Autentificarea multifactorică va fi cheia pentru întreprinderile care protejează activele cloud

Când ați dovedit cine sunteți către un sistem de gestionare a identității (IDM), este posibil să fi observat că recent, din ce în ce mai mulți dintre aceștia necesită un pas suplimentar în afară de ID-ul de utilizator și parola dvs., cum ar fi solicitări care trimit coduri către telefonul dvs. atunci când vă conectați către Gmail, Twitter sau contul dvs. bancar de pe alt dispozitiv decât cel pe care îl utilizați de obicei. Doar asigurați-vă că nu uitați numele primului dvs. animal de companie sau locul în care s-a născut mama, pentru că probabil va trebui să introduceți aceste informații pentru a vă dovedi identitatea. Aceste informații, necesare în combinație cu o parolă, sunt o formă de autentificare multifactorie (MFA).

MFA nu este nou. A început ca tehnologie fizică; cardurile inteligente și dongles-urile USB sunt două exemple de dispozitive la care am fost solicitați să vă conectăm la computere sau servicii software odată ce a fost introdusă parola corectă. Cu toate acestea, MFA a evoluat rapid acest proces de conectare pentru a include alți identificatori, cum ar fi notificările mobile.

„Au rămas vremurile în care companiile au fost nevoite să implementeze jetoane hardware, iar utilizatorii au fost tastați frustrat cu coduri de șase cifre care se roteau la fiecare 60 de secunde”, a spus Tim Steinkopf, președintele Centrify Corp., producător al Centrify Identity Service. "Aceasta a fost scumpă și o experiență proastă pentru utilizatori. Acum MFA este la fel de simplu ca să primiți o notificare push la telefonul dvs." Cu toate acestea, chiar și codurile pe care le primim prin Serviciul de mesaje scurte (SMS) sunt acum încruntate, potrivit Steinkopf.

"SMS-ul nu mai este o metodă de transport sigur pentru codurile MFA, deoarece acestea pot fi interceptate", a spus el. "Pentru resurse extrem de sensibile, companiile trebuie să ia în considerare jetoane criptografice și mai sigure care respectă noile standarde ale Alianței Fast IDentity Online (FIDO)". În plus față de jetoane cripto, standardele FIDO2 încorporează specificația de autentificare Web World Wide Web Consortium (W3C) și Protocolul CTAP (Client to Authenticator). Standardele FIDO2 acceptă, de asemenea, gesturile utilizatorilor folosind biometrie încorporate, cum ar fi recunoașterea facială, alunecarea amprentelor și scanarea irisului.

Pentru a utiliza MFA, va trebui să încorporați un amestec de parole și parole pentru dispozitive precum smartphone-uri sau să folosiți amprente și recunoaștere facială, a explicat Joe Diamond, directorul Managementului marketingului produselor de securitate din Okta, producătorii Okta Identity Management.

"Mai multe organizații recunosc acum riscurile de securitate asociate cu parolele bazate pe SMS ca fiind un factor MFA. Este destul de banal pentru un actor rău să„ schimbe SIM "și să preia numărul de telefon mobil", a spus Diamond. "Orice utilizator care riscă un astfel de atac vizat ar trebui să implementeze alți doi factori mai puternici, cum ar fi un factor biometric sau un jeton greu care creează o strângere de mână criptografică între dispozitiv și serviciu."

Uneori, MFA nu este perfect. Pe 27 noiembrie, Microsoft Azure a suferit o întrerupere legată de MFA din cauza unei erori de sistem de nume de domeniu (DNS) care a cauzat numeroase solicitări eșuate atunci când utilizatorii au încercat să se conecteze la servicii precum Active Directory.

Credit: FIDO Alliance

Notificări Mobile Push

Experții consideră notificările push mobile ca fiind cea mai bună opțiune a „factorilor” de securitate, deoarece are o combinație eficientă de securitate și utilizare. O aplicație trimite un mesaj către telefonul utilizatorului notificând persoanei că serviciul încearcă să logheze utilizatorul sau să trimită date.

„Vă conectați la o rețea și, în loc să introduceți doar parola, sunteți împins pe dispozitivul dvs. unde spune da sau nu, încercați să autentificați acest dispozitiv și, dacă spuneți da, vă acordă acces în rețeaua ", a explicat Dave Lewis, Global Advisory Chief Security Officer (CISO) pentru activitatea de securitate Duo Cisco, care oferă aplicația de autentificare mobilă Duo Push. Alte produse care oferă MFA includ Yubico YubiKey 5 NFC și PingOing Identity PingOne.

Notificările push mobile nu au parolele trimise prin SMS, deoarece aceste parole pot fi hackate destul de ușor. Criptarea face notificările eficiente, potrivit lui Hed Kovetz, co-fondator și CEO al furnizorului de soluții MFA Silverfort.

"Este doar un clic, iar securitatea este foarte puternică, deoarece este un dispozitiv cu totul altul", a spus el. "Puteți schimba aplicația dacă este compromisă și este complet criptată și autentificată cu protocoale moderne. Nu este ca un SMS de exemplu, care este ușor compromis deoarece standardul este practic slab și ușor încălcat cu atacurile sistemului de semnalizare 7 (SS7). și tot felul de alte atacuri la SMS."

MFA încorporează Zero Trust

MFA este o parte cheie a modelului Zero Trust în care nu aveți încredere în niciun utilizator de rețea până când nu verificați că sunt legitime. "Aplicarea MFA este un pas necesar în verificarea faptului că utilizatorul este de fapt cine spune că sunt", a spus Steinkopf.

„MFA joacă un rol esențial în modelul de maturitate Zero Trust al oricărei organizații, întrucât mai întâi trebuie să stabilim încrederea utilizatorilor înainte de a putea acorda acces”, a adăugat Diamond Okta. "De asemenea, aceasta trebuie să fie însoțită de o strategie de identitate centralizată pentru toate resursele, astfel încât politicile MAF să poată fi asociate cu politicile de acces pentru a se asigura că utilizatorii potriviți au accesul corect la resursele potrivite, cu cât mai puțin frecări posibile."

Credit: FIDO Alliance

Se înlocuiesc parolele?

Este posibil ca mulți oameni să nu fie pregătiți să abandoneze parolele, dar dacă utilizatorii vor continua să se bazeze pe ele, va trebui să fie protejați. De fapt, Raportul privind încălcarea datelor din Verizon din 2017 a dezvăluit că 81 la sută dintre încălcările de date provin din parolele furate. Aceste tipuri de statistici fac ca parolele să fie o problemă pentru orice organizație care dorește să-și protejeze în mod fiabil sistemele.

„Dacă putem rezolva parolele și le putem lua și ne vom muta într-un tip mai inteligent de autentificare, vom preveni ca majoritatea încălcărilor de date să se întâmple astăzi”, a spus Kovetz de la Silverfort.

Parolele nu vor dispărea peste tot, dar pot fi eliminate pentru anumite aplicații, a notat Kovetz de la Silverfort. El a spus că eliminarea parolelor cu totul pentru hardware-ul computerului și dispozitivele Internet of Things (IoT) ar fi mai complexă. Un alt motiv pentru care a spus că s-ar putea să nu se întâmple autentificarea completă fără parolă, deoarece oamenii sunt atașați psihologic de ele.

Trecerea de la parole implică, de asemenea, o schimbare culturală în organizații, după Lewis Cisco. "Îndepărtarea de la parolele statice către MAE este fundamental o schimbare culturală", a spus Lewis. „Îi faci pe oameni să facă lucrurile altfel decât au făcut-o de ani buni”.

Procesare MFA și Informații artificiale

Inteligența artificială (AI) este utilizată pentru a ajuta administratorii IDM și sistemele MFA să facă față unui baraj de date de conectare noi. Soluțiile MFA de la furnizori precum Silverfort aplică AI pentru a obține informații cu privire la momentul în care este necesar și când nu este.

"Partea AI, atunci când o combinați, vă permite să luați decizia inițială dacă o autentificare specifică ar trebui să necesite sau nu MFA", a spus Kovetz de la Silverfort. El a spus că componenta de învățare automată (ML) a aplicației poate oferi un scor ridicat de risc dacă detectează un model anormal de activitate, cum ar fi dacă contul unui angajat este accesat brusc de către cineva din China și angajatul lucrează în mod regulat în Statele Unite.

"Dacă un utilizator se conectează la o aplicație de la birou folosind propriul computer emis de companie, atunci MFA nu ar fi necesar, deoarece acest lucru este" normal ", a explicat Centrify Steinkopf. „Dar dacă același utilizator călătorește în străinătate sau utilizează dispozitivul altcuiva, atunci li se va solicita MAE, deoarece riscul este mai mare.” Steinkopf a adăugat că MFA este adesea un prim pas atunci când se utilizează tehnici suplimentare de verificare.

CIO-urile urmăresc de asemenea cu atenție biometria comportamentală, care a devenit o tendință în creștere în noile implementări ale AMF. Biometricele comportamentale utilizează software-ul pentru a urmări modul în care utilizatorii tastează sau glisează. În timp ce acest lucru sună ușor, de fapt necesită procesarea unor bucăți mari de date care se schimbă rapid, motiv pentru care furnizorii folosesc ML pentru a ajuta.

"Valoarea în ML pentru autentificare ar fi evaluarea mai multor semnale complexe, aflarea unei„ identități "de bază a utilizatorului pe baza semnalelor respective și alertarea asupra anomaliilor la această linie de bază", a spus Diamond Okta. "Biometria comportamentală este un exemplu în care acest lucru poate intra în joc. Înțelegerea nuanțelor modului în care un utilizator tipează, umblă sau interacționează altfel cu dispozitivul său necesită un sistem avansat de informații pentru a crea acel profil de utilizator."

Perimetre dispărute

Odată cu evoluția infrastructurii cloud, a serviciilor cloud și, în special, volumelor mari de date ale dispozitivelor IoT din afara spațiului, acum există mai mult decât un perimetru fizic în locația centrului de date al unei organizații. Există, de asemenea, un perimetru virtual care trebuie să protejeze activele companiei în cloud. În ambele scenarii, identitatea joacă un rol cheie în conformitate cu Kovetz.

"Perimetrele erau definite fizic, precum biroul, dar astăzi perimetrele sunt definite prin identitate", a spus Kovetz. Pe măsură ce perimetrele dispar, la fel și protecțiile pe care firewall-urile puternice le-au furnizat pentru computerele desktop cu fir. MFA ar putea fi o modalitate de a înlocui ceea ce firewall-urile au făcut în mod tradițional, a sugerat Kovetz.

• Autentificare cu doi factori: Cine o are și cum să o configureze Autentificare cu doi factori: cine o are și cum să o configureze
• Dincolo de perimetru: Cum să abordați securitatea stratificată dincolo de perimetru: cum să abordați securitatea stratificată
• Modelul Zero Trust câștigă aburul cu experții în securitate Modelul Zero Trust câștigă aburul cu experții în securitate

", unde puneți produse de securitate în rețea?" Întrebă Kovetz. "Securitatea rețelei nu mai funcționează cu adevărat. MFA devine noul mod de a vă proteja de fapt rețeaua fără perimetru."

Un mod esențial în care MFA evoluează dincolo de perimetru este printr-o aglomerație în continuă creștere a sistemelor de identitate care sunt vândute pe baza unei baze de software-ca-serviciu (SaaS), inclusiv cea mai mare parte a serviciilor IDM pe care le-a analizat PCMag Labs în ultimul an. "Numărul mare de produse SaaS care permit IMM-urilor să se ridice și să funcționeze cu ușurință funcționează deja în afara perimetrului", a declarat Nathan Rowe, co-fondator și Chief Product Officer (CPO) la furnizorul de securitate a datelor Evident. Modelul SaaS reduce drastic atât costurile, cât și complexitatea de desfășurare, astfel încât este un mare ajutor pentru întreprinderile mici pentru mijlocii, deoarece reduce cheltuielile IT și cheltuielile generale, potrivit Rowe.

Soluțiile SaaS sunt cu siguranță viitorul IDM, ceea ce le face și viitorul MAE. Aceasta este o veste bună, deoarece chiar și întreprinderile mici se deplasează inexorabil către o arhitectură IT cu servicii multiple și cloud, unde accesul ușor la MFA și alte măsuri de securitate avansate vor deveni în curând obligatorii.