A multifaktoros hitelesítés kulcsfontosságú lesz a felhőalapú eszközöket védő vállalkozások számára

Amikor igazolja, hogy ki vagy az identitáskezelő (IDM) rendszerrel, észrevetheti, hogy az utóbbi időben egyre többen igényelnek további lépéseket a felhasználói azonosító és a jelszó mellett, például olyan utasításokat, amelyek kódot küldnek a telefonra, amikor bejelentkezik. a Gmailbe, a Twitterbe vagy a bankszámlájára olyan eszközről, amelyet általában nem használ. Csak ügyeljen arra, hogy ne felejtse el első háziállata nevét vagy az anyja születési helyét, mert valószínűleg be kell írnia ezeket az információkat személyazonosságának igazolásához. Ezek az adatok, amelyek jelszóval kombinálva szükségesek, a multifaktoros hitelesítés (MFA) egyik formája.

Az MFA nem új. A fizikai technológiaként kezdődött; Az intelligens kártyák és az USB-kulcsok két olyan eszköz, amelyekre a helyes jelszó beírása után be kellett jelentkeznünk a számítógépekbe vagy a szoftverszolgáltatásokba. Az MFA azonban gyorsan fejlesztette ezt a bejelentkezési folyamatot, hogy más azonosítókat is tartalmazzon, például mobil push értesítéseket.

"Elmúltak azok a régi idők, amikor a vállalatoknak hardver tokeneket kellett telepíteniük, és a felhasználók frusztráltan hatjegyű kódokba gépeltek, amelyek 60 másodpercenként forogtak" - mondta Tim Steinkopf, a Centrify Corp. elnöke, a Centrify Identity Service készítője. "Ez drága és rossz felhasználói élmény volt. Most az MFA olyan egyszerű, mint egy push értesítés fogadása a telefonjára." Steinkopf szerint azonban még a rövid üzenet-szolgáltatáson (SMS) keresztül kapott kódok is összevonják a szemöldökét.

"Az SMS már nem biztonságos továbbítási módszer az MFA-kódokhoz, mivel ezek elfoghatók" - mondta. "A nagyon érzékeny források esetében a vállalatoknak most még biztonságosabb titkosítási tokeneket kell fontolóra venniük, amelyek megfelelnek az új FIDO (Fast IDentity Online) szövetség szabványainak." A titkosítási tokenek mellett a FIDO2 szabványok tartalmazzák a World Wide Web Consortium (W3C) webes hitelesítési specifikációját és a kliens hitelesítő protokollját (CTAP). A FIDO2 szabványok beágyazott biometrikus adatokkal is támogatják a felhasználói mozdulatokat, például az arcfelismerést, az ujjlenyomat-elhúzást és az írisz letapogatását.

Az MFA használatához be kell építenie a jelszavak és a kérdések kérdését olyan eszközökre, mint például okostelefonok, vagy használnia kell ujjlenyomatokat és arcfelismerést - magyarázta Joe Diamond, az Okta biztonsági termékmarketing-igazgatója, az Okta Identity Management alkotója.

"Több szervezet most ismeri fel az SMS-alapú egyszeri jelszavakkal kapcsolatos biztonsági kockázatokat MFA-tényezőként. Nagyon triviális, ha egy rossz szereplő„ SIM-csere ”és átveszi a mobilszámot - mondta Diamond. "Az ilyen célzott támadás kockázatának kitett bármely felhasználónak erősebb második tényezőt kell alkalmaznia, például egy biometrikus tényezőt vagy kemény tokent, amely kriptográfiai kézfogást hoz létre az eszköz és a szolgáltatás között."

Az MFA néha nem tökéletes. November 27-én a Microsoft Azure kimaradt az MFA-val egy Domain Name System (DNS) hiba miatt, amely számos sikertelen kérelmet okozott, amikor a felhasználók megpróbálták bejelentkezni olyan szolgáltatásokba, mint az Active Directory.

Hitel: FIDO Szövetség

Mobil push értesítések

A szakértők a mobil "push értesítéseket" tekintik a biztonsági "tényezők" legjobb opciójának, mivel az a biztonság és a használhatóság hatékony kombinációjával rendelkezik. Az alkalmazás üzenetet küld a felhasználó telefonjára, amelyben értesíti a felhasználót, hogy a szolgáltatás megpróbálja bejelentkezni a felhasználóba vagy adatokat küldeni.

"Ön bejelentkezik egy hálózatba, és nem csak a jelszavát írja be, hanem az eszközéhez kerül, ahol azt mondja, igen vagy nem, megpróbálja hitelesíteni ezt az eszközt, és ha igen, akkor megadja a hozzáférést a a hálózatot "- magyarázta Dave Lewis, a Cisco Duo biztonsági üzletágának globális tanácsadó informatikai biztonsági vezetője (CISO), amely a Duo Push mobil hitelesítési alkalmazást kínálja. Az MFA-t kínáló egyéb termékek közé tartozik a Yubico YubiKey 5 NFC és a Ping Identity PingOne.

A mobil push értesítésekből hiányoznak az SMS-ben küldött egyszeri jelszavak, mivel ezeket a jelszavakat meglehetősen könnyű feltörni. Hed Kovetz, az MFA megoldás-szolgáltató, a Silverfort társalapítója és vezérigazgatója szerint a titkosítás hatékonnyá teszi az értesítéseket.

"Csak egy kattintás, és a biztonság nagyon erős, mert egy egészen más eszköz" - mondta. "Meg lehet változtatni az alkalmazást, ha veszélyeztetett, és teljesen titkosítva és hitelesítve van a modern protokollokkal. Ez nem olyan, mint például egy SMS, amely könnyen sérül, mert a szabvány alapvetően gyenge, és könnyen megsérthető a Signaling System 7 (SS7) támadásokkal. és mindenféle egyéb támadás az SMS ellen."

Az MFA tartalmaz nulla bizalmat

Az MFA a Zero Trust modell kulcsfontosságú része, amelyben nem bíz meg egyetlen hálózati felhasználóban sem, amíg nem igazolja, hogy törvényesek. "Az MFA alkalmazása szükséges lépés annak ellenőrzéséhez, hogy a felhasználó valójában az, aki azt állítja, hogy ő" - mondta Steinkopf.

"Az MFA kritikus szerepet játszik bármely szervezet Zero Trust érettségi modelljében, mivel a hozzáférés engedélyezéséhez először meg kell határoznunk a felhasználói bizalmat" - tette hozzá Okta Diamond. "Ezt az összes erőforráshoz kapcsolódó központi identitási stratégiával kell összekapcsolni, hogy az MFA-házirendek összekapcsolhatók legyenek a hozzáférési politikákkal, hogy a megfelelő felhasználóknak a lehető legkevesebb súrlódással hozzáférjenek a megfelelő erőforrásokhoz."

Hitel: FIDO Szövetség

Cserélik a jelszavakat?

Lehet, hogy sok ember nem hajlandó elfelejteni a jelszavakat, de ha a felhasználók továbbra is rájuk bíznak, meg kell védeni őket. Valójában a Verizon 2017. évi adatsértési jelentése rámutatott, hogy az adatsértések 81% -a lopott jelszavakból származik. Az ilyen típusú statisztikák a jelszavak problémáját jelentik minden olyan szervezet számára, amely megbízhatóan védi a rendszereit.

"Ha meg tudjuk oldani a jelszavakat, és beszerezzük őket, és okosabb típusú hitelesítésre léphetünk, akkor megakadályozzuk a mai napon fennálló adatsértéseket" - mondta Silvervet's Kovetz.

A jelszavak nem valószínű, hogy mindenütt eltűnnek, ám egyes alkalmazásoknál ezek eltűnhetnek - jegyezte meg Silverfort Kovetz. Azt mondta, hogy a számítógépes hardverek és a tárgyak internete (IoT) eszközök jelszavainak teljes eltávolítása bonyolultabb lenne. Egy másik ok, amely szerint a teljes jelszó nélküli hitelesítés nem hamarosan megtörténik, az az, hogy az emberek pszichológiailag kapcsolódnak hozzájuk.

A jelszavakról történő átmenet a Cisco Lewis szerint a szervezetek kulturális változását is magában foglalja. "A statikus jelszavaktól az MFA-hoz való elmozdulás alapvetően kulturális elmozdulás" - mondta Lewis. "Megkéri az embereket, hogy másképp tegyék a dolgokat, mint évek óta."

MFA feldolgozás és mesterséges intelligencia

A mesterséges intelligencia (AI) segítségével az IDM adminisztrátorok és az MFA rendszerek megbirkóznak az új bejelentkezési adatokkal. Az olyan eladók, mint a Silverfort, az MFA-megoldások az AI-t alkalmazzák, hogy betekintést nyerjenek arról, hogy mikor szükséges az MFA, mikor nem.

"Az AI rész, amikor összevonja, lehetővé teszi az első döntést arról, hogy egy adott hitelesítéshez MFA-t kell-e igénybe venni, " - mondta Silvervet's Kovetz. Azt mondta, hogy az alkalmazás gépi tanulási (ML) alkotóeleme magas kockázati pontszámot eredményezhet, ha rendellenes tevékenységi mintát észlel, például ha valaki Kínában valakinek hozzáfér egy alkalmazotti fiókhoz, és az alkalmazott rendszeresen dolgozik az Egyesült Államokban.

"Ha egy felhasználó az irodából jelentkezik be az alkalmazásba a saját vállalata által kiadott PC-vel, akkor az MFA-ra nincs szükség, mivel ez" normális "" - magyarázta a Centrify Steinkopf. "De ha ugyanaz a felhasználó külföldre utazik, vagy valaki más készülékét használja, akkor rákérdeznek rá MFA, mert a kockázat nagyobb." Steinkopf hozzátette, hogy az MFA gyakran az első lépés további ellenőrzési technikák használatakor.

A CIO-k figyelemmel kísérik a viselkedés biometrikus adatait is, amelyek egyre növekvő tendenciákká váltak az új MFA-alkalmazások során. A viselkedési biometria olyan szoftvert használ, amely nyomon követi a felhasználók gépelésének vagy ellopének módját. Bár ez könnyűnek tűnik, valójában nagy mennyiségű, gyorsan változó adat feldolgozását igényli, ezért a gyártók az ML-t alkalmazzák.

"Az ML hitelesítésének értéke az lenne, hogy több komplex jelet ki kell értékelni, meg kell tanulni a felhasználó alapértelmezett 'identitását' ezen jelek alapján, és figyelmeztetni kell az alapvonal rendellenességeire" - mondta az Okta gyémánt. "A viselkedési biometria egy példa erre, amely játékba kerülhet. Ha meg akarod érteni az olyan árnyalatok megértését, hogy a felhasználó hogyan írja be, sétál vagy más módon működik együtt az eszközzel, fejlett intelligenciarendszerre van szükség a felhasználói profil létrehozásához."

Eltűnő kerületek

A felhőinfrastruktúra, a felhőalapú szolgáltatások fejlődésével, és különösen a telephelyen kívüli IoT-eszközök nagy adatmennyiségével a szervezet adatközpontjának helyén ma már több, mint egy fizikai kerület található. Van még egy virtuális kerület is, amelynek meg kell védenie a vállalat vagyonát a felhőben. Mindkét esetben az identitás kulcsszerepet játszik Kovetz szerint.

"A kerületeket általában fizikailag, például az irodában is meghatározták, de manapság a kerületeket identitás határozza meg" - mondta Kovetz. Ahogy a kerületek eltűnnek, ugyanúgy megsemmisülnek az erős tűzfalak, amelyeket vezetékes asztali számítógépek biztosítására használtak. Az MFA lehetne az egyik módja annak, hogy a tűzfalak hagyományosan cseréljék fel - javasolta Kovetz.

• Kétfaktoros hitelesítés: ki rendelkezik és hogyan állíthatja be Kétfaktoros hitelesítés: ki rendelkezik és hogyan kell beállítani
• A kerületen túl: A rétegelt biztonság kezelése a kerületen kívül: Hogyan kezeljük a réteges biztonságot
• A Zero Trust Model Steam-et szerez a biztonsági szakértőkkel

", hová tesz a hálózati biztonsági termékeket?" - kérdezte Kovetz. "A hálózati biztonság már nem működik igazán. Az MFA lesz az új módszer a kerület nélküli hálózat védelmére."

Az egyik legfontosabb módja annak, hogy az MFA a kerületen túl fejlődjön, az egyre növekvő identitási rendszerek tömege révén, amelyeket szoftverként szolgáltatásként (SaaS) alapon értékesítenek, ideértve az IDM-szolgáltatások többségét, amelyet a PCMag Labs az elmúlt évben felülvizsgált. "A SaaS-termékek hatalmas száma, amelyek lehetővé teszik az SMB-k számára, hogy könnyedén felálljanak, már a kerületen kívül is működnek" - mondta Nathan Rowe, az Evident adatbiztonsági szolgáltató társalapítója és termékvezetője (CPO). A SaaS modell drasztikusan csökkenti mind a költségeket, mind a telepítés bonyolultságát, tehát Rowe szerint nagy segítséget nyújt a kisvállalkozások számára a közepes méretű vállalkozások számára, mivel csökkenti az informatikai kiadásokat és az általános költségeket.

A SaaS megoldások minden bizonnyal az IDM jövője, ami őket az MFA jövőjévé is teszi. Ez jó hír, mivel még a kisvállalkozások is elkerülhetetlenül átmennek a multi-cloud és cloud service IT architektúrákba, ahol hamarosan kötelezővé válik az egyszerű hozzáférés az MFA-hoz és más fejlett biztonsági intézkedésekhez.