Višefaktorna provjera identiteta bit će ključna za tvrtke koje štite oblačne resurse

Prilikom dokazivanja tko ste u sustavu upravljanja identitetom (IDM), možda ste primijetili da u posljednje vrijeme sve više njih zahtijeva dodatni korak pored vašeg korisničkog ID-a i lozinke, poput upita koji šalju kodove na vaš telefon prilikom prijave. na Gmail, Twitter ili svoj bankovni račun s drugog uređaja koji nije onaj koji obično koristite. Samo pazite da ne zaboravite ime svog prvog kućnog ljubimca ili mjesto gdje se majka rodila, jer ćete vjerojatno morati unijeti te podatke kako biste dokazali svoj identitet. Ovi dijelovi podataka, potrebni u kombinaciji s lozinkom, jedan su od oblika višefaktorne autentifikacije (MFA).

MVP nije novo. Počelo je kao fizička tehnologija; pametne kartice i USB ključevi dva su primjera uređaja za koje smo se morali prijaviti u računala ili softverske usluge nakon unosa ispravne lozinke. Međutim, MVP ubrzano razvija ovaj postupak prijave i uključuje druge identifikatore, poput mobilnih push obavijesti.

"Prošla su stara vremena kada su kompanije morale rasporediti tokene hardvera, a korisnici su frustrirano kucali u šestoznamenkasti kod koji se rotirao svakih 60 sekundi", rekao je Tim Steinkopf, predsjednik Centrify Corp., proizvođač službe Centrify Identity Service. "To je skupo i loše korisničko iskustvo. Sada je MFA jednostavno poput primanja push obavijesti na vaš telefon." Međutim, prema šifri Steinkopf sada su namršteni čak i kodovi koje primamo putem usluge kratkih poruka (SMS).

"SMS više nije siguran način prijevoza za MFA kodove jer se mogu presresti", rekao je. "Za vrlo osjetljive resurse, kompanije sada moraju razmotriti još sigurnije kripto-tokene koji slijede nove standarde Saveza za brzo IDentity Online (FIDO)." Uz kripto-tokene, FIDO2 standardi sadrže specifikaciju Web Authentication World Wide Web Consortium (W3C) i protokol klijenta do autentifikatora (CTAP). Standardi FIDO2 također podržavaju geste korisnika pomoću ugrađenih biometrija kao što su prepoznavanje lica, otisak prsta i skeniranje šarenice.

Da biste koristili MFA, morat ćete ugraditi mješavinu lozinki i pitanja za uređaje poput pametnih telefona ili upotrijebiti otiske prstiju i prepoznavanje lica, objasnio je Joe Diamond, direktor odjela za upravljanje proizvodnim sigurnosnim proizvodima u Okta, proizvođača Okta Identity Management.

"Više organizacija sada prepoznaje sigurnosne rizike povezane sa jednokratnim lozinkama temeljenim na SMS-u kao faktor MFA. Loš je glumac" SIM swap "i preuzimanje mobilnog broja prilično trivijalno", rekao je Diamond. "Svaki korisnik koji prijeti takvim ciljanim napadom trebao bi implementirati jače druge čimbenike poput biometrijskog faktora ili tvrdog tokena koji stvara kriptografski stisak ruke između uređaja i usluge."

Ponekad MFA nije savršen. 27. studenog Microsoft Azure pretrpio je kvar u vezi s MFA-om zbog pogreške u sustavu domena (DNS), što je uzrokovalo mnoge neuspjele zahtjeve kada su se korisnici pokušali prijaviti na usluge poput Active Directory.

Zasluga: FIDO Savez

Obavijesti o mobilnim pritiscima

Stručnjaci vide mobilne push obavijesti najboljom opcijom sigurnosnih "faktora" jer ima učinkovitu kombinaciju sigurnosti i upotrebljivosti. Aplikacija šalje poruku korisničkom telefonu i obavještava osobu da usluga pokušava prijaviti ili poslati podatke.

"Prijavljujete se na mrežu i, umjesto da unesete samo svoju lozinku, odgurnute se na svoj uređaj gdje piše da ili ne, pokušavate autentificirati ovaj uređaj, a ako kažete da, to vam omogućava pristup mrežu ", objasnio je Dave Lewis, glavni savjetnik za globalnu savjetodavnu sigurnost (CISO) za posao tvrtke Cisco Duo o sigurnosti, koji nudi aplikaciju za mobilnu provjeru autentičnosti Duo Push. Ostali proizvodi koji nude MFA uključuju Yubico YubiKey 5 NFC i Ping Identity PingOne.

U mobilnim push obavijestima nema nekadašnje lozinke poslane putem SMS-a, jer se te lozinke mogu prilično lako hakirati. Šifriranje čini da su obavijesti učinkovite, izjavio je Hed Kovetz, suosnivač i izvršni direktor davatelja MFA rješenja Silverfort.

"To je samo jedan klik, a sigurnost je vrlo jaka jer se radi o posve različitom uređaju", rekao je. "Možete promijeniti aplikaciju ako je ugrožena i ona je u potpunosti šifrirana i ovjerena suvremenim protokolima. To, na primjer, nije poput SMS-a, što je lako kompromitirano jer je standard u osnovi slab i lako se krši s napadima Signalnog sustava 7 (SS7). i sve vrste drugih napada putem SMS-a."

MVP uključuje nula povjerenja

MFA je ključni dio modela Zero Trust u koji ne vjerujete mrežnim korisnicima dok ne provjerite jesu li legitimni. "Primjena MFA-a je nužan korak u provjeri da je korisnik zapravo takav za koga kažu da jest", rekao je Steinkopf.

"MVP igra ključnu ulogu u modelu zrelosti bilo koje organizacije Zero Trust, jer prvo moramo uspostaviti povjerenje korisnika prije nego što možemo odobriti pristup", dodao je Okta's Diamond. "Ovo također mora biti povezano s centraliziranom strategijom identiteta na svim resursima kako bi se politike MVP-a mogle upariti s politikama pristupa kako bi se osiguralo da pravi korisnici imaju pravi pristup pravim resursima, uz što manje trenja."

Zasluga: FIDO Savez

Zamjenjuju li se lozinke?

Mnogi ljudi možda nisu spremni napustiti lozinke, ali ako se korisnici i dalje oslanjaju na njih, morat će ih se zaštititi. Zapravo je Verizon-ovo Izvješće o kršenju podataka za 2017. otkrilo da 81 posto kršenja podataka proizlazi iz ukradenih lozinki. Takve statistike čine lozinku problem svakoj organizaciji koja želi pouzdano zaštititi svoje sustave.

"Ako uspijemo riješiti lozinke i dobiti ih i prebaciti se na pametniju vrstu provjere autentičnosti, spriječit ćemo većinu kršenja podataka koja se događaju danas", rekao je Kofortov Silverfort.

Lozinke vjerojatno neće nestati svugdje, ali mogu se eliminirati za određene aplikacije, primijetio je Silverfort iz Kovetza. Rekao je da bi uklanjanje lozinki za računarski hardver i uređaje Internet of Things (IoT) bilo složenije. Drugi razlog koji je rekao da se potpuna provjera autentičnosti bez lozinke možda neće dogoditi tako brzo je taj što su ljudi psihološki vezani za njih.

Prijelaz s lozinki također uključuje kulturnu promjenu u organizacijama prema Ciscovom Lewisu. "Guranje od statičkih lozinki prema MVP-u u osnovi je kulturološki pomak", rekao je Lewis. "Natjerate ljude da rade stvari drugačije nego što to rade godinama."

MFA obrada i umjetna inteligencija

Umjetna inteligencija (AI) koristi se kako bi se IDM administratori i MFA sustavi mogli nositi s nizom novih podataka za prijavu. MFA rješenja dobavljača poput Silverforta primjenjuju AI kako bi stekli uvid o tome kada je MFA potreban, a kada nije.

"AI dio kada ga kombinirate omogućava vam da donesete početnu odluku o tome treba li određena autentifikacija zahtijevati MFA ili ne", rekao je Kofortov Silverfort. Rekao je da komponenta strojnog učenja (ML) aplikacije može pružiti visoku ocjenu rizika ako otkrije nenormalni obrazac aktivnosti, kao što je ako računu zaposlenika iznenada pristupi netko u Kini, a zaposlenik redovito radi u Sjedinjenim Državama.

"Ako se korisnik prijavljuje u aplikaciju iz ureda pomoću vlastitog osobnog računala, tada mu neće biti potreban MFA jer je to normalno", objasnio je Steinkopf iz Centrifyja. "Ali ako taj isti korisnik putuje u inozemstvo ili koristi nečiji tuđi uređaj, zatražit će od MFA-a jer je rizik veći." Steinkopf je dodao da je vanjskopolitičko financiranje često prvi korak prilikom korištenja dodatnih tehnika provjere.

CIO-i također pažljivo prate biometriju u ponašanju, koja postaje sve veći trend u novim primjenama vanjskih poslova. Bihavorijska biometrija koristi softver za praćenje načina na koji se korisnici upišu ili prelaze prstom. Iako ovo zvuči lako, zapravo zahtijeva obradu velikih komada podataka koji se brzo mijenjaju, zbog čega prodavači zapošljavaju ML kako bi im pomogli.

"Vrijednost u ML-u za provjeru autentičnosti bila bi procjena više složenih signala, učenje osnovnog 'identiteta' korisnika na temelju tih signala i upozorenje na anomalije prema toj osnovnoj liniji, " rekao je Okta Diamond. "Bihevioralna biometrija je primjer gdje se to može igrati. Razumijevanje nijansi načina na koji korisnik tip, šetnju ili na drugi način komunicira sa svojim uređajem zahtijeva napredni obavještajni sustav za stvaranje tog korisničkog profila."

Nestajuće perimetri

S razvojem oblačne infrastrukture, oblačnih usluga, a posebno velike količine podataka izvan lokacijskih IoT uređaja, sada je više nego fizički perimetar na mjestu gdje se nalazi centar podataka. Postoji i virtualni perimetar koji treba zaštititi imovinu tvrtke u oblaku. U oba scenarija identitet igra ključnu ulogu prema Kovetzu.

"Perimetri su se definirali fizički, poput ureda, a danas su obodni dijelovi određeni identitetom", rekao je Kovetz. Kako nestaju obodi, to čine i zaštite koje su snažni vatrozidi koristili za ožičena stolna računala. MVF bi mogao biti jedan od načina zamjene onoga što vatrozidovi tradicionalno čine, predložio je Kovetz.

• Dvofaktorska provjera autentičnosti: tko to ima i kako postaviti dvofaktornu provjeru autentičnosti: tko je posjeduje i kako to postaviti
• Izvan perimetra: Kako se obratiti slojevitoj sigurnosti izvan perimetra: Kako se obratiti slojevitoj sigurnosti
• Zero Trust Model dobiva paru sa sigurnosnim stručnjacima Zero Trust Model dobiva paru sa sigurnosnim stručnjacima

", gdje stavljate proizvode sigurnosti mreže?" - upita Kovetz. "mrežna sigurnost uistinu ne funkcionira. MFA postaje novi način zapravo zaštite vaše mreže koja ne prolazi perimetrom."

Jedan od glavnih načina na koji se MFA razvija izvan perimetra je kroz rastuću mnoštvo identitetskih sustava koji se prodaju softversko-as-a-Service (SaaS), uključujući većinu IDM usluga koje je PCMag Labs pregledao u prošloj godini. "Ogroman broj SaaS proizvoda koji omogućuju malim i srednjim tvrtkama da lako ustanu i rade već rade izvan perifernog područja", rekao je Nathan Rowe, suosnivač i glavni proizvodni direktor (CPO) kod pružatelja usluga sigurnosti podataka Evident. SaaS model drastično smanjuje i troškove i složenost implementacije, tako da je velika pomoć malim i srednjim poduzećima jer smanjuje IT potrošnju i režijske troškove, navodi Rowe.

Rješenja SaaS zasigurno su budućnost IDM-a što ih čini i budućnošću MVP-a. To je dobra vijest jer se čak i male tvrtke neumoljivo kreću ka IT-arhitekturi s više oblaka i oblacima, gdje će jednostavan pristup MVP-u i drugim naprednim sigurnosnim mjerama uskoro postati obavezan.