基于威胁的用户封锁

在线编辑

通过采用基于威胁的访问策略自动阻止可疑用户,并在单点登录(SSO)流程中将基于 IP 的防护扩展至用户级别的执行,从而主动应对正在进行的攻击。

准备工作

  • 您必须具有管理许可权,才能完成此任务。
  • 以管理员身份登录管理控制台 IBM® Verify 如需了解更多信息,请参阅《 访问 IBM Verify 》。

关于此任务

攻击者目前正在为多个地区的用户注册大量多因素认证(MFA)设备(语音/短信一次性密码),导致客户不得不手动停用通过威胁检测服务识别出的遭入侵账户。 虽然可以使用基于IP地址的屏蔽功能,但目前尚无自动阻止可疑用户的办法。 为弥补这一不足,需要在单点登录(SSO)流程中引入用户级阻断机制。

威胁情报(TI)服务已得到增强,现可包含当前单点登录(SSO)会话中的信息 userId ,从而能够识别已认证用户是否可疑。

ibm:threat_is_suspicious_user为 SSO 流程创建了一个新的自定义属性:。 它与现有的威胁相关自定义属性类似,并在单点登录(SSO)流程中可用。

过程

  1. IBM Verify请以管理员身份登录。 点击个人资料图标,然后点击 “切换至管理员 ”。
  2. 选择 “安全” > “访问策略 ”。 创建或更新现有的访问策略。
    • ibm:threat_is_suspicious_user使用 “自定义”属性定义策略规则(SSO)。 例如,

      条件 :ibm:threat_is_suspicious_user 的值为 true

      操作 :阻止、强制实施多因素认证或允许

  3. 保存并发布访问策略。
  4. 选择 “应用程序 ” > “应用程序设置 ” > “登录 ”,然后将此创建的策略添加到所选应用程序中。

后续操作

  • 当用户登录并尝试访问应用程序时 IBM Verify ,威胁情报(TI)服务会评估该用户是否可疑。
  • 如果发现用户行为可疑,则根据访问策略规则中定义的操作,将阻止该用户或要求其进行多因素身份验证。
  • 如果用户没有可疑之处,则允许其访问该应用程序。