Pengesahan multifactor akan menjadi kunci untuk perniagaan yang melindungi aset awan

Apabila membuktikan siapa anda kepada sistem pengurusan identiti (IDM), anda mungkin mendapati bahawa baru-baru ini lebih banyak lagi memerlukan langkah tambahan selain ID pengguna dan kata laluan anda, seperti meminta yang menghantar kod ke telefon anda semasa anda log masuk ke Gmail, Twitter, atau akaun bank anda dari peranti selain yang biasa anda gunakan. Pastikan anda tidak lupa nama haiwan pertama anda atau di mana ibu anda dilahirkan kerana anda mungkin perlu memasukkan maklumat tersebut untuk membuktikan identiti anda. Potongan data ini, yang dikombinasikan dengan kata laluan, adalah satu bentuk pengesahan multifaktor (MFA).

MFA bukan baru. Ia bermula sebagai teknologi fizikal; kad pintar dan dongle USB adalah dua contoh peranti yang kami perlukan untuk log masuk ke komputer atau perkhidmatan perisian sebaik kata laluan yang betul dimasukkan. Walau bagaimanapun, MFA telah berkembang pesat proses log masuk ini untuk memasukkan pengenal lain, seperti pemberitahuan push mudah alih.

"Sudah hari-hari lama apabila syarikat terpaksa menggunakan token perkakasan, dan pengguna telah menaip kecemasan dalam kod enam angka yang diputar setiap 60 saat, " kata Tim Steinkopf, Presiden Centrify Corp, pembuat Centrify Identity Service. "Itu mahal dan pengalaman pengguna yang buruk. Sekarang MFA adalah semudah menerima pemberitahuan push ke telefon anda." Walau bagaimanapun, walaupun kod yang kami terima melalui Perkhidmatan Pesanan Ringkas (SMS) kini berkerut, menurut Steinkopf.

"SMS bukan lagi kaedah pengangkutan yang selamat untuk kod MFA kerana mereka boleh dipintas, " katanya. "Untuk sumber yang sangat sensitif, syarikat kini perlu mempertimbangkan token crypto yang lebih selamat yang mengikut piawaian Alliance Fast Online Online (FIDO) yang baru." Sebagai tambahan kepada token kripto, piawaian FIDO2 menggabungkan spesifikasi Pengesahan Web World Wide Web (W3C) dan Klien ke Protokol Pengesahan (CTAP). Piawaian FIDO2 juga menyokong gerak isyarat pengguna menggunakan biometrik tertanam seperti pengiktirafan muka, swap cap jari, dan imbasan iris.

Untuk menggunakan MFA, anda perlu memasukkan campuran kata laluan dan pertanyaan untuk peranti seperti telefon pintar, atau menggunakan cap jari dan pengiktirafan muka, jelas Joe Diamond, Pengarah Pengurusan Pemasaran Produk Keselamatan di Okta, pembuat Okta Identity Management.

"Lebih banyak organisasi kini mengiktiraf risiko keselamatan yang dikaitkan dengan kata laluan berasaskan SMS, satu kali sebagai faktor MFA. Ia agak remeh-temeh untuk pelaku buruk untuk 'swap SIM' dan mengambil alih nombor telefon bimbit, " kata Diamond. "Mana-mana pengguna yang berisiko serangan yang disasarkan itu sepatutnya melaksanakan faktor kedua yang lebih kuat seperti faktor biometrik atau token keras yang mewujudkan jabat tangan kriptografi antara peranti dan perkhidmatan itu."

Kadang-kadang MFA tidak sempurna. Pada 27 Nov, Microsoft Azure mengalami gangguan yang berkaitan dengan MFA disebabkan oleh ralat Nama Domain Sistem (DNS) yang menyebabkan banyak permintaan yang gagal apabila pengguna cuba masuk ke perkhidmatan seperti Active Directory.

Kredit: Perikatan FIDO

Pemberitahuan Push Bergerak

Pakar melihat pemberitahuan tolak mudah alih sebagai pilihan terbaik untuk faktor "keselamatan" kerana ia mempunyai kombinasi keselamatan dan kegunaan yang berkesan. Aplikasi menghantar mesej kepada telefon pengguna memberitahu orang bahawa perkhidmatan itu cuba untuk melog masuk pengguna atau menghantar data.

"Anda log masuk ke rangkaian, dan bukan hanya memasukkan kata laluan anda, anda akan ditolak ke peranti anda di mana ia mengatakan ya atau tidak, anda cuba mengesahkan peranti ini, dan jika anda berkata ya, ia memberikan anda akses ke rangkaian itu, "jelas Dave Lewis, Ketua Pegawai Keselamatan Maklumat Penasihat Global (CISO) untuk perniagaan keselamatan Duo Cisco, yang menawarkan aplikasi pengesahan mudah alih Duo Push. Produk lain yang menawarkan MFA termasuk Yubico YubiKey 5 NFC dan Ping Identity PingOne.

Pemberitahuan tekan mudah alih kekurangan kata laluan pada satu masa yang dihantar melalui SMS kerana kata laluan ini boleh digodam dengan mudah. Penyulitan membuat pemberitahuan itu berkesan, menurut Hed Kovetz, pengasas bersama dan Ketua Pegawai Eksekutif pembekal penyelesaian MFA Silverfort.

"Ia hanya satu klik, dan keselamatannya sangat kuat kerana ia adalah peranti yang berbeza, " katanya. "Anda boleh menukar aplikasinya jika ia dikompromikan, dan ia disulitkan sepenuhnya dan disahkan dengan protokol moden. Ia tidak seperti SMS contohnya, yang mudah dikompromikan kerana standard pada dasarnya lemah dan mudah dilanggar dengan serangan Sistem Isyarat 7 (SS7) dan semua jenis serangan lain pada SMS."

MFA Menggabungkan Zero Trust

MFA adalah sebahagian utama model Zero Trust di mana anda tidak mempercayai mana-mana pengguna rangkaian sehingga anda mengesahkan bahawa mereka sah. "Memohon MFA adalah satu langkah yang perlu dalam mengesahkan bahawa pengguna sebenarnya yang mereka katakan adalah mereka, " kata Steinkopf.

"MFA memainkan peranan penting dalam model kematangan Zero Trust mana-mana organisasi, seperti yang pertama kita perlu untuk menubuhkan kepercayaan pengguna sebelum kita dapat memberikan akses, " tambah Okta's Diamond. "Ini juga perlu digabungkan dengan strategi identiti terpusat di semua sumber supaya dasar MFA dapat dipasangkan dengan dasar akses untuk memastikan pengguna yang betul mempunyai akses yang tepat ke sumber yang betul, dengan sedikit geseran yang mungkin."

Kredit: Perikatan FIDO

Adakah Kata Laluan Digantikan?

Ramai orang mungkin tidak bersedia untuk meninggalkan kata laluan, tetapi jika pengguna akan terus bergantung kepada mereka, mereka perlu dilindungi. Malah, Laporan Pelanggaran Data Verizon 2017 mendedahkan bahawa 81 peratus daripada pelanggaran data berpunca daripada kata laluan yang dicuri. Mereka jenis statistik membuat kata laluan menjadi masalah bagi mana-mana organisasi yang ingin melindungi sistemnya dengan pasti.

"Jika kami dapat menyelesaikan kata laluan dan mendapatkannya dan beralih ke pengesahan yang lebih bijak, kami akan menghalang kebanyakan pelanggaran data yang berlaku hari ini, " kata Silverfort Kovetz.

Kata laluan tidak mungkin hilang di mana-mana, tetapi ia mungkin dihapuskan untuk aplikasi tertentu, kata Kovetz Silverfort. Beliau berkata bahawa menghapuskan kata laluan sama sekali untuk perkakasan komputer dan Internet Perkara (IoT) akan lebih kompleks. Satu lagi sebab dia mengatakan pengesahan kata laluan yang kurang lengkap mungkin tidak berlaku tidak lama lagi adalah kerana orang-orang secara psikologi melekat pada mereka.

Peralihan dari kata laluan juga melibatkan perubahan budaya dalam organisasi mengikut Lewis Cisco. "Penundaan kata laluan statik kepada MFA adalah peralihan budaya pada asasnya, " kata Lewis. "Anda mendapat orang untuk melakukan perkara yang berbeza daripada yang mereka lakukan selama bertahun-tahun."

Pemprosesan MFA dan Kepintaran Artificial

Kecerdasan buatan (AI) sedang digunakan untuk membantu pentadbir IDM dan sistem MFA menampung data log masuk baru. Penyelesaian MFA dari vendor seperti Silverfort memohon AI untuk mendapatkan pandangan apabila MFA diperlukan dan apabila tidak.

"Bahagian AI, apabila anda menggabungkannya, membolehkan anda membuat keputusan awal sama ada pengesahan tertentu memerlukan MFA atau tidak, " kata Silverfort Kovetz. Beliau berkata komponen pembelajaran mesin (ML) aplikasi boleh memberikan skor risiko tinggi jika ia mengesan corak aktiviti yang tidak normal, seperti jika akaun pekerja tiba-tiba diakses oleh seseorang di China dan pekerja kerap bekerja di Amerika Syarikat.

"Sekiranya pengguna sedang log masuk ke aplikasi dari pejabat menggunakan PC yang dikeluarkan oleh syarikat mereka sendiri, maka MFA tidak akan diperlukan kerana itu adalah 'normal, '" kata Steinkopf Centrify. "Tetapi jika pengguna yang sama itu bergerak ke luar negara atau menggunakan peranti orang lain, maka mereka akan diminta untuk MFA kerana risiko lebih tinggi." Steinkopf menambah bahawa MFA sering menjadi langkah pertama apabila menggunakan teknik pengesahan tambahan.

CIO juga menjaga mata tentang biometrik tingkah laku, yang telah menjadi trend yang semakin meningkat dalam penyebaran MFA baru. Biometrik berinteraksi menggunakan perisian untuk menjejaki cara pengguna menaip atau menggesek. Walaupun ini mudah dibaca, ia sebenarnya memerlukan pemprosesan besar-besaran dengan cepat menukar data, oleh itu vendor menggunakan ML untuk membantu.

"Nilai ML untuk pengesahan adalah untuk menilai pelbagai isyarat kompleks, mempelajari identiti asas 'pengguna' berdasarkan isyarat tersebut, dan memberi amaran mengenai anomali kepada garis dasar itu, " kata Okta Diamond. "Biometrik tingkah laku adalah contoh di mana ia dapat dimainkan. Memahami nuansa jenis pengguna, berjalan, atau berinteraksi dengan peranti mereka memerlukan sistem kecerdasan canggih untuk membuat profil pengguna itu."

Perimeters yang hilang

Dengan evolusi infrastruktur awan, perkhidmatan awan, dan terutamanya jumlah data yang tinggi daripada peranti IOT di luar premis, kini terdapat lebih daripada perimeter fizikal di lokasi pusat data organisasi. Terdapat juga perimeter maya yang perlu melindungi aset syarikat dalam awan. Dalam kedua-dua senario, identiti memainkan peranan penting mengikut Kovetz.

"Perimeter digunakan untuk ditakrifkan secara fizikal, seperti di pejabat, tetapi perimeter kini ditakrifkan oleh identiti, " kata Kovetz. Oleh kerana perimeter hilang begitu pula perlindungan yang firewall yang kuat digunakan untuk menyediakan komputer desktop berwayar. MFA boleh menjadi salah satu cara untuk menggantikan firewall apa yang telah dilakukan secara tradisional, kata Kovetz.

• Pengesahan Dua Faktor: Siapa Yang Memiliki dan Bagaimana Ia Menetapkan Pengesahan Dua Faktor: Siapa Yang Memiliki dan Cara Menetapkannya
• Beyond the Perimeter: Bagaimana Melakukan Keamanan Layered Di Luar Perimeter: Bagaimana Melakukan Keamanan Layered
• Zero Trust Model Keuntungan Steam Dengan Pakar Keselamatan Zero Trust Model Keuntungan Steam Dengan Pakar Keselamatan

", di mana anda meletakkan produk keselamatan rangkaian?" Kovetz bertanya. "Keselamatan rangkaian tidak berfungsi lagi.MFA menjadi cara baru untuk melindungi rangkaian perimeter yang kurang anda."

Salah satu cara utama yang MFA berkembang di luar perimeter adalah melalui sistem identiti orang ramai yang berkembang pada asas Software-as-a-Service (SaaS), termasuk kebanyakan perkhidmatan IDM PCMag Labs telah dikaji semula pada tahun lalu. "Banyak produk SaaS yang membolehkan SMB mudah berdiri dan berjalan sudah beroperasi di luar perimeter, " kata Nathan Rowe, pengasas bersama dan Ketua Pegawai Produk (CPO) pada pembekal keselamatan data Evident. Model SaaS secara drastik mengurangkan kos dan kerumitan penggunaan, jadi ini merupakan bantuan besar untuk perniagaan kecil dan menengah kerana ia mengurangkan perbelanjaan IT dan overhead, menurut Rowe.

Penyelesaian SaaS pastinya masa depan IDM, yang menjadikan mereka masa depan MFA juga. Itulah berita baik kerana perniagaan kecil juga tidak dapat bergerak ke arsitektur IT perkhidmatan awan dan awan, di mana akses mudah ke MFA dan langkah keselamatan lanjutan yang lain akan menjadi mandatori.