行业新闻与博客

亚马逊网络服务 (AWS) 表示，从 2024 年中期开始，将要求对所有特权帐户进行多重身份验证 (MFA)，以提高默认安全性并降低帐户劫持的风险。

首席安全官 Steve Schmidt 在博客文章中表示，从那时起，任何使用 AWS Organizations 管理账户的根用户登录 AWS 管理控制台的客户都将需要使用 MFA 才能继续。

他补充说：“必须启用 MFA 的客户将通过多个渠道收到即将发生的更改通知，包括登录控制台时的提示。”

“随着我们发布使 MFA 更易于大规模采用和管理的功能，我们将在 2024 年将该计划扩展到其他场景，例如独立账户（AWS Organizations 中的组织外部的账户）。”

在此之前，AWS 曾努力提高 MFA 的使用率。该公司从 2021 年秋季开始向美国的账户所有者提供免费的安全密钥，一年后，组织可以在 AWS 中为每个账户根用户或每个 IAM 用户注册最多 8 个 MFA 设备。

“我们建议每个人都采用某种形式的 MFA，并鼓励客户考虑选择能够抵御网络钓鱼的 MFA 形式，例如安全密钥，” Schmidt 总结道。

“虽然 2024 年将要求为 AWS Organizations 管理账户的根用户启用 MFA，但我们强烈鼓励客户从今天开始，不仅为其根用户启用 MFA，而且为其环境中的所有用户类型启用 MFA。”

MFA 是减轻网络钓鱼攻击对员工造成的风险的关键一步。IBM X-Force 上个月的一项研究显示，2022 年 6 月至 2023 年 6 月期间云攻击的首要初始访问向量是威胁行为者使用有效凭证。

在安全供应商调查的现实世界云事件中，近五分之二 (36%) 发生了这种情况，凭证要么在攻击期间被发现，要么在针对帐户之前被盗 / 网络钓鱼。