Багатофакторна автентифікація буде ключовою для підприємств, що захищають хмарні активи

Підтверджуючи, хто ви в системі управління ідентифікацією (IDM), ви, можливо, помітили, що останнім часом все більше й більше вимагають додаткового кроку, крім вашого ідентифікатора користувача та пароля, наприклад, підказки, які надсилають коди на ваш телефон під час входу. на Gmail, Twitter або ваш банківський рахунок з іншого пристрою, ніж той, який ви зазвичай використовуєте. Просто переконайтеся, що ви не забудете ім’я свого першого домашнього улюбленця або там, де народилася ваша мати, тому що вам, ймовірно, потрібно буде ввести цю інформацію, щоб підтвердити свою особу. Ці фрагменти даних, необхідні в поєднанні з паролем, є однією з форм багатофакторної аутентифікації (MFA).

МЗС не нове. Почалося як фізична технологія; смарт-карти та USB-ключі - це два приклади пристроїв, на яких нам потрібно було увійти в комп’ютери чи програмні послуги, коли було введено правильний пароль. Однак МЗС швидко розвиває цей процес входу, щоб включити інші ідентифікатори, наприклад мобільні push-сповіщення.

"Пройшли старі часи, коли компаніям доводилося розгортати апаратні жетони, і користувачі розчарувались, набираючи шестизначні коди, які оберталися кожні 60 секунд", - сказав Тім Штейнкофф, президент Centrify Corp., виробник служби Centrify Identity. "Це було дорого і поганий досвід користувача. Зараз МЗС настільки ж просто, як отримувати push-повідомлення на телефон". Однак, навіть коди, які ми отримуємо через службу коротких повідомлень (SMS), зараз нахмурюються, повідомляє Steinkopf.

"SMS більше не є безпечним способом транспортування кодів МЗС, оскільки вони можуть бути перехоплені", - сказав він. "Що стосується високочутливих ресурсів, компанії тепер мають розглянути ще більш захищені криптовалюти, які відповідають новим стандартам Альянсу Fast IDentity Online (FIDO)". Окрім криптовалют, стандарти FIDO2 містять специфікацію Всесвітнього веб-консорціуму (W3C) з веб-аутентифікацією та протокол клієнта до автентифікатора (CTAP). Стандарти FIDO2 також підтримують жести користувачів, використовуючи вбудовані біометричні показники, такі як розпізнавання обличчя, розбиття відбитків пальців та сканування райдужки.

Щоб використовувати MFA, вам потрібно буде включити суміш паролів і питань для таких пристроїв, як смартфони, або використовувати відбитки пальців і розпізнавання обличчя, пояснив Джо Даймонд, директор управління маркетингу продуктів безпеки в Окта, виробники Okta Identity Management.

"Зараз більше організацій визнає ризики безпеки, пов'язані з одноразовими паролями на основі SMS, як фактор MFA. Для поганого актора" міняти SIM-карткою "та брати мобільний номер досить тривіально", - сказав Діамант. "Будь-який користувач, що загрожує такою цілеспрямованою атакою, повинен реалізувати більш сильні другі фактори, такі як біометричний фактор або жорсткий маркер, що створює криптографічне рукостискання між пристроєм і службою."

Іноді МЗС не є ідеальним. 27 листопада Microsoft Azure зазнала відключення, пов’язаного з MFA через помилку системи доменних імен (DNS), яка спричинила багато невдалих запитів, коли користувачі намагалися ввійти до таких служб, як Active Directory.

Кредит: Альянс FIDO

Мобільні повідомлення Push

Експерти розглядають мобільні push-сповіщення як найкращий варіант "факторів" безпеки, оскільки він має ефективне поєднання безпеки та зручності використання. Додаток надсилає повідомлення на телефон користувача, повідомляючи людину про те, що служба намагається увійти в систему або надіслати дані.

"Ви входите в мережу, і замість того, щоб ввести лише свій пароль, вас пересувають на ваш пристрій, де він каже" так "або" ні ", ви намагаєтесь перевірити автентифікацію цього пристрою. Якщо ви скажете" так ", це дозволить вам отримати доступ до мережа ", - пояснив Дейв Льюїс, головний консультант з питань глобальної інформаційної безпеки (CISO) для бізнесу з питань безпеки Duo Cisco, який пропонує додаток мобільної аутентифікації Duo Push. Інші продукти, що пропонують MFA, включають Yubico YubiKey 5 NFC та Ping Identity PingOne.

У мобільних push-сповіщеннях відсутні одноразові паролі, надіслані через SMS, оскільки ці паролі можна зламати досить легко. Шифрування робить сповіщення ефективними, за словами Хеда Ковеца, співзасновника та генерального директора постачальника рішень МЗС Сільфорфорт.

"Це лише один клік, а безпека дуже сильна, оскільки це зовсім інший пристрій", - сказав він. "Ви можете змінити додаток, якщо він порушений, і він повністю зашифрований і автентифікований сучасними протоколами. Це не як SMS, наприклад, який легко піддається компромету, оскільки стандарт в основному слабкий і легко порушується при атаках системи сигналізації 7 (SS7). і всілякі інші атаки на SMS ".

МЗС включає нульовий трест

MFA є ключовою частиною моделі Zero Trust, в якій ви не довіряєте жодним користувачам мережі, поки не переконаєтесь, що вони законні. "Застосування МЗС - це необхідний крок у підтвердженні того, що користувач насправді є тим, про кого вони кажуть", - сказав Штайнкофф.

"МЗС відіграє найважливішу роль у моделі зрілості нульової довіри будь-якої організації, тому що нам спочатку потрібно встановити довіру користувачів, перш ніж ми зможемо надати доступ", - додав Dikta Dikta. "Це також повинно поєднуватися з централізованою стратегією ідентичності на всіх ресурсах, щоб політику МЗС можна було поєднати з політикою доступу, щоб забезпечити правильним користувачам правильний доступ до потрібних ресурсів з якомога меншим тертям."

Кредит: Альянс FIDO

Чи замінюються паролі?

Багато людей, можливо, не готові відмовитися від паролів, але якщо користувачі продовжуватимуть покладатися на них, їх потрібно буде захистити. Фактично у звіті про порушення даних Verizon за 2017 рік було виявлено, що 81 відсоток порушень даних походить із викрадених паролів. Такі види статистики створюють паролі проблемою для будь-якої організації, яка прагне надійно захистити свої системи.

"Якщо ми зможемо вирішити паролі та отримати їх і перейти до більш розумного типу аутентифікації, ми запобіжемо більшості порушень даних, які трапляються сьогодні", - сказав Ковець Сільверфорта.

Паролі, швидше за все, не зникнуть скрізь, але вони можуть бути усунені для конкретних додатків, зазначив Коветц Сільверфорта. Він сказав, що взагалі скасувати паролі для комп'ютерних апаратних засобів та пристроїв Internet of Things (IoT) буде складнішим. Ще одна причина, за якою він сказав, що повна автентифікація без паролів може не відбутися так скоро, тому що люди психологічно прив’язані до них.

Перехід від паролів також передбачає культурну зміну в організаціях, згідно з Lewis Cisco. "Відштовхування від статичних паролів до МЗС принципово є культурним зрушенням", - сказав Льюїс. "Ти змушуєш людей робити щось інакше, ніж вони робили роками".

Обробка МЗС та штучний інтелект

Штучний інтелект (AI) використовується для того, щоб допомогти адміністраторам IDM та системам МЗС впоратися з новою інформацією про вхід. Рішення МЗС від таких постачальників, як Silverfort застосовують AI, щоб отримати уявлення про те, коли МЗС необхідний, а коли - ні.

"Частина AI, поєднуючи її, дозволяє прийняти первісне рішення про те, чи потрібна певна автентифікація, чи потрібна МЗС, чи ні", - сказав Ковець Сільверфорта. Він сказав, що компонент програми машинного навчання (ML) може забезпечити високий показник ризику, якщо він виявить ненормальну схему діяльності, наприклад, якщо раптово звертається до облікового запису працівника в Китаї, а працівник регулярно працює в США.

"Якщо користувач входить у програму з офісу за допомогою власного ПК, виданого компанією, МЗС не вимагається, оскільки це" нормально ", - пояснив Steinkopf. "Але якщо той самий користувач виїжджає за кордон або користується чужим пристроєм, то їм буде запропоновано МЗС, оскільки ризик вище". Штайнкопф додав, що МЗС часто є першим кроком при використанні додаткових методів верифікації.

CIO також пильно стежать за поведінковою біометрикою, що стало зростаючою тенденцією в нових розгортаннях МЗС. Біометрична біометрія використовує програмне забезпечення для відстеження того, як користувачі вводять або перекладають пальці. Незважаючи на те, що це звучить просто, воно фактично вимагає обробляти великі шматки швидко змінюваних даних, саме тому постачальники використовують ML для допомоги.

"Значенням ML для аутентифікації було б оцінити декілька складних сигналів, дізнатися базову" ідентичність "користувача на основі цих сигналів та попередити про аномалії до цієї базової лінії", - сказав Dikta Diamond. "Біометрична поведінка - це приклад, коли це може ввійти в життя. Розуміння нюансів того, як користувач типово, ходить чи іншим чином взаємодіє зі своїм пристроєм, вимагає розширеної системи розвідки для створення цього профілю користувача."

Периметри зникають

З розвитком хмарної інфраструктури, хмарних сервісів і, особливо, великого обсягу даних про непомітні пристрої IoT, тепер у центрі обробки даних організації більше фізичного периметра. Також є віртуальний периметр, який потребує захисту активів компанії у хмарі. В обох сценаріях ідентичність відіграє ключову роль за словами Ковеца.

"Периметри раніше визначалися фізично, як офіс, але сьогодні периметри визначаються особистістю", - сказав Ковець. У міру того, як периметри зникають, роблять захист, який використовували сильні брандмауери для дротових настільних комп'ютерів. МЗС може стати одним із способів замінити те, що брандмауери традиційно роблять, припустив Ковець.

• Двофакторна автентифікація: хто має та як налаштувати двофакторну автентифікацію: хто має та як її встановити
• Поза периметром: як вирішити рівень шару безпеки за межами периметра: як вирішити багатошарову безпеку
• Модель Zero Trust набирає пари разом із експертами з безпеки. Модель Zero Trust набирає пари з експертами з безпеки

", куди ви кладете продукти безпеки мережі?" - спитав Ковець. "безпека мережі насправді вже не працює. MFA стає новим способом фактично захистити вашу мережу без периметра."

Одним із ключових способів того, як МЗС розвивається за межами периметра, є розростається натовп систем ідентичності, що продаються на основі програмного забезпечення (SaaS), включаючи більшість перевірених у минулому році програм IDM IDM PCMag Labs. "Велика кількість продуктів SaaS, які дозволяють малим і середнім підприємствам легко вставати і працювати, вже працюють за межами периметра", - сказав Натан Роу, співзасновник і головний керівник продукту (СРО) постачальника безпеки даних Evident. Модель SaaS різко скорочує як витрати, так і складність розгортання, тому це велика допомога для малого середнього бізнесу, оскільки це зменшує витрати на ІТ та накладні витрати, повідомляє Rowe.

Рішення SaaS - це, безумовно, майбутнє IDM, що робить їх також майбутнім МЗС. Це хороша новина, оскільки навіть малий бізнес невблаганно переходить до мульти хмарної та хмарної ІТ-архітектури, де легкий доступ до МЗС та інших вдосконалених заходів безпеки незабаром стане обов'язковим.