如何為您的企業選擇合適的多因素認證？

在傳統的網絡安全架構中，重點在于防止非法入侵，例如防火墻、VPN 、堡壘機等安全設備的重心都在于防止用戶違規訪問企業資源，一旦合法用戶的賬號密碼被入侵者拿到，就可以冒充合法用戶訪問企業資源，所有的安全設備形同虛設。而當涉及到應用程序、密碼和設備的使用時，大多數用戶習慣在工作和個人活動之間切換，基于身份的攻擊已經成為威脅行為者的首選路徑。這些攻擊活動的復雜程度和規模各不相同，但它們都可能對組織的數字環境、業務運營和聲譽產生毀滅性的影響。

多因素認證（ MFA ）被譽為最有效的安全驗證辦法，并已成為身份安全的重要組成部分，微軟研究顯示，選擇合適的多因素認證方案能有效阻止 99% 的賬戶攻擊。但 Cyber Readiness Institute 研究表明，30% 的企業不了解多因素認證（ MFA ）或其安全優勢，54% 的企業沒有實施任何形式的多因素認證。如何評估企業的 MFA 需求，如何選擇合適的 MFA 解決方案？這些都成為企業在如今安全環境下需要思考的問題。

01.企業身份安全現狀

賬號管理難度大
員工在日常工作中需要訪問不同的業務應用，包括電子郵件、內部協作工具、客戶關系管理系統、財務軟件等等。每個應用都需要獨立的登錄憑據，包括用戶名和密碼。重復的登錄驗證將極大的降低員工效率。為了方便起見，一些員工可能會采用相同的用戶名和密碼，或者是過于簡單的憑據，以便更容易記住。長此以往，使用重復的賬號和口令，導致一個賬號口令被攻破，所有的平臺系統信息會出現泄露風險。

身份認證場景復雜
隨著業務上云、移動辦公、生態協作、員工內外網訪問、多分支接入等業務場景的涌現，企業的安全防控邊界持續外延。過去以企業內部防火墻為邊界的身份與訪問控制（ IAM ）已經無法應對現今分布式身份和權限管理需求，傳統的身份認證手段單一、強度不足，已無法應對復雜多變的安全環境。以 VPN 為例，目前它仍然是許多企業內外網隔離的核心工具，但傳統的 VPN 認證方式相對簡單，通常依賴用戶名和密碼的組合。這種方式存在明顯的安全隱患，如密碼猜測、泄露、或被黑客攻擊，導致賬號被盜用，危及敏感數據和網絡的完整性。

數據安全高要求
數據作為第五大生產要素，已成為國家的核心戰略資源。伴隨著數據與生產、分配、流通、消費和社會服務管理等各個環節的快速融合，數據安全的重要性日益凸顯，對維護國家安全、促進數據要素流通、支撐數字經濟發展等具有重要意義。但近年來，企業數據信息泄露事件卻頻頻發生，企業數據安全岌岌可危。企業內部經常涉及到高度敏感和保密級別的數據以及精密的設備。這些數據可能涉及客戶信息、財務數據、知識產權等其他機密信息。企業需要基于身份加強全鏈路的風控防護，提前配置風控策略，幫助企業識別可能存在的風險，及時向相關人員發送告警信息。

自研困難

信息化建設較早且較深的企業，在建立初始的身份和訪問管理（ IAM ）系統時，主要集中管理和控制用戶賬戶、權限以及訪問等方面，而對提升安全性的需求并不重視，致使 MFA 功能沒有被納入最初的考慮范圍，或者所選擇的 IAM 系統未能支持 MFA 功能。然而，隨著企業業務的不斷擴展和信息安全威脅的不斷增加，這些企業開始逐漸認識到 MFA 的重要性。但單獨自研 MFA 需要投入大量人力和運維成本，企業無法專注于自身核心業務。

02.相關政策法規涌現

移動互聯、物聯網、工業控制和大數據等新技術、新應用領域的個性安全保護需求提出安全擴展要求，加強網絡安全等級保護和運維服務過程的安全管理，更加明確要求在身份鑒別方面提高標準，以適應不斷演化的網絡威脅和風險。其中，《信息安全技術網絡安全等級保護基本要求》中明確定義了第三級系統的身份鑒別要求，并要求企業采用多種身份鑒別技術，包括口令、密碼技術和生物技術等。《網絡安全等級保護測評高風險判定指引》針對第三級及以上系統明確：關鍵網絡設備、安全設備、操作系統如果不滿足雙因素鑒別要求，則可判定為高風險項。

隨著一系列律法的出臺，我國在網絡與信息安全領域的法律法規進一步完善，而數據安全行業也走上了風口浪尖。過去基于利用個人隱私數據而生存的企業，將迎來史無前例的嚴格監管，而包括數據安全在內的整個安全行業，將更加凸顯其市場環境中的競爭力。

03.持續自適應多因素認證成企業最優選擇

如果你希望更詳細了解多因素認證、自適應多因素認證、持續自適應多因素認證的區別，請下方卡片查看。

根據 Verizon 數據泄漏調查報告顯示，81% 的黑客相關泄漏事故都是因為憑證盜取造成的。過去傳統的安全治理辦法是添加更多的身份認證流程，例如在帳號密碼單因素認證下添加第二種認證因素，短信/郵箱等驗證流程，這種辦法被稱為 2FA，即雙因素認證。然而這種辦法并不能有效解決此類問題，不法分子會通過釣魚網站/郵件/短信等手段獲取相應的 OTP 指令或者建設偽基站來劫取驗證信息。

試想一下，用戶在一周內會收到多少次一次性驗證碼或推送通知。從他們最喜歡的電子商務品牌結賬信息到通過云訪問其工作電子郵件，當他們在手機上收到提醒時，用戶已經習慣于簡單地遵循 MFA 的指示。許多網絡攻擊者現在正利用用戶這種習慣因素來確保當他們試圖非法登錄設備而設備推送通知出現時，終端用戶會在沒有質疑甚至是察覺的情況下按下“允許”按鍵。

企業需要一種更加積極主動的身份驗證方式來填補傳統 MFA 空白。持續自適應多因素認證作為下一代多因素安全認證解決方案被推出，通過持續不間斷地分析用戶登錄和使用行為，有效識別風險，自動配置合適的 MFA 策略，在風險出現時拉起二次認證，全面提升安全風控能力。它在自適應多因素認證（基于上下文屬性判斷當前安全狀況以增加因素認證）的基礎上增加了實時風險評估技術對用戶進行動態評估安全系數。在時間維度上，持續自適應多因素認證在用戶整個使用旅程中持續不斷的對其進行信任評估，以決定是否需要增加額外的認證流程。這樣做的好處就是企業的安全得到實時監控，而用戶只會在進行風險操作時被提示需要進行額外的認證。

04.如何快速為你的企業構建持續自適應多因素認證？

企業實現持續自適應認證，策略引擎必須能夠連接上下文數據與用戶和設備等實體關聯起來，而保障其決策準確性的前提就是能夠拓展到更細粒度的身份上獲取更多數據作為依據。同時為了提高拓展性、靈活性以及持續性，該流程必須是自動化執行的。而需要實現上述能力的關鍵是企業的身份訪問與管理系統具有可編排的自動化能力，同時也需要具備元數據能力來統一不同來源上報的行為數據的標準，通過自動化編排能力將整個身份驗證流程串聯，以實現持續響應的自適應多因素認證。

Authing?提供基于身份自動化編排引擎的「持續自適應多因素認證」。自適應 MFA 認證策略底層基于 Authing UEBA（用戶或實體行為分析技術），可以針對用戶行為和用戶畫像進行深度梳理分析，從而自動選擇與當前行為相匹配的 MFA 策略。

在自適應 MFA 認證策略中，Authing?UEBA 引擎會根據用戶的行為和畫像進行分析和判斷，例如用戶的登錄歷史、設備信息、IP 地址、地理位置、活動模式等等，從而確定當前用戶的身份和風險級別，并選擇與之相匹配的 MFA 策略。而持續自適應多因素認證（CAMFA）是在自適應多因素認證 (Adaptive-MFA) 的基礎上加上 Authing 身份自動化編排引擎。

當用戶的業務系統接入 Authing 后，從業務系統后端上報的 UEBA 數據到 Authing 系統，通過在 Authing 配置的持續自適應 MFA 安全策略流，在訂閱安全策略流發布的事件后。此時自適應安全策略將持續對 MFA 事件進行監聽，當接收到 MFA 事件后，將執行相應的安全策略。

05.最佳實踐案例：某知名地產集團

需求挑戰

集團原有的 IAM 系統未能支持 MFA 功能。隨著業務的不斷擴展和信息安全威脅的不斷增加，集團迫切需要 MFA 來保護數據安全。但自研 MFA 需要投入大量人力和運維成本，且周期長。
內部使用的 IM 工具仍僅有賬密登錄方式，單一的賬號密碼認證風險較高，可能導致弱口令爆破、撞庫等賬號盜用的安全威脅。希望加入多種認證方式，可靈活選擇不同的多因素認證方式提升安全性，包括設備校驗、生物特征校驗、問題校驗等模式。
企業內部管理和維護涉及精密設備和高度機密級別的數據。精密設備的損壞或失效可能導致昂貴的修復和更換成本，再次引發生產中斷，對企業的經濟穩定性和安全構成嚴重威脅。

解決方案

Authing?的 MFA 功能可以被企業單獨接入。企業只需要在?Authing?控制臺新建一個 MFA 應用，并在客戶端/服務端安裝 Authing SDK，即可快速拓展企業的安全認證模塊。
Authing 提供動態令牌、短信、郵箱、OTP、人臉識別等二次認證方式，能滿足多種使用場景，有效預防盜號和數據泄漏風險。幫助企業提高用戶身份驗證的安全性，降低潛在的風險，為企業提供了可信的安全保障。
Authing 提供持續自適應多因素認證，能根據用戶登錄認證時的屬性、位置、行為等數據判斷登錄風險，僅在風險范圍內開啟二次認證，以此幫助企業平衡信息安全、員工效率與用戶體驗。