Daugiafaktorė autentifikacija bus pagrindinė įmonėms, saugančioms debesų išteklius

Įrodydami, kas jūs esate, naudojate tapatybės valdymo (IDM) sistemą, galbūt pastebėjote, kad pastaruoju metu vis daugiau ir daugiau jų reikalauja papildomo veiksmo, be jūsų vartotojo ID ir slaptažodžio, pavyzdžiui, raginimai, kurie siunčia kodus į jūsų telefoną, kai jūs prisijungiate. į „Gmail“, „Twitter“ ar savo banko sąskaitą iš kito, ne to, kurį paprastai naudojate. Tiesiog nepamirškite pamiršti savo pirmojo augintinio vardo arba to, kur gimė jūsų motina, nes tikriausiai turėsite įvesti šią informaciją, kad patvirtintumėte savo tapatybę. Šie duomenys, reikalingi kartu su slaptažodžiu, yra viena iš daugiafaktorių autentifikavimo formų (MFA).

URM nėra nauja. Tai prasidėjo kaip fizinės technologijos; intelektualiosios kortelės ir USB raktai yra du prietaisų, kuriuos mums reikėjo prisijungti prie kompiuterių ar programinės įrangos paslaugų, pavyzdžiai, įvedus teisingą slaptažodį. Tačiau URM greitai plėtojo šį prisijungimo procesą, kad apimtų kitus identifikatorius, pvz., Mobiliųjų pranešimų pranešimus.

„Prabėgo senos dienos, kai įmonės turėjo diegti aparatūros žetonus, o vartotojai nusivylė rašydami šešiaženklius kodus, kurie pasisukdavo kas 60 sekundžių“, - teigė Timas Steinkopfas, „Centrify Corp.“ prezidentas, „Centrify Identity Service“ gamintojas. "Tai buvo brangu ir bloga vartotojo patirtis. Dabar MFA yra tokia paprasta, kaip gauti tiesioginį pranešimą į jūsų telefoną." Tačiau net kodai, kuriuos gauname per trumpųjų žinučių paslaugą (SMS), yra nubloškiami, pasak Steinkopfo.

„SMS nebėra saugus MFA kodų gabenimo būdas, nes juos galima perimti“, - sakė jis. "Dėl labai jautrių išteklių įmonės dabar turi apsvarstyti dar saugesnius šifravimo žetonus, kurie atitiktų naujus„ Fast IDentity Online "(FIDO) aljanso standartus." Be šifravimo žetonų, FIDO2 standartai apima visuotinio žiniatinklio konsorciumo (W3C) žiniatinklio autentifikavimo specifikaciją ir kliento autentifikatoriaus protokolą (CTAP). FIDO2 standartai taip pat palaiko vartotojo gestus, naudodami įterptus biometrinius duomenis, tokius kaip veido atpažinimas, pirštų atspaudų nuskaitymas ir rainelės nuskaitymas.

Norėdami naudoti MFA, turėsite įtraukti slaptažodžių ir klausimų, susijusių su tokiais prietaisais kaip išmanieji telefonai, mišinius arba naudoti pirštų atspaudus ir veido atpažinimą, paaiškino Jota Diamond, „Okta“ saugos produktų rinkodaros valdymo direktorius, „Okta“ tapatybės valdymo kūrėjas.

"Daugiau organizacijų dabar pripažįsta saugumo riziką, susijusią su SMS pagrindu sukurtais vienkartiniais slaptažodžiais kaip MFA veiksnį. Blogam aktoriui yra gana nereikšminga" pakeisti SIM kortelę "ir perimti mobiliojo telefono numerį", - teigė Diamond. "Kiekvienas vartotojas, kuriam gresia tokia tikslinė ataka, turėtų įgyvendinti stipresnius antrus veiksnius, tokius kaip biometrinis faktorius arba kietas ženklas, sukuriantis kriptografinį rankos paspaudimą tarp įrenginio ir paslaugos."

Kartais URM nėra tobula. Lapkričio 27 d. „Microsoft Azure“ patyrė prastovą, susijusią su MFA, dėl domenų vardų sistemos (DNS) klaidos, sukėlusios daug nepavykusių užklausų, kai vartotojai bandė prisijungti prie tokių paslaugų, kaip „Active Directory“.

Kreditas: FIDO aljansas

Mobiliojo telefono pranešimai

Ekspertai vertina mobiliuosius tiesioginius pranešimus kaip geriausią saugumo „veiksnių“ variantą, nes jame yra veiksmingas saugumo ir patogumo derinys. Programa siunčia vartotojo telefono pranešimą, informuojantį asmenį, kad paslauga bando prisijungti ar siųsti duomenis.

„Jūs prisijungiate prie tinklo ir užuot įvedę tik slaptažodį, būsite nukreipti į savo įrenginį ten, kur sakoma„ taip “arba„ ne “, bandote autentifikuoti šį įrenginį, o jei sakote„ taip “, jis suteikia jums prieigą prie tinklą “, - paaiškino Dave'as Lewisas, „ Cisco “„ Duo “saugumo verslo, kuris siūlo mobiliojo ryšio autentifikavimo programą„ Duo Push “, patariamasis vyriausiasis informacijos saugumo pareigūnas (CISO). Kiti produktai, siūlantys MFA, yra „Yubico YubiKey 5 NFC“ ir „Ping Identity PingOne“.

Mobiliesiems tiesioginiams pranešimams trūksta vienkartinių slaptažodžių, siunčiamų SMS žinutėmis, nes šiuos slaptažodžius galima nulaužti gana lengvai. Šifravimas padaro pranešimus efektyvius, sako Hed Kovetz, MFA sprendimų teikėjo „Silverfort“ įkūrėjas ir generalinis direktorius.

„Tai tik vienas paspaudimas, o sauga yra labai stipri, nes tai visai kitas įrenginys“, - sakė jis. "Galite pakeisti programą, jei ji sukompromituota ir yra visiškai užšifruota ir patvirtinta naudojant šiuolaikinius protokolus. Tai nėra tokia kaip, pavyzdžiui, SMS, kuriai lengva pakenkti, nes standartas iš esmės yra silpnas ir lengvai pažeidžiamas naudojant Signalizacijos sistemos 7 (SS7) atakas. ir visokių kitokių išpuolių prieš SMS “.

URM „Zero Trust“

MFA yra pagrindinė „Zero Trust“ modelio dalis, kuria nepasitikite jokiais tinklo vartotojais, kol nepatikrinate, ar jie teisėti. „MFA taikymas yra būtinas žingsnis norint patikrinti, ar vartotojas iš tikrųjų yra tas, kuris, jų manymu, yra“, - teigė Steinkopfas.

„MFA vaidina svarbų vaidmenį kuriant bet kurio organizacijos„ Zero Trust “brandos modelį, nes prieš suteikdami prieigą pirmiausia turime įsitikinti vartotojų pasitikėjimu“, - pridūrė „Okta's Diamond“ atstovas. "Tai taip pat reikia derinti su visų išteklių centralizuota tapatybės strategija, kad makrofinansinės pagalbos politiką būtų galima suderinti su prieigos politika, siekiant užtikrinti, kad tinkami vartotojai turėtų teisę naudotis reikiamais ištekliais ir kuo mažiau trinties."

Kreditas: FIDO aljansas

Ar slaptažodžiai keičiami?

Daugelis žmonių gali būti nepasiruošę atsisakyti slaptažodžių, tačiau jei vartotojai ir toliau jais pasitikės, jie turės būti apsaugoti. Iš tikrųjų „Verizon“ 2017 m. Duomenų pažeidimų ataskaita atskleidė, kad 81 proc. Duomenų pažeidimų kyla dėl pavogtų slaptažodžių. Dėl tokios statistikos slaptažodžiai tampa problema bet kuriai organizacijai, siekiančiai patikimai apsaugoti savo sistemas.

„Jei mes sugebėsime išspręsti slaptažodžius ir juos gauti bei pereiti prie intelektualesnio tipo autentifikavimo, užkirsime kelią daugeliui duomenų pažeidimų, kurie šiandien nutinka“, - teigė „Silverfort“ atstovas Kovetzas.

Slaptažodžiai greičiausiai niekur nedings, tačiau jie gali būti pašalinti konkrečioms programoms, pažymėjo „Silverfort“ atstovas Kovetzas. Jis teigė, kad visiškai atsisakyti kompiuterinės aparatinės įrangos ir daiktų interneto (IP) prietaisų slaptažodžių bus sudėtingiau. Kita priežastis, jo teigimu, visiška autentifikacija be slaptažodžių gali įvykti ne taip greitai, nes žmonės yra psichologiškai prisirišę prie jų.

Anot „Cisco's Lewis“, perėjimas nuo slaptažodžių taip pat susijęs su kultūriniais pokyčiais organizacijose. „Pasitraukimas nuo statinių slaptažodžių į makrofinansinę pagalbą iš esmės yra kultūros poslinkis“, - teigė Lewis. "Jūs priverstate žmones daryti dalykus kitaip, nei jie buvo daromi metų metus."

URM apdorojimas ir dirbtinis intelektas

Dirbtinis intelektas (AI) yra naudojamas padėti IDM administratoriams ir MFA sistemoms susidoroti su naujų prisijungimo duomenų kliūtimi. Tiekėjų, tokių kaip „Silverfort“, MFA sprendimai taiko AI, kad gautų įžvalgos, kada MFA yra reikalinga, o kada nėra.

„AI dalis, kai ją sujungiate, leidžia jums priimti pirminį sprendimą, ar konkrečiam autentifikavimui reikia MFA, ar ne“, - teigė „Silverfort“ atstovas Kovetzas. Jis sakė, kad mašininio mokymosi (ML) programos komponentas gali suteikti aukštą rizikos koeficientą, jei jame nustatomas nenormalus veiklos modelis, pavyzdžiui, jei darbuotojo sąskaitą staiga kažkas pasiekia Kinijoje, o darbuotojas reguliariai dirba JAV.

"Jei vartotojas prisijungia prie programos iš savo biuro naudodamas savo įmonės išduotą asmeninį kompiuterį, tada MFA nereikėtų, nes tai yra" normalu ", - aiškino„ Centrify “vadovas Steinkopfas. "Bet jei tas pats vartotojas keliauja į užsienį ar naudojasi kažkieno prietaisu, tada jam bus pasiūlyta MFA, nes rizika didesnė." Steinkopfas pridūrė, kad MFA dažnai yra pirmas žingsnis, kai naudojami papildomi tikrinimo būdai.

CIO taip pat stebi elgesio biometrinius duomenis, kurie tampa augančia naujų MFP diegimo tendencija. Elgesio biometriniai duomenys naudoja programinę įrangą, kad būtų galima sekti, kaip vartotojai įveda arba perbraukia. Nors tai skamba lengvai, iš tikrųjų reikia apdoroti didelius greitai kintančių duomenų fragmentus, todėl pardavėjai įdarbina ML, kad padėtų.

„Autentiškumo patvirtinimo ML vertė būtų įvertinti kelis sudėtingus signalus, išmokti pradinį vartotojo„ identitetą “remiantis šiais signalais ir įspėti apie to pradinio lygio anomalijas“, - teigė „Okta's Diamond“ atstovas. "Elgesio biometrija yra pavyzdys, kai tai gali būti naudojama. Norint suprasti niuansus, susijusius su vartotojo tipu, vaikščiojimu ar kitaip sąveikaujant su jo prietaisu, reikalinga pažangi intelekto sistema, kad sukurtų tą vartotojo profilį."

Nykstantys perimetrai

Tobulėjant debesų infrastruktūrai, debesijos paslaugoms ir ypač dideliam duomenų perdavimui už objekto ribų esančių internetinių įrenginių, organizacijos duomenų centro vietoje dabar yra daugiau nei fizinis perimetras. Taip pat yra virtualus perimetras, kuris turi apsaugoti įmonės turtą debesyje. Abiejuose scenarijuose identitetas vaidina pagrindinį vaidmenį, pasak Kovetzo.

„Anksčiau perimetrai buvo apibrėžiami fiziškai, kaip ir biure, tačiau šiandien perimetrai yra apibrėžiami pagal tapatybę“, - teigė Kovetzas. Išnykstant perimetrams, apsaugoms, kurias naudojo stiprios ugniasienės, naudojamos laidiniams staliniams kompiuteriams, apsaugoti. URM galėtų būti vienas iš būdų pakeisti tai, ką tradiciškai padarė ugniasienės, pasiūlė Kovetzas.

• Dviejų faktorių autentifikavimas: kas jį turi ir kaip jį nustatyti? Dviejų faktorių autentifikavimas: kas jį turi ir kaip jį nustatyti
• Už perimetro: kaip spręsti sluoksniuotą apsaugą perimetrą: kaip spręsti sluoksniuotą apsaugą
• „Zero Trust Model“ įgyja „Steam“ su saugumo ekspertais

"kur dėsite tinklo saugos produktus?" - paklausė Kovetzas. "Tinklo sauga iš tikrųjų nebeveikia. MFA tampa nauju būdu apsaugoti jūsų tinklą be perimetro."

Vienas svarbiausių būdų, kaip MFA vystosi perimetru, yra didėjanti žmonių tapatybės sistemų minia, kuri parduodama kaip programinė įranga kaip paslauga (SaaS), įskaitant daugumą IDM paslaugų, kurias „PCMag Labs“ peržvelgė per pastaruosius metus. „Daugybė„ SaaS “produktų, leidžiančių mažoms ir vidutinėms įmonėms lengvai atsikelti ir veikti, jau veikia už perimetro ribų“, - teigė Nathanas Rowe'as, duomenų apsaugos teikėjo „Evident“ įkūrėjas ir vyriausiasis produktų vadovas (CPO). Anot Rowe, „SaaS“ modelis smarkiai sumažina sąnaudas ir diegimo sudėtingumą, todėl tai yra didelė pagalba mažoms įmonėms, kurių vidutinio dydžio, nes sumažina IT išlaidas ir pridėtines išlaidas.

„SaaS“ sprendimai tikrai yra IDM ateitis, todėl jie tampa ir MFP ateitimi. Tai gera žinia, nes net mažos įmonės neišvengiamai pereina prie kelių debesų ir debesų paslaugų IT architektūros, kur netrukus taps privaloma lengvai naudotis MFA ir kitomis pažangiausiomis saugumo priemonėmis.