在驗證中抵禦網路釣魚攻擊
SSH 的 PrivX Authorizer 是高影響力使用者的防網路釣魚多重因素驗證 (MFA) 解決方案。它確保從驗證開始,在整個會話期間使用者、裝置和連線的信任度。
從端點到關鍵目標的內建信任
- 身分:高保證、防網路釣魚的驗證。
- 裝置信任:即時、持續的裝置信任,適用於每個裝置。
- 授權:多重因素驗證 (MFA) 和授權挑戰生物辨識驗證。
PrivX Authorizer 也是我們模組化 SSH PrivX 零信任套件的一部分。
✔︎ 消除最大的攻擊面向
80% 的資安漏洞是由被盜用的憑證所引起。啟用對關鍵目標的無密碼和無金鑰驗證,以確保沒有憑證可被破壞。
✔︎ 阻止常見的多重因素驗證 (MFA) 攻擊
中間人攻擊、MFA 疲勞和密鑰盜竊攻擊是破壞 MFA 最常見的方法。透過強大的身分驗證和穩健的加密來防止它們。
✔︎ 持續的安全狀態驗證
在整個會話期間驗證使用者身分和裝置安全狀態。自動終止有風險的連線,並在需要時新增授權挑戰。
✔︎ 保持合規性
在不可變的稽核記錄中追蹤使用者存取、連線歷史和驗證事件。根據需要,將已驗證的裝置連結到僅限已驗證的使用者。
IdentiFive – 超越傳統 MFA
PrivX Authorizer 超越傳統的 MFA 或僅基於身分的驗證工具。
透過驗證每個會話的身分、裝置、行為、時間和位置,PrivX Authorizer 創建了一個強大且防網路釣魚的 MFA 解決方案,專為高影響力使用者存取關鍵目標而設計。
如果在使用者或裝置的驗證過程中,任何元素失敗,則拒絕會話請求或要求進行額外驗證。如果任何元素的安全狀態發生變化,則拒絕會話請求或要求進行額外驗證。
它是如何運作的?
1️⃣ 強大的驗證
基於儲存在裝置金鑰存放庫中的私密金鑰進行驗證 - 可信任平台模組 (TPM)。如有需要,新增管理員授權。無密碼或金鑰。
2️⃣ 生物識別 ID 保護
存取 TPM 受生物識別保護,表示每當裝置授權需要私密金鑰時,使用者都會被要求提供指紋或臉部辨識。
3️⃣ 強大的加密
所有交易始終經過驗證並使用傳輸層安全性 (TLS) 加密保護。
4️⃣ 持續驗證
持續驗證會話和裝置的合法性,以防止異常情況或不當的特權升級。
5️⃣ 存取目標
透過 PrivX 以正確的身分、正確的目標和適當的特權級別完成工作。
6️⃣ 追蹤、稽核和監控
取得個人活動記錄、記錄會話(如有需要)或即時監控。
通往防網路釣魚驗證的旅程
使用者名稱和密碼:無 MFA,不建議。
第二裝置驗證或內建 MFA:提供低影響目標的最低層級 MFA。使用者每個應用程式都有獨立帳戶。
集中式 ID 控制:使用者不再為每個個別應用程式擁有自己的帳戶,但身分是從身分管理系統 (IDM) 中集中管理的。
FIDO2 或智慧卡:新增 FIDO2 的密碼驗證、無密碼驗證,或使用智慧卡進行驗證,該智慧卡通常與使用者的裝置安全模組繫結。
生物識別驗證:新增受指紋或臉部辨識保護的可信任平台模組 (TPM)。允許透過外部裝置進行會話管理授權。
裝置信任:新增持續會話監控和終端裝置的安全狀態。自動終止有風險的連線,例如如果裝置上的病毒掃描器未運作即為一例。
多重因素驗證 (MFA) 的權威
➤ NIST
對於給定的訂閱者帳戶,只有在所有驗證方法都具有防網路釣魚功能時,才能實現防網路釣魚功能。
NIST SP 800-63B-4
➤ CISA
CISA 強烈敦促所有組織實施防網路釣魚的 MFA,以保護免受已知的網路威脅。
Implementing Phishing Resistant MFA
➤ OMB
機構必須要求使用者使用防網路釣魚的方法...由於企業使用者是網路釣魚最有價值的目標之一,因此有此必要。
US President M-22-09
