Overovanie viacerých faktorov bude kľúčom pre podniky, ktoré chránia cloudové prostriedky

Pri preukazovaní toho, kto ste do systému správy identít (IDM), ste si možno všimli, že v poslednom čase stále viac a viac z nich vyžaduje okrem vášho používateľského mena a hesla ďalší krok, ako sú výzvy na odoslanie kódov do telefónu po prihlásení na Gmail, Twitter alebo váš bankový účet z iného zariadenia, ako je zariadenie, ktoré obvykle používate. Len nezabudnite na meno svojho prvého miláčika alebo na to, kde sa narodila vaša matka, pretože pravdepodobne budete musieť zadať tieto informácie, aby ste dokázali svoju totožnosť. Tieto údaje, ktoré sa požadujú v kombinácii s heslom, sú jednou z foriem multifaktorovej autentifikácie (MFA).

MFA nie je nová. Začalo to ako fyzická technológia; čipové karty a kľúče USB sú dva príklady zariadení, ktoré sme sa po prihlásení do počítača alebo softvérových služieb vyžadovali po zadaní správneho hesla. Makrofinančná pomoc sa však v tomto procese prihlasovania rýchlo vyvíja a zahŕňa ďalšie identifikátory, ako sú napríklad oznámenia push pre mobilné zariadenia.

„Preč sú staré časy, keď spoločnosti museli zavádzať hardvérové ​​tokeny, a používatelia boli frustrovaní písaním šesťciferných kódov, ktoré sa striedali každých 60 sekúnd, “ povedal Tim Steinkopf, prezident Centrify Corp., tvorca Centrify Identity Service. „Bolo to drahé a zlé používateľské prostredie. MFA je teraz rovnako jednoduchá ako prijímanie oznámenia push do telefónu.“ Podľa Steinkopfovej sa však teraz obťažujú dokonca aj kódy, ktoré dostávame prostredníctvom služby krátkych správ (SMS).

„SMS už nie je bezpečnou metódou prenosu kódov MFA, pretože ich možno zachytiť, “ uviedol. „Pokiaľ ide o vysoko citlivé zdroje, spoločnosti musia teraz zvážiť ešte bezpečnejšie kryptomateriály, ktoré dodržiavajú nové štandardy Alliance Fast IDentity Online (FIDO).“ Okrem kryptografických tokenov obsahujú štandardy FIDO2 špecifikáciu Web Authentication World Wide Web Consortium (W3C) a Protokol Client to Authenticator Protocol (CTAP). Normy FIDO2 tiež podporujú gestá používateľov pomocou zabudovanej biometrie, ako je rozpoznávanie tváre, švihnutie odtlačkov prstov a skenovanie dúhovky.

Ak chcete používať makrofinančnú pomoc, musíte do zariadení, ako sú smartfóny, zahrnúť kombináciu hesiel a otázok, alebo používať odtlačky prstov a rozpoznávanie tváre, vysvetlil Joe Diamond, riaditeľ marketingového manažmentu bezpečnostných produktov v Okta, tvorcovia Okta Identity Management.

„Viac organizácií teraz uznáva bezpečnostné riziká spojené s jednorazovými heslami založenými na SMS ako faktor MFA. Je zlé, že zlý herec„ vymení SIM “a prevezme mobilné číslo, “ uviedol Diamond. „Každý užívateľ, ktorému hrozí takýto cielený útok, by mal implementovať silnejšie druhé faktory, ako je biometrický faktor alebo pevný token, ktorý vytvára kryptografické podanie ruky medzi zariadením a službou.“

MFA niekedy nie je dokonalá. 27. novembra Microsoft Azure utrpel výpadok súvisiaci s MFA v dôsledku chyby systému DNS (Domain Name System), ktorá spôsobila mnoho neúspešných žiadostí, keď sa používatelia pokúsili prihlásiť do služieb, ako je Active Directory.

Kredit: FIDO Alliance

Upozornenia na mobilný tlač

Odborníci vidia oznámenia o mobilnom tlačení ako najlepšej možnosti bezpečnostných faktorov, pretože obsahujú účinnú kombináciu zabezpečenia a použiteľnosti. Aplikácia pošle do telefónu používateľa správu, v ktorej upozorní osobu, že sa služba pokúša prihlásiť používateľa alebo odoslať údaje.

„Prihlasujete sa do siete a namiesto zadávania iba hesla sa tlačí na vaše zariadenie, kde sa hovorí áno alebo nie, snažíte sa autentifikovať toto zariadenie a ak poviete áno, udelí vám prístup k sieť, “vysvetlil Dave Lewis, globálny poradca pre informačnú bezpečnosť (CISO) pre bezpečnostnú firmu Duo spoločnosti Cisco, ktorá ponúka mobilnú autentifikačnú aplikáciu Duo Push. Medzi ďalšie produkty ponúkajúce MFA patrí Yubico YubiKey 5 NFC a Ping Identity PingOne.

V oznámeniach o mobilnom push chýbajú jednorazové heslá zasielané prostredníctvom SMS, pretože tieto heslá sa dajú pomerne ľahko hackovať. Šifrovanie zefektívňuje notifikácie podľa Heda Kovetza, spoluzakladateľa a generálneho riaditeľa poskytovateľa riešení MFA Silverfort.

„Je to len jedno kliknutie a bezpečnosť je veľmi silná, pretože je to úplne iné zariadenie, “ povedal. „Aplikáciu môžete zmeniť, ak je kompromitovaná a je plne šifrovaná a overená pomocou moderných protokolov. Nie je to napríklad SMS správa, ktorá je ľahko kompromitovaná, pretože štandard je v podstate slabý a ľahko narušený útokmi Signaling System 7 (SS7) a všetky ďalšie útoky na SMS. ““

MFA má nulovú dôveru

MFA je kľúčovou súčasťou modelu Zero Trust, v ktorej nedôverujete žiadnym používateľom siete, kým neoveríte, či sú legitímni. „Uplatňovanie makrofinančnej pomoci je nevyhnutným krokom na overenie, či je používateľ skutočne tým, o čom hovoria, “ uviedol Steinkopf.

„Makrofinančná pomoc zohráva rozhodujúcu úlohu v modeli zrelosti spoločnosti Zero Trust v každej organizácii, pretože skôr, ako môžeme udeliť prístup, musíme najskôr získať dôveru používateľov, “ dodal Okta's Diamond. „Toto je tiež potrebné spojiť s centralizovanou stratégiou identifikácie všetkých zdrojov, aby sa politiky MFA dali spárovať s politikami prístupu, aby sa zabezpečilo, že správni používatelia majú správny prístup k správnym zdrojom s čo najmenším trením.“

Kredit: FIDO Alliance

Nahrádzajú sa heslá?

Mnoho ľudí nemusí byť pripravení opustiť heslá, ale ak sa na nich budú používatelia naďalej spoliehať, bude potrebné ich chrániť. V skutočnosti správa spoločnosti Verizon o porušení údajov za rok 2017 odhalila, že 81 percent porušenia údajov pramení z ukradnutých hesiel. Tieto druhy štatistík spôsobujú, že heslá sú problémom pre každú organizáciu, ktorá sa snaží spoľahlivo chrániť svoje systémy.

„Ak dokážeme vyriešiť heslá a získať ich a prejsť k inteligentnejšiemu typu overovania, zabránime tomu, aby sa dnes väčšina prípadov porušenia údajov stala, “ uviedol Kovetz spoločnosti Silverfort.

Heslá pravdepodobne nezmiznú všade, ale môžu byť odstránené pre konkrétne aplikácie, poznamenal Silverfort's Kovetz. Povedal, že úplné odstránenie hesiel pre počítačový hardvér a zariadenia internetu vecí (IoT) by bolo zložitejšie. Ďalším dôvodom povedal, že úplná autentifikácia bez hesla nemusí nastať tak skoro, pretože ľudia sú k nim psychicky pripojení.

Prechod z hesiel zahŕňa aj kultúrne zmeny v organizáciách podľa Lewisa spoločnosti Cisco. „Prechod od statických hesiel k MFA je zásadným kultúrnym posunom, “ uviedol Lewis. "Nútiš ľudí, aby robili veci inak, ako to robili roky."

Spracovanie a umelá inteligencia MFA

Umelá inteligencia (AI) sa používa na pomoc správcom IDM a systémom MFA vyrovnať sa s prívodom nových prihlasovacích údajov. Riešenia MFA od dodávateľov, ako je Silverfort, používajú AI na získanie prehľadu o tom, kedy je MFA potrebná a kedy nie.

„Časť AI, keď ju skombinujete, vám umožní urobiť počiatočné rozhodnutie o tom, či by si konkrétne overenie malo vyžadovať MFA alebo nie, “ povedal Kovetz spoločnosti Silverfort. Uviedol, že súčasť aplikácie strojového učenia (ML) môže poskytnúť vysoké skóre rizika, ak zistí neobvyklú štruktúru činnosti, napríklad ak niekto v Číne náhle získa prístup k účtu zamestnanca a zamestnanec pravidelne pracuje v Spojených štátoch.

„Ak sa používateľ prihlasuje do aplikácie z kancelárie pomocou vlastného počítača vydaného spoločnosťou, potom by sa MFA nevyžadovala, pretože je to„ normálne “, “ vysvetlil Steinkopf spoločnosti Centrify. „Ak by však ten istý používateľ cestoval do zahraničia alebo používal zariadenie niekoho iného, ​​boli by vyzvaní na makrofinančnú pomoc, pretože riziko je vyššie.“ Steinkopf dodal, že makrofinančná pomoc je často prvým krokom pri používaní ďalších overovacích techník.

CIO tiež pozorne sledujú behaviorálnu biometriu, ktorá sa stala rastúcim trendom v nových nasadeniach makrofinančnej pomoci. Behavoriálna biometria používa softvér na sledovanie toho, ako používatelia píšu alebo prejdú prstom. Aj keď to znie ľahko, v skutočnosti si vyžaduje spracovanie veľkých častí rýchlo sa meniacich údajov, a preto predajcovia využívajú pomoc ML.

„Hodnota v ML pre autentifikáciu by spočívala v vyhodnotení viacerých komplexných signálov, zistení základnej„ identity “používateľa na základe týchto signálov a upozornení na anomálie v tejto základnej línii, “ povedal Okta Diamond. „Behaviorálna biometria je príkladom, v ktorom sa to môže prejaviť. Pochopenie nuancií toho, ako používateľ píše, chodí alebo inak interaguje so svojím zariadením, vyžaduje na vytvorenie tohto užívateľského profilu pokročilý spravodajský systém.“

Miznúce perimetre

S vývojom cloudovej infraštruktúry, cloudových služieb a najmä veľkým objemom údajov zariadení IoT mimo prevádzkových priestorov je teraz v mieste dátového centra organizácie viac ako len fyzický obvod. K dispozícii je tiež virtuálny obvod, ktorý musí chrániť aktíva spoločnosti v cloude. Podľa Kovetza hrá v oboch scenároch kľúčovú úlohu.

„Obvody boli predtým fyzicky definované ako v kancelárii, ale dnes sú vymedzené podľa identity, “ uviedol Kovetz. Ako sa strácajú obvody, vykonajte aj ochranu, ktorú používajú silné brány firewall na zabezpečenie káblových stolových počítačov. MFA by mohla byť jedným zo spôsobov, ako nahradiť to, čo brány firewall tradične robili, navrhol Kovetz.

• Dvojfaktorové overenie: Kto to má a ako je nastavený Dvojfaktorové overenie: kto to má a ako je nastavený
• Za hranicami: Ako riešiť vrstvenú bezpečnosť Za hranicami: Ako riešiť vrstvenú bezpečnosť
• Model Zero Trust získava paru s odborníkmi na bezpečnosť. Model Zero Trust získava paru s odborníkmi na bezpečnosť

„Kam umiestnite produkty zabezpečenia siete?“ Opýtal sa Kovetz. „Zabezpečenie siete už naozaj nefunguje. MFA sa stáva novým spôsobom, ako skutočne chrániť vašu bezhraničnú sieť.“

Jedným z kľúčových spôsobov, ako sa MFA vyvíja za hranicami, je prostredníctvom rastúceho davu identifikačných systémov, ktoré sa predávajú na báze Software-as-a-Service (SaaS), vrátane väčšiny služieb IDM, ktoré spoločnosť PCMag Labs preskúmala v minulom roku. „Obrovský počet produktov SaaS, ktoré umožňujú malým a stredným podnikom ľahko vstávať a fungovať, už funguje mimo obvodu, “ uviedol Nathan Rowe, spoluzakladateľ a hlavný produktový riaditeľ (CPO) u poskytovateľa zabezpečenia údajov Evident. Model SaaS drasticky znižuje náklady aj zložitosť nasadenia, takže je to veľká pomoc pre malé a stredne veľké podniky, pretože podľa Rowe znižuje výdavky na IT a réžiu.

Riešenia SaaS sú určite budúcnosťou spoločnosti IDM, čo z nich robí budúcnosť aj makrofinančnej pomoci. To je dobrá správa, pretože dokonca aj malé podniky sa neúprosne presúvajú do IT architektúry multi-cloud a cloudových služieb, kde sa ľahký prístup k MFA a ďalším pokročilým bezpečnostným opatreniam čoskoro stane povinným.