Многофакторная аутентификация будет ключевой для компаний, защищающих облачные активы

Доказывая, кто вы, в системе управления идентификацией (IDM), вы, возможно, заметили, что в последнее время все больше и больше из них требуют дополнительного шага помимо вашего имени пользователя и пароля, таких как запросы, которые отправляют коды на ваш телефон при входе в систему. в Gmail, Twitter или на ваш банковский счет с устройства, отличного от того, которое вы обычно используете. Просто убедитесь, что вы не забыли имя своего первого питомца или место рождения вашей матери, потому что вам, вероятно, потребуется ввести эту информацию, чтобы подтвердить свою личность. Эти фрагменты данных, необходимые в сочетании с паролем, являются одной из форм многофакторной аутентификации (MFA).

МИД не нов. Это началось как физическая технология; Смарт-карты и USB-ключи являются двумя примерами устройств, которые нам необходимы для входа в компьютеры или службы программного обеспечения после ввода правильного пароля. Однако MFA быстро развивает этот процесс входа в систему, чтобы включить другие идентификаторы, такие как мобильные push-уведомления.

«Прошли те старые времена, когда компаниям приходилось развертывать аппаратные токены, и пользователи были разочарованы тем, что вводили шестизначные коды, которые вращались каждые 60 секунд», - сказал Тим Стейнкопф, президент Centrify Corp., создатель Centrify Identity Service. «Это было дорого и плохо для пользователя. Теперь MFA так же просто, как получать push-уведомления на свой телефон». Однако, согласно Steinkopf, даже коды, которые мы получаем через службу коротких сообщений (SMS), теперь не одобряются.

«SMS больше не является безопасным способом передачи кодов MFA, так как они могут быть перехвачены», - сказал он. «Для высокочувствительных ресурсов компании теперь должны рассмотреть еще более безопасные криптокены, которые соответствуют новым стандартам альянса Fast IDentity Online (FIDO)». В дополнение к криптокенам стандарты FIDO2 включают в себя спецификацию веб-аутентификации Консорциума World Wide Web (W3C) и протокол клиент-аутентификатор (CTAP). Стандарты FIDO2 также поддерживают жесты пользователей с использованием встроенных биометрических данных, таких как распознавание лиц, считывание отпечатков пальцев и сканирование радужной оболочки.

Чтобы использовать MFA, вам нужно будет включить смесь паролей и вопросов для таких устройств, как смартфоны, или использовать отпечатки пальцев и распознавание лиц, пояснил Джо Даймонд, директор по маркетингу продуктов для обеспечения безопасности в Okta, создателя Okta Identity Management.

«В настоящее время все больше организаций признают риски безопасности, связанные с одноразовыми паролями на основе SMS, в качестве фактора MFA. Для плохого актера достаточно просто« поменять SIM-карту »и получить номер мобильного телефона», - сказал Даймонд. «Любой пользователь, подверженный риску такой целевой атаки, должен реализовать более сильные вторые факторы, такие как биометрический фактор или жесткий токен, который создает криптографическое рукопожатие между устройством и службой».

Иногда МФА не идеален. 27 ноября в Microsoft Azure произошел сбой, связанный с MFA, из-за ошибки DNS, которая вызвала много неудачных запросов, когда пользователи пытались войти в такие службы, как Active Directory.

Кредит: Альянс FIDO

Мобильные Push-уведомления

Эксперты рассматривают мобильные push-уведомления как лучший вариант «факторов» безопасности, потому что он имеет эффективную комбинацию безопасности и удобства использования. Приложение отправляет на телефон пользователя сообщение, уведомляющее человека о том, что служба пытается войти в систему или отправить данные.

«Вы входите в сеть, и вместо того, чтобы вводить только свой пароль, вы попадаете на свое устройство, где оно говорит« да »или« нет », вы пытаетесь аутентифицировать это устройство, и если вы говорите« да », оно предоставляет вам доступ к сеть », - объяснил Дейв Льюис, директор по информационной безопасности (CISO) по глобальному консультированию Cisco для бизнеса в сфере безопасности Duo, который предлагает мобильное приложение для аутентификации Duo Push. Другие продукты, предлагающие MFA, включают Yubico YubiKey 5 NFC и Ping Identity PingOne.

В мобильных push-уведомлениях отсутствуют одноразовые пароли, отправленные с помощью SMS, поскольку эти пароли можно довольно легко взломать. Шифрование делает уведомления эффективными, по словам Хеда Ковец, соучредителя и генерального директора поставщика решений MFA Silverfort.

«Это всего лишь один щелчок, и безопасность очень сильна, потому что это совершенно другое устройство», - сказал он. «Вы можете изменить приложение, если оно взломано, и оно полностью зашифровано и аутентифицировано с помощью современных протоколов. Это не похоже на SMS, например, которое легко взломать, потому что стандарт в основном слабый и легко нарушается атаками Signaling System 7 (SS7) и всевозможные другие атаки на смс ".

МИД включает нулевой траст

MFA является ключевой частью модели Zero Trust, в которой вы не доверяете сетевым пользователям, пока не убедитесь, что они законны. «Применение MFA является необходимым шагом в проверке того, что пользователь на самом деле является тем, кем они себя называют», - сказал Стейнкопф.

«MFA играет критически важную роль в модели зрелости Zero Trust любой организации, так как сначала нам нужно установить доверие пользователей, прежде чем мы сможем предоставить доступ», - добавил Даймонд из Okta. «Это также необходимо сочетать со стратегией централизованной идентификации для всех ресурсов, чтобы политики MFA можно было сочетать с политиками доступа, чтобы гарантировать, что нужные пользователи имеют правильный доступ к нужным ресурсам с минимальными трудностями».

Кредит: Альянс FIDO

Пароли заменяются?

Многие люди могут быть не готовы отказаться от паролей, но если пользователи будут продолжать полагаться на них, они должны быть защищены. На самом деле, отчет Verizon о нарушении данных за 2017 год показал, что 81 процент нарушений данных происходит из-за украденных паролей. Такая статистика делает пароли проблемой для любой организации, которая хочет надежно защитить свои системы.

«Если мы сможем разгадать пароли и получить их и перейти на более интеллектуальный тип аутентификации, мы предотвратим большинство утечек данных, происходящих сегодня», - сказал Ковец из Silverfort.

Пароли из Silverfort, отметил Ковец, сказал, что пароли вряд ли исчезнут повсюду, но они могут быть удалены для определенных приложений. Он сказал, что полное удаление паролей для компьютерного оборудования и устройств Интернета вещей (IoT) будет более сложным. Еще одна причина, по которой он сказал, что полная аутентификация без пароля может произойти не так скоро, потому что люди психологически привязаны к ним.

Переход от паролей также включает в себя культурные изменения в организациях, согласно Льюису из Cisco. «Отход от статических паролей к МФА - это фундаментальный культурный сдвиг», - сказал Льюис. «Вы заставляете людей делать вещи не так, как они годами».

MFA Processing и искусственный интеллект

Искусственный интеллект (AI) используется для того, чтобы помочь администраторам IDM и системам MFA справиться с множеством новых данных для входа. Решения MFA от таких поставщиков, как Silverfort, применяют искусственный интеллект, чтобы понять, когда MFA необходимо, а когда нет.

«Часть AI, когда вы объединяете ее, позволяет вам принять первоначальное решение о том, требует ли конкретная аутентификация MFA или нет», - сказал Ковец из Silverfort. Он сказал, что компонент машинного обучения (ML) приложения может давать высокую оценку риска, если он обнаруживает ненормальный характер деятельности, например, если кто-то внезапно получает доступ к учетной записи сотрудника в Китае, а сотрудник регулярно работает в Соединенных Штатах.

«Если пользователь входит в приложение из офиса, используя свой собственный компьютер, выпущенный компанией, MFA не понадобится, поскольку это« нормально », - пояснил Steinkopf из Centrify. «Но если тот же самый пользователь путешествует за границу или использует чужое устройство, ему будет предложено ввести MFA, потому что риск выше». Стейнкопф добавил, что MFA часто является первым шагом при использовании дополнительных методов проверки.

ИТ-директора также пристально следят за поведенческой биометрией, которая становится растущей тенденцией в новых развертываниях МФА. Поведенческая биометрия использует программное обеспечение для отслеживания того, как пользователи вводят или проводят пальцем. Хотя это звучит просто, на самом деле это требует обработки больших кусков быстро меняющихся данных, поэтому поставщики используют ML, чтобы помочь.

«Значение в ML для аутентификации должно заключаться в оценке множества сложных сигналов, изучении базовой« идентичности »пользователя на основе этих сигналов и предупреждении об аномалиях этой базовой линии», - сказал Даймонд из Okta. «Поведенческая биометрия - пример, где это может вступить в игру. Чтобы понять нюансы того, как пользователь печатает, ходит или иным образом взаимодействует со своим устройством, требуется продвинутая интеллектуальная система для создания этого профиля пользователя».

Исчезающие Периметры

С развитием облачной инфраструктуры, облачных сервисов, и особенно больших объемов данных внешних IoT-устройств, теперь в центре обработки данных организации есть нечто большее, чем физический периметр. Существует также виртуальный периметр, который необходим для защиты активов компании в облаке. В обоих сценариях идентичность играет ключевую роль в соответствии с Ковец.

«Периметры раньше определялись физически, как в офисе, но сегодня периметры определяются идентичностью», - сказал Ковец. Поскольку периметры исчезают, исчезают и защитные механизмы, которые используются сильными брандмауэрами для проводных настольных компьютеров. Ковец сказал, что MFA может стать одним из способов заменить то, что традиционно делали брандмауэры.

• Двухфакторная аутентификация: у кого она есть и как ее настроить Двухфакторная аутентификация: у кого она и как ее настроить
• За пределами периметра: как решать многоуровневую безопасность За пределами периметра: как решать многоуровневую безопасность
• Модель с нулевым доверием получает поддержку экспертов по безопасности Модель с нулевым доверием получает поддержку экспертов по безопасности

"Где вы размещаете продукты сетевой безопасности?" Ковец спросил. «Безопасность сети больше не работает. MFA становится новым способом защиты вашей сети без периметра».

Одним из ключевых путей развития MFA за пределами периметра является растущая толпа систем идентификации, продаваемых на основе программного обеспечения как услуги (SaaS), включая большинство IDM-услуг, которые PCMag Labs провела в прошлом году. «Огромное количество продуктов SaaS, которые позволяют малым и средним предприятиям легко запускаться и работать, уже работают за пределами периметра», - сказал Натан Роу, соучредитель и директор по продуктам (CPO) в провайдере безопасности данных Evident. По словам Роу, модель SaaS значительно снижает как стоимость, так и сложность развертывания, поэтому она очень помогает малым и средним предприятиям, поскольку сокращает расходы на ИТ и накладные расходы.

Решения SaaS - это, безусловно, будущее IDM, что делает их и будущим MFA. Это хорошая новость, поскольку даже малые предприятия неумолимо переходят на ИТ-архитектуру с несколькими облачными и облачными сервисами, где вскоре станет обязательным доступ к MFA и другим расширенным мерам безопасности.