Monitekijäinen todennus on avainasemassa pilvivaroja suojaaville yrityksille

Todistaessasi henkilöllisyyshallintajärjestelmää (IDM) olet ehkä huomannut, että viime aikoina yhä useammat heistä vaativat ylimääräisen vaiheen käyttäjän käyttäjätunnuksen ja salasanan lisäksi, kuten kehotteet, jotka lähettävät koodeja puhelimeesi kirjautuessasi sisään Gmailiin, Twitteriin tai pankkitilillesi muulta kuin tavalliselta laitteelta. Varmista vain, että et unohda ensimmäisen lemmikkisi nimeäsi tai äitisi syntymäpaikkaa, koska sinun on todennäköisesti annettava nämä tiedot henkilöllisyytesi todistamiseksi. Nämä tiedot, joita vaaditaan yhdessä salasanan kanssa, ovat yksi monitekijätodennuksen (MFA) muoto.

MFA ei ole uusi. Se alkoi fyysisenä tekniikkana; älykortit ja USB-dongit ovat kaksi esimerkkiä laitteista, jotka meidän on kirjauduttava sisään tietokoneisiin tai ohjelmistopalveluihin, kun oikea salasana on annettu. MFA on kuitenkin kehittänyt tätä kirjautumisprosessia nopeasti sisällyttämään siihen muita tunnisteita, kuten mobiili push-ilmoitukset.

"Menevät ovat vanhat ajat, jolloin yritysten piti ottaa käyttöön laitteistomerkkejä, ja käyttäjät turhautuivat kirjoittamalla kuusinumeroisia koodeja, jotka kiertyivät 60 sekunnin välein", kertoi Tim Steinkopf, Centrify Corp.: n toimitusjohtaja, Centrify Identity Service -yrityksen valmistaja. "Se oli kallista ja huono käyttökokemus. Nyt MFA on yhtä yksinkertainen kuin työntöilmoituksen vastaanottaminen puhelimeesi." Steinkopfin mukaan nyt jopa lyhytsanomapalvelun (SMS) välityksellä vastaanottamat koodit paheksutaan.

"SMS ei ole enää turvallinen kuljetusmenetelmä MFA-koodeille, koska ne voidaan siepata", hän sanoi. "Erittäin arkaluontoisten resurssien suhteen yritysten on nyt harkittava entistä turvallisempia salaustekniikoita, jotka seuraavat uusia FIDO (Alliance Online) -standardia." Salausmerkkien lisäksi FIDO2-standardit sisältävät World Wide Web Consortium (W3C): n Web Authentication -määrittelyn ja Client to Authenticator Protocol (CTAP) -sovelluksen. FIDO2-standardit tukevat myös käyttäjän eleitä sulautettujen biometristen tietojen avulla, kuten kasvojentunnistus, sormenjälkien pyyhkäisy ja iiriskannaus.

MFA: n käyttämiseksi sinun on sisällytettävä sekoitus salasanoja ja kysymyksiä laitteille, kuten älypuhelimille, tai käytettävä sormenjälkiä ja kasvojentunnistusta, selitti Okta, tietoturvatuotteiden markkinoinnin hallintajohtaja, Joe Diamond, Okta Identity Management.

"Yhä useammat organisaatiot tunnustavat nyt SMS-pohjaisiin kertaluonteisiin salasanoihin liittyvät turvallisuusriskit MFA-tekijänä. On melko triviaalia, että huono toimija" SIM-vaihtaa "ja ottaa haltuunsa matkapuhelinnumeron", Diamond sanoi. "Kaikkien sellaisen käyttäjän, jolla on tällaisen kohdennetun hyökkäyksen vaara, tulee ottaa käyttöön vahvempia toisia tekijöitä, kuten biometrinen tekijä tai kova merkki, joka luo salauksen kädenpuristuksen laitteen ja palvelun välillä."

Joskus MFA ei ole täydellinen. Microsoft Azure kärsi 27. marraskuuta MFA-palveluun liittyvän katkoksen verkkotunnuksen nimijärjestelmävirheestä (DNS), joka aiheutti monia epäonnistuneita pyyntöjä, kun käyttäjät yrittivät kirjautua sisään palveluihin, kuten Active Directory.

Luotto: FIDO Alliance

Mobile Push -ilmoitukset

Asiantuntijat näkevät mobiilin push-ilmoituksen parhaana vaihtoehtona turvallisuus "tekijöistä", koska siinä on tehokas yhdistelmä turvallisuutta ja käytettävyyttä. Sovellus lähettää viestin käyttäjän puhelimeen ilmoittaen henkilölle, että palvelu yrittää kirjautua käyttäjän sisään tai lähettää tietoja.

"Kirjaudut sisään verkkoon. Sen sijaan, että kirjoitat vain salasanasi, työnnetään laitteeseen, jossa sanotaan kyllä ​​tai ei, yrität todentaa tämän laitteen, ja jos sanot kyllä, se antaa sinulle pääsyn verkko ", selitti Dais Lewis, Ciscon Duo Push -mobiilitodennussovellusta tarjoavan Ciscon Duo-tietoturvaliiketoiminnan maailmanlaajuinen tietoturvajohtaja (CISO). Muita MFA: ta tarjoavia tuotteita ovat Yubico YubiKey 5 NFC ja Ping Identity PingOne.

Mobiili-push-ilmoituksista puuttuu tekstiviestien kautta lähetetyt kertaluonteiset salasanat, koska nämä salasanat voidaan hakkeroida melko helposti. Salaus tekee ilmoitukset tehokkaiksi MFA-ratkaisutoimittajan Silverfortin perustajan ja toimitusjohtajan Hed Kovetzin mukaan.

"Se on vain yksi napsautus, ja turvallisuus on erittäin vahva, koska se on aivan eri laite", hän sanoi. "Voit muuttaa sovellusta, jos se on vaarantunut, ja se on täysin salattu ja todennettu nykyaikaisilla protokollilla. Se ei ole kuten esimerkiksi tekstiviesti, joka vaarantuu helposti, koska standardi on pohjimmiltaan heikko ja rikkoa helposti Signaling System 7 (SS7) -hyökkäyksillä. ja kaikenlaisia ​​muita SMS-hyökkäyksiä."

MFA sisältää nollaluottamisen

MFA on keskeinen osa Zero Trust -mallia, jossa et luota verkon käyttäjiin ennen kuin olet varmistanut heidän olevan oikeutetut. "MFA: n soveltaminen on välttämätön vaihe sen varmistamiseksi, että käyttäjä on tosiasiassa kuka sanoo olevansa", Steinkopf sanoi.

"MFA: lla on kriittinen rooli minkä tahansa organisaation Zero Trust -kypsyysmallissa, koska meidän on ensin luotava käyttäjien luottamus ennen kuin voimme myöntää pääsyn", lisäsi Okta's Diamond. "Tämä on liitettävä myös kaikkien resurssien keskitettyyn identiteettistrategiaan, jotta makrotaloudellisen rahoitusavun politiikat voidaan yhdistää käyttöoikeuskäytäntöihin, jotta oikeilla käyttäjillä olisi oikeus käyttää oikeita resursseja mahdollisimman pienellä kitkalla."

Luotto: FIDO Alliance

Vaihdetaanko salasanoja?

Monet ihmiset eivät ehkä ole valmiita luopumaan salasanoista, mutta jos käyttäjät luottavat niihin edelleen, heidät on suojattava. Itse asiassa Verizonin vuoden 2017 tietojen rikkomusraportti paljasti, että 81 prosenttia tietovirheistä johtuu varastetuista salasanoista. Tällaiset tilastot tekevät salasanoista ongelman kaikille organisaatioille, jotka haluavat suojata järjestelmiään luotettavasti.

"Jos pystymme ratkaisemaan salasanat ja hankkimaan ne ja siirtymään älykkäämpään todennustyyppiin, estetään suurin osa nykyisistä tietorikkomuksista", Silverfortin Kovetz sanoi.

Salasanat eivät todennäköisesti katoa kaikkialle, mutta ne voidaan poistaa tietyille sovelluksille, Silverfortin Kovetz totesi. Hän sanoi, että tietokonelaitteiden ja esineiden Internet-laitteiden salasanojen poistaminen kokonaan olisi monimutkaisempaa. Toinen syy hän sanoi, että täydellinen salasanaton todennus ei välttämättä tapahdu niin pian, koska ihmiset ovat psykologisesti kiinni heihin.

Ciscon Lewisin mukaan salasanoihin siirtyminen merkitsee myös kulttuurista muutosta organisaatioissa. "Pysyminen staattisista salasanoista MFA: hon on pohjimmiltaan kulttuurinen muutos", Lewis sanoi. "Saatat ihmiset tekemään asioita eri tavalla kuin he ovat tehneet vuosia."

MFA-prosessointi ja tekoäly

Keinotekoista älykkyyttä (AI) käytetään auttamaan IDM-järjestelmänvalvojia ja MFA-järjestelmiä selviämään uusien kirjautumistietojen tulosta. MFA-ratkaisut toimittajilta, kuten Silverfort, soveltavat AI: ta saadakseen tietoa milloin MFA on välttämätön ja milloin se ei ole.

"AI-osa, kun yhdistät sen, antaa sinun tehdä alkuperäisen päätöksen siitä, vaaditaanko tietyn todennuksen edellyttämään MFA vai ei", Silverfortin Kovetz sanoi. Hän sanoi, että sovelluksen koneoppimis (ML) -komponentti voi antaa korkean riskipisteen, jos se havaitsee epänormaalin toimintamallin, esimerkiksi jos joku Kiinassa käyttää työntekijän tiliä ja työntekijä työskentelee säännöllisesti Yhdysvalloissa.

"Jos käyttäjä kirjautuu sovellukseen toimistolta käyttämällä omaa yrityksen myöntämää PC: tä, MFA: ta ei vaadita, koska se on" normaalia ", " Centrify's Steinkopf selitti. "Mutta jos sama käyttäjä matkustaa ulkomaille tai käyttää jonkun toisen laitetta, häneltä kysytään MFA: ta, koska riski on suurempi." Steinkopf lisäsi, että MFA on usein ensimmäinen askel käytettäessä lisävarmennustekniikoita.

CIO: t seuraavat myös tarkkaan käyttäytymisen biometriaa, josta on tullut kasvava suuntaus uusissa makrotaloudellisen rahoitusavun käyttöönottoissa. Käyttäytymisen biometriset tiedot käyttävät ohjelmistoja seurataksesi, kuinka käyttäjät kirjoittavat tai pyyhkäisevät. Vaikka tämä kuulostaa helppolta, se tosiasiassa vaatii nopeasti muuttuvien tietojen suurten osien käsittelyä, minkä vuoksi myyjät käyttävät ML: tä avuksi.

"Autentikoinnin ML: n arvo olisi arvioida useita monimutkaisia ​​signaaleja, oppia käyttäjän perustason" identiteetti "näiden signaalien perusteella ja hälyttää kyseisen lähtötason poikkeavuuksista", Okta's Diamond sanoi. "Käyttäytymisbiometria on esimerkki siitä, missä tämä voi tulla esille. Ymmärtääksesi, kuinka käyttäjä tyypittää, kävelee tai muuten vuorovaikutuksessa laitteensa kanssa, tarvitaan edistynyt älykkyysjärjestelmä kyseisen käyttäjäprofiilin luomiseksi."

Häviävät kehät

Pilviinfrastruktuurin, pilvipalveluiden ja etenkin suurten tietomäärien kanssa toimitilojen ulkopuolella sijaitsevien Internet-laitteiden kehittyessä organisaation datakeskuksen sijainti on nyt enemmän kuin fyysinen kehä. Siellä on myös virtuaalinen kehä, joka on suojattava yrityksen omaisuutta pilvessä. Molemmissa skenaarioissa identiteetillä on avainrooli Kovetzin mukaan.

"Ympärysmitat määritettiin aiemmin fyysisesti, kuten toimistonkin, mutta nykyään kehät määritellään identiteetin avulla", Kovetz sanoi. Kun kehät katoavat, niin myös suojaukset, joita vahvat palomuurit tarjosivat kiinteille pöytätietokoneille. MFA voisi olla yksi tapa korvata se, mitä palomuurit ovat perinteisesti tehneet, Kovetz ehdotti.

• Kaksitekijäinen todennus: kenellä se on ja kuinka se asennetaan Kaksitekijäinen todennus: kenellä se on ja kuinka se asennetaan
• Kehyksen ulkopuolella: Kuinka puuttua kerrostettuun suojaukseen Kehyksen ulkopuolella: Kuinka osoittaa kerrostettuun suojaukseen
• Zero Trust Model saa höyryä tietoturva-asiantuntijoiden avulla Zero Trust Model saa höyryn tietoturva-asiantuntijoiden kanssa

", mihin laitat verkon tietoturvatuotteita?" Kovetz kysyi. "Verkkoturvallisuus ei todellakaan toimi enää. MFA: sta tulee uusi tapa suojella ympäröimätöntä verkkoasi."

Yksi keskeinen tapa, jolla MFA kehittyy kehän ulkopuolelle, on kasvava joukko identiteettijärjestelmiä, joita myydään SaaS-ohjelmistopohjaisesti, mukaan lukien suurin osa IDM-palveluista, joita PCMag Labs on tarkistanut viime vuonna. "Valtava määrä SaaS-tuotteita, joiden avulla pienet ja keskisuuret yritykset voivat helposti nousta ja toimivat, toimivat jo kehän ulkopuolella", kertoi tietoturvatoimittajan Evident perustaja ja tuotejohtaja Nathan Rowe. SaaS-malli vähentää huomattavasti sekä kustannuksia että käyttöönoton monimutkaisuutta, joten se on iso apu pienille keskisuurille yrityksille, koska se vähentää tietotekniikkakustannuksia ja yleiskustannuksia, Rowen mukaan.

SaaS-ratkaisut ovat varmasti IDM: n tulevaisuus, mikä tekee niistä myös MFA: n tulevaisuuden. Se on hyvä uutinen, koska pienetkin yritykset ovat väistämättä siirtymässä monipilvien ja pilvipalvelujen IT-arkkitehtuuriin, jossa helppo pääsy MFA: hon ja muihin edistyneisiin tietoturvatoimenpiteisiin tulee pian pakollisiksi.