Multifaktorové ověřování bude klíčem pro podniky, které chrání cloudové prostředky

Když prokazujete, kdo jste do systému správy identit (IDM), možná jste si všimli, že v poslední době stále více a více z nich vyžaduje kromě vašeho uživatelského jména a hesla další krok, jako jsou výzvy, které odesílají kódy do vašeho telefonu při přihlášení na Gmail, Twitter nebo bankovní účet z jiného zařízení, než je zařízení, které obvykle používáte. Jen nezapomeňte zapomenout na jméno svého prvního domácího mazlíčka nebo na to, kde se vaše matka narodila, protože pravděpodobně budete muset zadat tyto informace, abyste prokázal svou totožnost. Tato data požadovaná v kombinaci s heslem jsou jednou z forem multifaktorové autentizace (MFA).

MFA není nová. Začalo to jako fyzikální technologie; Chytré karty a USB klíče jsou dva příklady zařízení, která jsme se po přihlášení správného hesla museli přihlásit k počítačům nebo softwarovým službám. MFA však tento proces přihlašování rychle vyvíjí a zahrnuje další identifikátory, jako jsou mobilní oznámení push.

„Pryč jsou staré časy, kdy společnosti musely nasazovat hardwarové tokeny a uživatelé byli frustrovaní, když psali šestimístné kódy, které se střídaly každých 60 sekund, “ řekl Tim Steinkopf, prezident Centrify Corp., výrobce Centrify Identity Service. "To bylo drahé a špatné uživatelské prostředí. Nyní je MFA stejně jednoduché jako přijímání oznámení push do telefonu." Avšak i kódy, které dostáváme prostřednictvím služby krátkých textových zpráv (SMS), jsou nyní podle Steinkopfa zamračeny.

„SMS již není bezpečnou metodou přenosu pro kódy MFA, protože je lze zachytit, “ řekl. „Pro vysoce citlivé zdroje musí společnosti nyní zvážit ještě bezpečnější kryptomateriály, které splňují nové standardy Alliance Fast IDentity Online (FIDO).“ Kromě kryptografických tokenů zahrnují standardy FIDO2 také specifikaci Web Authentication World Wide Web Consortium (W3C) a Protokol Client to Authenticator Protocol (CTAP). Standardy FIDO2 také podporují uživatelská gesta pomocí zabudované biometrie, jako je rozpoznávání obličeje, otisk prstu a skenování duhovky.

Abyste mohli používat MFA, musíte do zařízení, jako jsou smartphony, zahrnout kombinaci hesel a otázek, nebo používat otisky prstů a rozpoznávání obličeje, vysvětlil Joe Diamond, ředitel marketingového managementu bezpečnostních produktů v Okta, tvůrci Okta Identity Management.

"Více organizací nyní rozpoznává bezpečnostní rizika spojená s jednorázovými hesly založenými na SMS jako faktor MFA. Pro špatného herce je docela triviální" vyměnit SIM kartu a převzít mobilní číslo, "řekl Diamond. „Každý uživatel, kterému hrozí takový cílený útok, by měl implementovat silnější sekundární faktory, jako je biometrický faktor nebo pevný token, který vytváří kryptografické podání ruky mezi zařízením a službou.“

Někdy není MFA dokonalá. 27. listopadu utrpěl Microsoft Azure výpadek související s MFA kvůli chybě DNS (Domain Name System), která způsobila mnoho neúspěšných požadavků, když se uživatelé pokusili přihlásit ke službám, jako je Active Directory.

Kredit: FIDO Alliance

Mobile Push Notifications

Odborníci vidí oznámení o mobilním push jako nejlepší možnost bezpečnostních faktorů, protože má efektivní kombinaci zabezpečení a použitelnosti. Aplikace odešle zprávu do telefonu uživatele s upozorněním osoby, že se služba pokouší uživatele přihlásit nebo odeslat data.

„Přihlašujete se do sítě a místo zadávání pouze hesla se dostanete do zařízení, kde je uvedeno ano nebo ne, pokoušíte se autentizovat toto zařízení a pokud řeknete ano, udělí vám přístup do síť, “vysvětlil Dave Lewis, globální poradce pro informační bezpečnost (CISO) pro bezpečnostní obchod Duo společnosti Cisco, který nabízí mobilní ověřovací aplikaci Duo Push. Mezi další produkty nabízející MFA patří Yubico YubiKey 5 NFC a Ping Identity PingOne.

V mobilních oznámeních push chybí jednorázová hesla zasílaná prostřednictvím SMS, protože tato hesla lze snadno hackovat. Šifrování zefektivňuje oznámení podle Heda Kovetze, spoluzakladatele a generálního ředitele poskytovatele řešení MFA Silverfort.

"Je to jen jedno kliknutí a zabezpečení je velmi silné, protože se jedná o úplně jiné zařízení, " řekl. „Aplikaci můžete změnit, pokud je ohrožena, a je plně šifrovaná a ověřená pomocí moderních protokolů. Není to například SMS, která je snadno ohrožena, protože standard je v podstatě slabý a snadno narušen útoky Signaling System 7 (SS7) a všechny další útoky na SMS. “

MFA zahrnuje nulovou důvěru

MFA je klíčovou součástí modelu Zero Trust, ve které nedůvěřujete žádným uživatelům sítě, dokud neověříte, že jsou legitimní. „Uplatnění makrofinanční pomoci je nezbytným krokem k ověření, že uživatel je skutečně tím, kdo říká, že je, “ řekl Steinkopf.

„MFA hraje rozhodující roli v jakékoli zralosti modelu organizace Zero Trust, protože nejdřív musíme získat důvěru uživatelů, než udělíme přístup, “ dodal Okta's Diamond. „To je také třeba spojit s centralizovanou strategií identity ve všech zdrojích, aby bylo možné politiky MFA propojit s přístupovými politikami, aby se zajistilo, že správní uživatelé budou mít správný přístup ke správným zdrojům s co nejmenším třením.“

Kredit: FIDO Alliance

Nahrazují se hesla?

Mnoho lidí nemusí být připraveni opustit hesla, ale pokud se na ně uživatelé budou nadále spolehnout, bude třeba je chránit. Ve skutečnosti Verizonova zpráva o porušení údajů za rok 2017 odhalila, že 81 procent porušení údajů pochází z odcizených hesel. Díky těmto statistikám jsou hesla problémem pro každou organizaci, která se snaží spolehlivě chránit své systémy.

"Pokud dokážeme vyřešit hesla a získat je a přejít k chytřejšímu typu autentizace, zabráníme tomu, aby k většině dat nedocházelo dnes, " řekl Kovetz společnosti Silverfort.

Hesla pravděpodobně nezmizí všude, ale mohou být odstraněna pro konkrétní aplikace, poznamenal Silverfort Kovetz. Řekl, že úplné odstranění hesel pro počítačový hardware a zařízení internetu věcí (IoT) by bylo složitější. Dalším důvodem, proč řekl, že k úplnému ověření bez hesla nemusí dojít tak brzy, je to, že k nim jsou lidé psychicky připojeni.

Přechod z hesel také zahrnuje kulturní změnu v organizacích podle Cisco's Lewis. „Odtlak od statických hesel k MFA je zásadním kulturním posunem, “ řekl Lewis. "Nutíš lidi, aby dělali věci jinak, než dělali roky."

Zpracování a umělá inteligence MFA

Umělá inteligence (AI) se používá k tomu, aby pomohla správcům IDM a systémům MFA vyrovnat se s barvou nových přihlašovacích údajů. Řešení MFA od dodavatelů, jako je Silverfort, používají AI, aby získali přehled o tom, kdy je nutná a kdy to není.

„Část AI, když ji zkombinujete, vám umožní učinit počáteční rozhodnutí o tom, zda by konkrétní ověření mělo vyžadovat MFA nebo ne, “ řekl Kovetz společnosti Silverfort. Řekl, že součást aplikace strojového učení (ML) může přinést vysoké skóre rizika, pokud detekuje neobvyklý vzorec činnosti, jako kdyby někdo z Číny najednou přistupoval k účtu zaměstnance a zaměstnanec pravidelně pracuje ve Spojených státech.

„Pokud se uživatel přihlašuje do aplikace z kanceláře pomocí vlastního firemního PC, pak by se MFA nevyžadovala, protože je to„ normální “, “ vysvětlil Steinkopf Centrify. "Pokud ale tentýž uživatel cestuje do zahraničí nebo používá zařízení někoho jiného, ​​byli by vyzváni k MFA, protože riziko je vyšší." Steinkopf dodal, že MFA je často prvním krokem při použití dalších ověřovacích technik.

CIO také pečlivě sledují behaviorální biometriku, která se stala rostoucím trendem v nových implementacích MFA. Behavoriální biometrie používá software ke sledování toho, jak uživatelé píšou nebo přejíždějí. I když to zní snadno, ve skutečnosti to vyžaduje zpracování velkých kusů rychle se měnících dat, proto dodavatelé používají ML, aby pomohli.

„Hodnota v ML pro autentizaci by spočívala v vyhodnocení více komplexních signálů, naučení se základní identity uživatele na základě těchto signálů a upozornění na anomálie této základní linie, “ řekl Okta's Diamond. „Behaviorální biometrie je příkladem, kde se to může projevit. Pochopení nuancí toho, jak uživatel typu, procházky nebo jiné interakce s jejich zařízením vyžaduje, aby tento uživatelský profil vytvořil pokročilý zpravodajský systém.“

Mizející perimetry

S vývojem cloudové infrastruktury, cloudových služeb, a zejména s velkým objemem dat zařízení IoT mimo prostory, je nyní v místě datového centra organizace více než fyzické území. K dispozici je také virtuální obvod, který potřebuje chránit aktiva společnosti v cloudu. V obou scénářích hraje podle Kovetze klíčovou roli identita.

"Perimetry byly definovány fyzicky, jako v kanceláři, ale dnes jsou perimetry definovány identitou, " řekl Kovetz. Jak zmizí perimetry, udělejte také ochranu, kterou silné brány firewall používaly pro kabelové stolní počítače. MFA by mohl být jedním ze způsobů, jak nahradit to, co firewally tradičně dělaly, navrhl Kovetz.

• Ověření dvoufaktorem: Kdo to má a jak to nastavit Ověření dvoufaktorem: kdo to má a jak to nastavit
• Za hranicí: Jak řešit vrstvené zabezpečení Za hranicí: Jak řešit vrstvené zabezpečení
• Model Zero Trust získává páru s odborníky na bezpečnost Zero Trust Model získává páru s odborníky na bezpečnost

", kam umístíte produkty pro zabezpečení sítě?" Zeptal se Kovetz. „Zabezpečení sítě už opravdu nefunguje. MFA se stává novým způsobem, jak skutečně chránit vaši obvodovou síť.“

Jedním z klíčových způsobů, jak se MFA vyvíjí za hranice, je prostřednictvím rostoucího množství identitních systémů prodávaných na bázi Software-as-a-Service (SaaS), včetně většiny služeb IDM, které společnost PCMag Labs v uplynulém roce přezkoumala. „Obrovský počet produktů SaaS, které umožňují malým a středním podnikům snadno vstávat a provozovat, již funguje mimo obvod, “ řekl Nathan Rowe, spoluzakladatel a hlavní produktový ředitel (CPO) u poskytovatele zabezpečení dat Evident. Model SaaS drasticky snižuje náklady i náročnost nasazení, takže pro malé a střední podniky je to velká pomoc, protože podle Rowe snižuje IT výdaje a režii.

Řešení SaaS jsou jistě budoucností IDM, což z nich činí budoucnost MFA. To je dobrá zpráva, protože i malé podniky se neúprosně přesunou k IT architektuře s více cloudovými a cloudovými službami, kde se snadný přístup k MFA a dalším pokročilým bezpečnostním opatřením brzy stane povinným.