun bir adım önünde olmak veya Google, AWS ve diğerleri tarafından daha fazla geçilme riskini almak için Azure’a ihtiyaç duyuyor” diye açıklıyor. “Yani, söz konusu uyumu ve tam entegre desteği göstermek için bu gerekli olacaktır.”
Bu yılın başlarında Microsoft, Azure Active Directory tarafından desteklenen ve İzin Yönetimi, Doğrulanmış Kimlik, İş Yükü Kimlikleri ve Kimlik Yönetimi dahil olmak üzere diğer araçları kullanan bir kimlik ve erişim yönetimi (IAM) platformu olan Entra’yı piyasaya sürdü.
Simmons, “Entra ile çoklu bulut yönetim güvenliğine önemli bir yatırım yapıyorlar” diye ekliyor. “Multicloud çok önemli çünkü dünyanın Azure ile bitmediğini biliyorlar. Aslında, müşterilerinin çoğu – ve muhtemelen tüm müşterilerimizin – üretimde üç büyük bulut var. Bulutlar arası yöneticiyi daha iyi güvence altına almak için, geliştiriciler ve yöneticiler olabilen ayrıcalıklı kullanıcılara güçlü kimlik doğrulaması sağlayın. Özellikle ABD hükümeti ve savunması söz konusu olduğunda, bazı kuruluşlar için yalnızca telefon tabanlı push MFA’yı desteklemek yeterli değildir.”
Azure AD CBA Desteğini Mobil Cihazlara Getirme
Microsoft’un bu hafta iOS ve Android cihazlarda Azure AD CBA desteğinin genel önizlemesini yayınlaması, başlangıçta Yubico’nun YubiKey’i olmak üzere donanım güvenlik anahtarlarında sertifikaların kullanılmasını sağlar. Microsoft’un kimlik güvenliği direktörü Alex Weinert, sürümü duyurdu kısa bir blog yazısında.
Weinert, “Kendi Cihazınızı Getirin (BYOD) yükselişteyken, bu özellik size, kullanıcının mobil cihazında sertifika sağlamak zorunda kalmadan mobil cihazlarda kimlik avına karşı korumalı MFA’ya ihtiyaç duymanızı sağlayacak” dedi.
FIDO kimlik doğrulama standartlarının geliştirilmesine öncülük eden Yubico, şu anda mobil cihazlarda Azure AD için kullanılabilen ilk FIPS sertifikalı, kimlik avına karşı dayanıklı kimlik doğrulayıcı olan YubiKeys’i etkinleştirmek için Microsoft ile birlikte çalıştı. Nihayetinde, müteahhitler ve ABD Savunma Bakanlığı personeli, Savunma Bakanlığı ortak erişim kartları (CAC) ve kişisel kimlik doğrulama (PIV) kartları onların mobil cihazlarına.
Yubico çözüm mimarı Erik Parkkonen, “CBA, şu anda Azure’da mobil cihazlarda desteklenen, kimlik avına dayanıklı tek kimlik doğrulama biçimidir ve bu, bir kuruluş için hangi şemanın benimseneceğine karar verirken önemli bir faktördür,” dedi. bir blog gönderisinde. biraz almanın yanı sıra Azure AD içindeki yapılandırma adımları ve Microsoft Authenticator uygulamasını yükleme Android veya iOS/ıpadoskullanıcıların yüklemesi gerekir Yubico Kimlik Doğrulayıcı uygulaması mobil cihazlarda.
Parkkonen, kullanıcıların daha sonra Azure çözümünden bağımsız olarak kişisel kimlik doğrulama (PIV) kimlik bilgilerini yüklemeleri gerektiğini belirtti. Ayrıca yöneticiler, CBA’yı uygulamak için Microsoft’un en son Koşullu Erişim kimlik doğrulama gücü ilkelerini dağıtabilir. Microsoft geçen hafta bir önizleme yayınladı yeni Koşullu Erişim kimlik doğrulama gücü yetenekleri.