為加快轉(zhuǎn)向零信任架構(gòu)，落實(shí)零信任戰(zhàn)略，美國(guó)白宮管理與預(yù)算辦公室正著手推進(jìn)一項(xiàng)反網(wǎng)絡(luò)釣魚(yú)計(jì)劃，這將是下一階段聯(lián)邦機(jī)構(gòu)的重大任務(wù)；

　　該計(jì)劃將淘汰基于短信/郵件/應(yīng)用的多因素認(rèn)證，這些技術(shù)均已被網(wǎng)絡(luò)釣魚(yú)破解，轉(zhuǎn)為部署硬件安全密鑰和單點(diǎn)登錄技術(shù)；

　　強(qiáng)身份驗(yàn)證是零信任架構(gòu)的基礎(chǔ)組件，反網(wǎng)絡(luò)釣魚(yú)的多因素身份驗(yàn)證也將成為聯(lián)邦政府安全基線中的重要組成部分。

　　美國(guó)白宮正著手推進(jìn)一項(xiàng)雄心勃勃的計(jì)劃，希望顯著降低美國(guó)政府遭遇網(wǎng)絡(luò)釣魚(yú)侵?jǐn)_的風(fēng)險(xiǎn)。其中的典型方法包括逐步淘汰基于短信/郵件/應(yīng)用程序的多因素身份驗(yàn)證，轉(zhuǎn)而替換為硬件安全密鑰等反網(wǎng)絡(luò)釣魚(yú)解決方案。

　　白宮管理與預(yù)算辦公室（OMB）的一位官員在電話采訪中表示，該計(jì)劃是聯(lián)邦政府接下來(lái)的一項(xiàng)重大任務(wù)。OMB認(rèn)為這項(xiàng)網(wǎng)絡(luò)釣魚(yú)緩解措施代表著聯(lián)邦政府向“零信任”架構(gòu)邁出的重要一步。

　　在這種新型架構(gòu)中，組織的保護(hù)能力不再立足于對(duì)任何特定系統(tǒng)、網(wǎng)絡(luò)或服務(wù)的信任。相反，零信任系統(tǒng)會(huì)對(duì)試圖訪問(wèn)系統(tǒng)的一切其他系統(tǒng)或個(gè)人執(zhí)行驗(yàn)證。這位官員指出，從本質(zhì)上講，任何嘗試登錄政府網(wǎng)站或服務(wù)的訪問(wèn)者都應(yīng)接受對(duì)其聲稱身份與實(shí)際身份的嚴(yán)格驗(yàn)證。而這項(xiàng)工作的前提，又落在了加強(qiáng)防范網(wǎng)絡(luò)釣魚(yú)上。

　　這位官員解釋道，管理與預(yù)算辦公室特別關(guān)注那些自動(dòng)化、低成本且可擴(kuò)展的網(wǎng)絡(luò)釣魚(yú)攻擊活動(dòng)。這類服務(wù)能夠以“令人信服”的方式仿冒政府網(wǎng)站，還能從受害者手中騙取多因素身份驗(yàn)證令牌。這位官員表示，通過(guò)短信、電子郵件發(fā)送或顯示在獨(dú)立應(yīng)用內(nèi)的一次性驗(yàn)證碼，如今都已逐漸失去安全性。

　　事實(shí)上，這幾種多因素身份驗(yàn)證令牌都可能以某種形式被釣魚(yú)或其他方式所劫持。SIM卡交換、針對(duì)電信員工的欺詐或賄賂、將受害者短信重新定向至黑客自己的手機(jī)等方法，都能成功獲取到目標(biāo)人物的密碼或登錄令牌。此外，釣魚(yú)網(wǎng)站還可以請(qǐng)求由Google Authenticator等應(yīng)用程序生成的用戶驗(yàn)證碼。這位官員指出，某些多因素身份驗(yàn)證系統(tǒng)使用的推送通知功能同樣可能受釣魚(yú)活動(dòng)影響，例如通過(guò)惡意站點(diǎn)觸發(fā)這些彈窗并要求受害者批準(zhǔn)登錄嘗試。

　　加快部署硬件安全密鑰和單點(diǎn)登錄技術(shù)

　　好消息是，硬件安全密鑰等解決方案不會(huì)受到釣魚(yú)活動(dòng)的影響。

　　管理與預(yù)算辦公室最近發(fā)布了其聯(lián)邦零信任戰(zhàn)略草案。這份草案并沒(méi)有向機(jī)構(gòu)明確指定應(yīng)使用哪些產(chǎn)品，例如Yubikey、Google Titan等。相反，其中僅提到PIV（個(gè)人身份驗(yàn)證）卡以及WebAuthn（一種允許使用硬件安全密鑰進(jìn)行網(wǎng)站登錄的Web規(guī)范）。草案寫道，各機(jī)構(gòu)必須在應(yīng)用層面為機(jī)構(gòu)雇員、承包商以及合作伙伴提供遏制網(wǎng)絡(luò)釣魚(yú)影響的多因素身份驗(yàn)證方案。

　　美國(guó)聯(lián)邦政府機(jī)關(guān)數(shù)量眾多，而且大部分擁有自己的特定系統(tǒng)與基礎(chǔ)設(shè)施，對(duì)這套龐大的體系進(jìn)行全面多因素身份驗(yàn)證升級(jí)聽(tīng)起來(lái)令人生畏。但這位官員表示，美國(guó)政府在這項(xiàng)工作上仍然具有優(yōu)勢(shì)：他們已經(jīng)在部分建筑物及系統(tǒng)的訪問(wèn)/登錄中使用到PIV卡。而對(duì)網(wǎng)絡(luò)釣魚(yú)的防范，也可以說(shuō)是把相同的指導(dǎo)原則擴(kuò)展到使用U盤式密鑰登錄更多系統(tǒng)。當(dāng)然，這項(xiàng)工作需要對(duì)機(jī)構(gòu)內(nèi)的基礎(chǔ)設(shè)施加以更新，再由各部門完成個(gè)人用戶卡片分發(fā)與使用方法培訓(xùn)等工作。

　　管理與預(yù)算辦公室還建議各級(jí)部門建立單點(diǎn)登錄（SSO）服務(wù)。在這套體系中，用戶不再需要獨(dú)立登錄各個(gè)站點(diǎn)，而是可以通過(guò)單一總體系統(tǒng)（例如Okta）進(jìn)行身份驗(yàn)證，之后由該系統(tǒng)處理面向不同服務(wù)的登錄操作。這位官員介紹道，考慮到某些政府機(jī)關(guān)的規(guī)模較大，因此將多種不同身份系統(tǒng)整合起來(lái)可能效果更好，這樣可以減少保護(hù)對(duì)象數(shù)量、降低多因素身份驗(yàn)證的實(shí)現(xiàn)難度等。該官員還補(bǔ)充道，單點(diǎn)登錄也是可用性與安全性有機(jī)結(jié)合的理想案例。

　　至于當(dāng)下的工作，管理與預(yù)算辦公室計(jì)劃將最終確定聯(lián)邦政府零信任戰(zhàn)略文件，再與各級(jí)政府機(jī)構(gòu)合作推進(jìn)并監(jiān)督后續(xù)的安全調(diào)整工作。

　　草案中寫道，“強(qiáng)身份驗(yàn)證是零信任架構(gòu)中的基礎(chǔ)組件，而多因素身份驗(yàn)證也將成為聯(lián)邦政府安全基線中的重要組成部分。”