Večfaktorska overitev bo ključna za podjetja, ki ščitijo oblačna sredstva

Ko dokazujete, kdo ste v sistemu upravljanja identitete (IDM), ste morda opazili, da v zadnjem času vse več od njih zahteva dodaten korak poleg vašega uporabniškega ID-ja in gesla, kot so pozivi, ki ob prijavi pošljejo kode v vaš telefon. v Gmail, Twitter ali vaš bančni račun iz naprave, ki ni tista, ki jo običajno uporabljate. Prepričajte se, da ne boste pozabili imena svojega prvega ljubljenčka ali kje se je rodila mati, ker boste verjetno morali vnesti te podatke, da dokažete svojo identiteto. Ti podatki, ki se zahtevajo v kombinaciji z geslom, so ena oblika večfaktorskih overitev (MFA).

MFA ni novo. Začelo se je kot fizična tehnologija; pametne kartice in ključi USB so dva primera naprav, za katere smo se morali ob vnosu pravilnega gesla prijaviti v računalnike ali programske storitve. Vendar pa MFA ta postopek prijave hitro razvija, da vključuje tudi druge identifikatorje, kot so mobilna potisna obvestila.

"Izginili so stari časi, ko so morala podjetja namestiti žetone strojne opreme, uporabniki pa so se frustrirano tipkali v šestmestno kodo, ki se je vrtela vsakih 60 sekund, " je povedal Tim Steinkopf, predsednik podjetja Centrify Corp., izdelovalca Centrify Identity Service. "To je bilo drago in slaba uporabniška izkušnja. Zdaj je MFA tako preprost kot prejemanje push-notifikacije na vaš telefon." Po besedah ​​Steinkopfa so zdaj celo kodre, ki jih prejmemo prek storitve kratkih sporočil (SMS), zgroženi.

"SMS ni več varen način prevoza za kode MFA, saj jih je mogoče prestreči, " je dejal. "Podjetja morajo za zelo občutljive vire razmisliti o še bolj varnih kripto žetonih, ki sledijo novim standardom zavezništva Fast IDentity Online (FIDO)." Poleg kripto žetonov standardi FIDO2 vključujejo specifikacijo spletnega preverjanja pristnosti World Wide Web Consortium (W3C) in protokol odjemalca do overitelja (CTAP). Standardi FIDO2 podpirajo tudi kretnje uporabnikov z uporabo vgrajenih biometričnih podatkov, kot so prepoznavanje obraza, brisanje prstnih odtisov in skeniranje šarenice.

Če želite uporabiti MFA, morate vgraditi mešanico gesla in vprašanj za naprave, kot so pametni telefoni, ali uporabiti prstne odtise in prepoznavanje obraza, je pojasnil Joe Diamond, direktor za upravljanje trženja varnostnih izdelkov v Okti, izdelovalce Okta Identity Management.

"Več organizacij zdaj prepoznava varnostna tveganja, povezana z enkratnimi gesli, ki temeljijo na SMS-u, kot faktor MFA. Za slabe igralce je" zamenjava SIM "in prevzem mobilne številke precej nepomembno, " je dejal Diamond. "Vsak uporabnik, ki mu grozi takšen ciljni napad, mora izvajati močnejše druge dejavnike, kot je biometrični faktor ali trdi žeton, ki ustvari kriptografski stisk med napravo in storitvijo."

Včasih MFA ni popoln. 27. novembra je Microsoft Azure utrpel izpad, povezan z MFA, zaradi napake sistema domenskih imen (DNS), ki je povzročila številne neuspele zahteve, ko so se uporabniki poskušali prijaviti v storitve, kot je Active Directory.

Zasluge: zveza FIDO

Push Obvestila

Strokovnjaki vidijo mobilna potisna obvestila kot najboljšo možnost varnostnih "dejavnikov", saj ima učinkovito kombinacijo varnosti in uporabnosti. Aplikacija na uporabnikov telefon pošlje sporočilo, v katerem obvesti osebo, da storitev poskuša uporabnika prijaviti ali poslati podatke.

"Prijavite se v omrežje in namesto da vnesete samo svoje geslo, vas potisne v napravo, kjer piše da ali ne, poskušate preveriti pristnost te naprave, in če rečete pritrdilno, vam omogoči dostop do omrežje, "je pojasnil Dave Lewis, glavni svetovalni svetovalec za informacijsko varnost (CISO) za Ciscovo podjetje za varnost Duo, ki ponuja mobilno aplikacijo za preverjanje pristnosti Duo Push. Drugi izdelki, ki ponujajo MFA, vključujejo Yubico YubiKey 5 NFC in Ping Identity PingOne.

V mobilnih potisnih obvestilih ni enkratnih geslov, poslanih prek SMS-a, saj jih je mogoče gesla dokaj enostavno vstaviti. Šifriranje naredi obveščanje učinkovito, pravi Hed Kovetz, soustanovitelj in izvršni direktor ponudnika rešitev MFA Silverfort.

"To je samo en klik, varnost pa je zelo močna, ker gre za povsem drugačno napravo, " je dejal. "Aplikacijo lahko spremenite, če je ogrožena, in je popolnoma šifrirana in overjena s sodobnimi protokoli. Na primer ni takšen SMS, ki je zlahka ogrožen, ker je standard v osnovi šibek in ga je mogoče zlahka prekršiti s napadi Signaling System 7 (SS7) in vse vrste drugih napadov na SMS."

MFA vključuje Zero Trust

MFA je ključni del modela Zero Trust, v katerem ne zaupate nobenim uporabnikom omrežja, dokler ne preverite, ali so zakoniti. "Uporaba MFA je nujen korak pri preverjanju, ali je uporabnik dejansko takšen, za katerega pravijo, da je, " je dejal Steinkopf.

"MFA igra ključno vlogo pri modelu zrelosti katerekoli organizacije Zero Trust, saj moramo najprej vzpostaviti zaupanje uporabnikov, preden bomo lahko odobrili dostop, " je dodal Okta's Diamond. "Tudi to je treba povezati s centralizirano strategijo identitete po vseh virih, tako da se lahko politike MVP seznamijo s politikami dostopa, da imajo pravi uporabniki ustrezen dostop do pravih virov in s čim manj trenja."

Zasluge: zveza FIDO

Ali se gesla zamenjajo?

Mnogi morda niso pripravljeni zapustiti gesla, toda če se bodo uporabniki še naprej zanašali na njih, jih je treba zaščititi. Verizon-ovo poročilo o kršitvah podatkov za leto 2017 je razkrilo, da 81 odstotkov kršitev podatkov izhaja iz ukradenih gesel. Te vrste statistike gesla predstavljajo težavo za vse organizacije, ki želijo zanesljivo zaščititi svoje sisteme.

"Če lahko rešimo gesla in jih dobimo ter preidemo v pametnejšo vrsto preverjanja pristnosti, bomo preprečili, da bi se večina kršitev podatkov zgodila danes, " je dejal Silverfortov Kovetz.

Gesla najverjetneje ne bodo izginila povsod, vendar jih je mogoče odstraniti za določene aplikacije, je ugotovil Kofortov Silverfort. Povedal je, da bi bilo odpravljanje gesel za računalniško strojno opremo in naprave Internet of Things (IoT) bolj zapleteno. Drugi razlog je, da je dejal, da se popolna overitev brez gesla morda ne bo zgodila tako kmalu, ker so ljudje na njih psihološko navezani.

Prehod z gesla vključuje tudi kulturno spremembo v organizacijah po Ciscovem Lewisu. "Potisk od statičnih gesel do MFA je temeljni kulturni premik, " je dejal Lewis. "Prisiliš ljudi, da delajo stvari drugače, kot so to počeli že leta."

MFA obdelava in umetna inteligenca

Umetna inteligenca (AI) se uporablja za pomoč administratorjem IDM in sistemom MFA pri spoprijemanju z novimi podatki za prijavo. MFA-jeve rešitve prodajalcev, kot je Silverfort, uporabljajo AI, da dobijo vpoglede, kdaj je MFA potreben in kdaj ni.

"Del AI, ko ga kombinirate, vam omogoča, da se prvotno odločite, ali za določeno overjanje potrebuje MFA ali ne, " je dejal Silverfortov Kovetz. Dejal je, da komponenta strojnega učenja v aplikaciji lahko prinese visoko oceno tveganja, če zazna nenormalen vzorec dejavnosti, na primer, če nekdo na Kitajskem nenadoma dostopa do računa zaposlenega in zaposleni redno dela v Združenih državah Amerike.

"Če se uporabnik v pisarni prijavi v pisarno z lastnim osebnim računalnikom, potem MFA ne bi bil potreben, saj je to normalno, " je pojasnil Steinkopf iz Centrifyja. "Ampak, če isti uporabnik potuje v tujino ali uporablja napravo nekoga drugega, bi bil pozvan k MFA, ker je tveganje večje." Steinkopf je dodal, da je MFA pogosto prvi korak pri uporabi dodatnih tehnik preverjanja.

CIO-ji prav tako pozorno spremljajo vedenjsko biometrijo, ki postaja vse večji trend pri novih uvajanjih v MFA. Behavorial biometrics uporablja programsko opremo za spremljanje načina vnosa ali premikanja uporabnikov. Čeprav se to sliši enostavno, dejansko potrebuje obdelavo velikih kosov hitro spreminjajočih se podatkov, zato prodajalci za pomoč uporabljajo ML.

"Vrednost ML za preverjanje pristnosti bi bila, da ovrednotimo več kompleksnih signalov, se naučimo osnovne identitete uporabnika na podlagi teh signalov in opozorimo na anomalije na to izhodiščno vrednost, " je dejal Oktadov Diamond. "Vedenjska biometrija je primer, kjer se to lahko začne uporabljati. Če želite razumeti nianse, kako uporabnik tipka, hodi ali kako drugače posega v svojo napravo, potrebuje napreden sistem obveščevalnih podatkov, da ustvari ta uporabniški profil."

Perimetri izginjajo

Z razvojem infrastrukture v oblaku, oblačnimi storitvami in zlasti z veliko količino podatkov zunaj IoT naprav je zdaj na lokaciji podatkovnega centra organizacije več kot fizični obod. Obstaja tudi navidezni obod, ki mora zaščititi premoženje podjetja v oblaku. V obeh scenarijih igra identiteta po Kovetzu ključno vlogo.

"Perimetre so nekoč definirali fizično, kot je pisarna, danes pa so določeni z identiteto, " je dejal Kovetz. Z obodom izginejo tudi zaščite, ki so jih močni požarni zidovi uporabljali za žične namizne računalnike. Kovetz je predlagal, da bi MFA lahko nadomestil tisto, kar požarni zidovi že tradicionalno počnejo.

• Dvofaktorska overitev: kdo jo ima in kako jo nastaviti Dvofaktorsko preverjanje pristnosti: kdo jo ima in kako jo nastaviti
• Nad obodom: kako nasloniti zaščito po plasteh onkraj perimetra: kako nasloniti zaščito po plasteh
• Zero Trust Model pridobiva stero s strokovnjaki za varnost Zero Trust Model pridobi par z varnostnimi strokovnjaki

", kam daješ izdelke za varnost omrežja?" Je vprašal Kovetz. "omrežna varnost v resnici ne deluje več. MFA postane nov način za dejansko zaščito omrežja, ki ni obodno."

Eden ključnih načinov, da se MFA razvija zunaj oboda, je skozi vedno večje množice identitetnih sistemov, ki se prodajajo na osnovi programske opreme (SaaS), vključno z večino IDM storitev, ki jih je PCMag Labs pregledala v preteklem letu. "Ogromno število SaaS-ovih izdelkov, ki omogočajo SMB-jem, da enostavno vstanejo in delujejo, že delujejo zunaj oboda, " je dejal Nathan Rowe, soustanovitelj in glavni produktni direktor (CPO) pri ponudniku varnosti podatkov Evident. Model SaaS drastično zmanjšuje stroške in zapletenost uvajanja, zato je malim podjetjem v veliko pomoč, saj zmanjšuje porabo za IT in režijske stroške, pravi Rowe.

Rešitve SaaS so gotovo prihodnost IDM-a, zaradi česar so tudi prihodnost MFA. To je dobra novica, saj se tudi majhna podjetja neustavljivo selijo v IT-arhitekturo z več oblaki in v oblaku, kjer bo enostaven dostop do MFA in drugih naprednih varnostnih ukrepov kmalu obvezen.