Многофакторната автентификация ще бъде ключова за бизнеса, защитаващ облачните активи

Когато доказвате кой сте в системата за управление на идентичността (IDM), може би сте забелязали, че напоследък все повече и повече от тях изискват допълнителна стъпка освен потребителското си име и парола, като подканите, които изпращат кодове на вашия телефон, когато влизате до Gmail, Twitter или банковата си сметка от устройство, различно от това, което обикновено използвате. Просто не забравяйте да забравите името на първия си домашен любимец или къде е родена майка ви, защото вероятно ще трябва да въведете тази информация, за да докажете самоличността си. Тези части от данни, необходими в комбинация с парола, са една форма на многофакторно удостоверяване (MFA).

МВнР не е ново. Започна като физическа технология; смарт карти и USB донгли са два примера за устройства, които трябваше да влизаме в компютри или софтуерни услуги, след като въведете правилната парола. MFA обаче бързо развива този процес на вход, за да включва други идентификатори, като например мобилни push известия.

„Изминаха старите времена, когато компаниите трябваше да внедрят хардуерни маркери, а потребителите изпаднаха в неудовлетворено въвеждане в шестцифрени кодове, които се въртяха на всеки 60 секунди“, казва Тим Щайнкофф, президент на Centrify Corp., производител на услугата Centrify Identity. "Това беше скъпо и лошо потребителско изживяване. Сега MFA е толкова просто, колкото получаването на push известие на телефона ви." Въпреки това, дори кодовете, които получаваме чрез услугата за кратки съобщения (SMS), сега са намръщени, според Steinkopf.

„SMS вече не е безопасен метод за транспорт за кодове на MFA, тъй като те могат да бъдат прихващани“, каза той. „За високочувствителните ресурси компаниите сега трябва да обмислят още по-сигурни крипто маркери, които следват новите стандарти за алианс за бърза идентичност онлайн (FIDO).“ В допълнение към криптовалутите, стандартите FIDO2 включват спецификацията за уеб удостоверяване на World Wide Web Consortium (W3C) и протокола Client to Authenticator Protocol (CTAP). Стандартите FIDO2 също поддържат жестове на потребители, използвайки вградени биометрични показатели, като разпознаване на лице, размахване на пръстови отпечатъци и сканиране на ириса.

За да използвате MFA, ще трябва да включите смесица от пароли и въпроси за устройства като смартфони или да използвате пръстови отпечатъци и разпознаване на лица, обясни Джо Даймънд, директор на отдела за управление на продуктите за сигурност в Окта, създатели на Okta Identity Management.

„Повече организации сега признават рисковете за сигурността, свързани с еднократни пароли, базирани на SMS, като фактор на MFA. Доста тривиално е лош актьор да„ смени SIM “и да поеме мобилния номер“, каза Даймънд. „Всеки потребител, изложен на риск от такава целенасочена атака, трябва да приложи по-силни втори фактори като биометричен фактор или твърд маркер, който създава криптографско ръкостискане между устройството и услугата.“

Понякога МВнР не е перфектен. На 27 ноември Microsoft Azure претърпя прекъсване, свързано с MFA поради грешка в системата за имена на домейни (DNS), която предизвика много неуспешни заявки, когато потребителите се опитаха да влязат в услуги като Active Directory.

Кредит: FIDO Alliance

Мобилни Push Известия

Експертите виждат мобилните push известия като най-добрият вариант на „факторите“ за сигурност, тъй като той има ефективна комбинация от сигурност и използваемост. Приложение изпраща съобщение до телефона на потребителя, като уведомява човека, че услугата се опитва да влезе в потребителя или да изпрати данни.

„Влизате в мрежа и вместо да въвеждате само паролата си, се премествате на устройството си, където тя казва„ да “или„ не “, опитвате се да удостоверите това устройство и ако кажете„ да “, той ви дава достъп до мрежата ", обясни Дейв Люис, главен консултант по информационна сигурност (CISO) за бизнеса в областта на сигурността Duo на Cisco, който предлага приложение за мобилно удостоверяване Duo Push. Други продукти, предлагащи MFA, включват Yubico YubiKey 5 NFC и Ping Identity PingOne.

В известията за мобилни push липсват еднократни пароли, изпратени чрез SMS, защото тези пароли могат да бъдат хакнати сравнително лесно. Шифроването прави уведомленията ефективни, според Хед Ковец, съосновател и изпълнителен директор на доставчика на решения на MFA Silverfort.

"Това е само с едно щракване и сигурността е много силна, защото това е съвсем различно устройство", каза той. "Можете да промените приложението, ако то е компрометирано и то е напълно криптирано и удостоверено със съвременни протоколи. Това не е като SMS например, който е лесно компрометиран, защото стандартът е основно слаб и лесно се нарушава с атаките на Signaling System 7 (SS7) и всякакви други атаки на SMS."

MFA включва нулево доверие

MFA е ключова част от модела Zero Trust, в който не се доверявате на нито един потребител на мрежата, докато не се уверите, че са легитимни. "Прилагането на MFA е необходима стъпка за проверка дали потребителят всъщност е този, за когото казват, че е", каза Steinkopf.

„МВнР играе решаваща роля в модела на зрелост на нула доверие на всяка организация, тъй като първо трябва да установим доверие на потребителите, преди да можем да предоставим достъп“, добави Dikta на Okta. "Това също трябва да бъде съчетано с централизирана стратегия за идентичност във всички ресурси, така че политиките на МВнР да могат да бъдат сдвоени с политики за достъп, за да се гарантира, че правилните потребители имат правилен достъп до правилните ресурси, с възможно най-малко триене."

Кредит: FIDO Alliance

Заменят ли се паролите?

Много хора може да не са готови да изоставят паролите, но ако потребителите ще продължат да разчитат на тях, те ще трябва да бъдат защитени. Всъщност Докладът за нарушаване на данните на Verizon за 2017 г. разкри, че 81 процента от нарушенията на данните произтичат от откраднати пароли. Този вид статистика прави паролите проблем за всяка организация, която иска надеждно да защити своите системи.

"Ако успеем да разрешим паролите и да ги получим и да преминем към по-интелигентен тип удостоверяване, ще предотвратим по-голямата част от нарушенията на данните да се случват днес", каза Ковец на Силфорт.

Паролите вероятно няма да изчезнат навсякъде, но могат да бъдат елиминирани за конкретни приложения, отбеляза Ковец от Силвърфорт. Той каза, че премахването на паролите за компютърен хардуер и устройства на Интернет на нещата (IoT) ще бъде по-сложно. Друга причина, според която пълното удостоверяване без парола може да не се случи толкова скоро, е защото хората са психологически привързани към тях.

Преминаването от пароли включва и културна промяна в организациите според Lisis на Cisco. „Изтласкването от статични пароли към МВнР е фундаментална културна промяна“, каза Люис. "Караш хората да правят нещата по различен начин, отколкото са правили от години."

MFA обработка и изкуствен интелект

Изкуственият интелект (AI) се използва, за да помогне на IDM администраторите и MFA системите да се справят с редица нови данни за вход. Решенията на MFA от доставчици като Silverfort прилагат AI, за да придобият представа за това кога MFA е необходим и кога не е.

"AI частта, когато я комбинирате, ви позволява да вземете първоначалното решение дали дадено удостоверяване трябва да изисква MFA или не", каза Ковец на Silverfort. Той каза, че компонентът на машинното обучение (ML) в приложението може да даде висока оценка на риска, ако открие ненормален модел на дейност, като например, че акаунтът на служителя внезапно се осъществява от някой в ​​Китай и служителят редовно работи в Съединените щати.

"Ако потребителят влиза в приложение от офиса с помощта на собствения си компютър, издаден от компанията, тогава MFA няма да се изисква, тъй като това е" нормално ", обясни Steinkopf от Centrify. „Но ако същият този потребител пътува в чужбина или използва устройство на някой друг, тогава той ще бъде подканен за MFA, защото рискът е по-голям.“ Steinkopf добави, че МВнР често е първа стъпка, когато се използват допълнителни техники за проверка.

CIO също държат внимателно вниманието си върху поведенческата биометрия, която се превърна в нарастваща тенденция в новите внедрявания на МВнР. Биометричната биометрия използва софтуер за следене на начина, по който потребителите въвеждат или прекарват пръст. Въпреки че това звучи лесно, всъщност изисква обработка на големи парчета от бързо променящи се данни, поради което доставчиците използват ML, за да помогнат.

„Стойността в ML за автентификация би била да се оценят множество сложни сигнали, да се научи основна„ идентичност “на потребителя въз основа на тези сигнали и да се предупреди за аномалии към тази базова линия“, каза Dikta Diamond. „Поведенческата биометрия е пример, при който това може да влезе в игра. Разбирането на нюансите на начина, по който потребителят типи, ходи или по друг начин взаимодейства с устройството си, изисква разширена разузнавателна система за създаване на потребителския профил.“

Изчезващи периметри

С развитието на облачната инфраструктура, облачните услуги и особено на големия обем данни на външни IoT устройства, вече има повече от физически периметър на мястото на центъра за данни на организацията. Има и виртуален периметър, който трябва да защитава активите на компанията в облака. И в двата сценария идентичността играе ключова роля според Ковец.

"Периметрите са се определяли физически като офиса, но днес периметрите се определят от идентичността", каза Ковец. С изчезването на периметъра това прави и защитите, които силните защитни стени използват за кабелни настолни компютри. МВнР може да бъде един от начините да се замени това, което защитните стени правят традиционно, предложи Ковец.

• Двуфакторно удостоверяване: кой го има и как да го настрои Двуфакторно удостоверяване: кой го има и как да го настрои
• Отвъд периметъра: Как да се адресира слоевата сигурност отвъд периметъра: Как да се адресира слоевата сигурност
• Zero Trust Model печели Steam с експерти по сигурността Zero Trust Model печели Steam с експерти по сигурността

", къде поставяте продукти за мрежова сигурност?" - попита Ковец. "мрежовата сигурност всъщност не работи вече. MFA се превръща в новия начин за реална защита на вашата мрежа без периметър."

Един ключов начин, по който MFA се развива отвъд периметъра, е чрез разрастващата се тълпа от системи за идентичност, които се продават на базата на софтуер като услуга (SaaS), включително повечето от IDM услугите, които PCMag Labs са прегледали през последната година. „Огромният брой SaaS продукти, които позволяват на SMB лесно да стават и работят, вече работят извън периметъра“, казва Нейтън Роу, съосновател и главен продуктов директор (CPO) при доставчика на сигурност на данните Evident. Моделът SaaS намалява драстично както разходите, така и сложността на внедряване, така че е голяма помощ за малкия и среден бизнес, тъй като намалява разходите за ИТ и режийни разходи, според Rowe.

Решенията на SaaS със сигурност са бъдещето на IDM, което ги прави и бъдещето на MFA. Това е добра новина, тъй като дори малките фирми неумолимо преминават към ИТ архитектура на много облачни и облачни услуги, където лесният достъп до МВнР и други разширени мерки за сигурност скоро ще стане задължителен.