亚马逊网络服务宣布,从2024年开始,所有特权账户将强制使用多因素身份验证(MFA),以增强账户保护。施密特建议立即采取行动,特别是启用MFA以防御网络钓鱼攻击。AWS已提供免费安全密钥以促进MFA的使用。
亚马逊网络服务(AWS)表示,从2024年中期开始,它将对所有特权账户进行多因素身份验证(MFA),以提高默认安全性并降低账户被劫持的风险。
首席安全官史蒂夫·施密特(Steve Schmidt)在一篇博客文章中说:“从那时起,任何使用AWS组织管理账户的root用户登录AWS管理控制台的客户都需要使用MFA才能继续。”
他补充说:“必须启用MFA的客户将通过多种渠道收到即将到来的更改通知,包括他们登录控制台时的提示。我们将在2024年将该计划扩展到其他场景,例如独立帐户(AWS组织中组织外部的帐户),因为我们发布了使MFA更容易大规模采用和管理的功能。”
此前,AWS曾努力提高MFA的使用率。该公司从2021年秋季开始向美国的账户所有者提供免费的安全密钥,一年后,组织可以在AWS中为每个账户root用户或IAM用户注册多达8个MFA设备。
施密特总结道:“我们建议每个人都采用某种形式的MFA,并鼓励客户考虑选择防网络钓鱼的MFA形式,比如安全密钥。”
他说:“虽然要求AWS组织管理帐户的根用户启用MFA是在2024年,但我们强烈建议我们的客户从今天开始,不仅为他们的根用户启用MFA,而且为他们环境中的所有用户类型启用MFA。”
MFA是减轻网络钓鱼攻击对员工造成的风险的关键步骤。IBM X-Force上个月的一项研究显示,2022年6月至2023年6月期间,云入侵的首要初始访问媒介是威胁行为者使用有效凭证。
安全供应商调查的近五分之二(36%)的真实云事件都发生了这种情况,凭证要么在攻击期间被发现,要么在锁定账户之前被窃取或网络钓鱼。
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
