אימות רב-פקטורי יהיה המפתח עבור עסקים המגנים על נכסי ענן

כשאת מוכיחה את מי שאתה במערכת לניהול זהויות (IDM), יתכן ששמת לב שלאחרונה יותר ויותר מהם דורשים שלב נוסף מלבד מזהה המשתמש והסיסמה שלך, כגון הנחיות ששולחות קודים לטלפון שלך כשאתה מתחבר. ל- Gmail, Twitter, או לחשבון הבנק שלך ממכשיר שאינו זה שאתה משתמש בו בדרך כלל. רק וודא שאתה לא שוכח את שם חיית המחמד הראשונה שלך או היכן שאמא שלך נולדה כי כנראה תצטרך להזין את המידע הזה כדי להוכיח את זהותך. פיסות נתונים אלה, הנדרשות בשילוב עם סיסמה, הן סוג אחד של אימות מולטי-פקטור (MFA).

MFA אינו חדש. זה התחיל כטכנולוגיה פיזיקלית; כרטיסים חכמים ודונגלים של USB הם שתי דוגמאות למכשירים שנדרשנו להתחבר למחשבים או לשירותי תוכנה לאחר הזנת הסיסמה הנכונה. עם זאת, MFA עשתה במהירות את תהליך ההתחברות הזה כדי לכלול מזהים אחרים, כגון התראות דחיפה לנייד.

טים סטינקופף, נשיא חברת Centrify Corp, יצר שירות השירות Centrify, אמר כי "חלפו הימים ההם שחברות נאלצו לפרוס אסימוני חומרה, והמשתמשים קיבלו הקלדה מתוסכלת בקודים בת שש ספרות שמסתובבים כל 60 שניות. "זה היה יקר וחוויית משתמש גרועה. עכשיו MFA פשוט כמו קבלת הודעת דחיפה לטלפון שלך." עם זאת, אפילו הקודים שאנו מקבלים באמצעות שירות ההודעות הקצר (SMS) מציגים כעת את מצחו, לפי Steinkopf.

"SMS הוא כבר לא שיטת הובלה בטוחה עבור קודי MFA מכיוון שניתן ליירט אותם", אמר. "עבור משאבים רגישים מאוד, חברות צריכות כעת לשקול אסימוני קריפטו מאובטחים עוד יותר העומדים בתקן החדש של Fast IDentity Online (FIDO)." בנוסף לאסימוני הקריפטו, תקני FIDO2 משלבים את מפרט אימות האינטרנט World Wide Web Consortium (W3C) ואת פרוטוקול הלקוח ל- Authenticator Protocol (CTAP). תקני FIDO2 תומכים גם במחוות משתמשים המשתמשים בביומטריה משובצת כמו זיהוי פנים, החלקת טביעות אצבע וסריקת קשתית.

כדי להשתמש ב- MFA, תצטרך לשלב תערובת של סיסמאות ושאלות למכשירים כמו סמארטפונים, או להשתמש בטביעות אצבע וזיהוי פנים, הסביר ג'ו דיימונד, מנהל ניהול שיווק מוצרי אבטחה בחברת Okta, יצרני ניהול זהויות Okta.

"ארגונים נוספים מכירים כעת בסיכוני האבטחה הקשורים לסיסמאות חד פעמיות מבוססות SMS כגורם MFA. זה די טריוויאלי עבור שחקן גרוע 'להחליף SIM ולהשתלט על המספר הנייד', " אמר דיימונד. "כל משתמש הנמצא בסיכון להתקפה ממוקדת שכזו צריך ליישם גורמים שניים חזקים יותר כמו גורם ביומטרי או אסימון קשה שיוצר לחיצת יד קריפטוגרפית בין המכשיר לשירות."

לפעמים MFA לא מושלם. ב- 27 בנובמבר, מיקרוסופט Azure ספגה הפסקות הקשורות ל- MFA כתוצאה משגיאת מערכת שמות דומיינים (DNS) שגרמה להרבה בקשות כושלות כאשר משתמשים ניסו להיכנס לשירותים כמו Active Directory.

קרדיט: FIDO Alliance

התראות דחיפה לנייד

מומחים רואים בהודעות דחיפה ניידות את האפשרות הטובה ביותר של "גורמי האבטחה" מכיוון שיש בה שילוב יעיל של אבטחה ושימושיות. אפליקציה שולחת הודעה לטלפון של המשתמש שמודיעה לאדם שהשירות מנסה להתחבר למשתמש או לשלוח נתונים.

"אתה נכנס לרשת, ובמקום להזין רק את הסיסמה שלך, אתה נדחף למכשיר שלך שם הוא אומר כן או לא. אתה מנסה לאמת את המכשיר הזה. אם אתה אומר כן, הוא נותן לך גישה אל את הרשת, "הסביר דייב לואיס, סמנכ"ל אבטחת מידע עולמי (CISO) לעסקי האבטחה Duo של סיסקו, המציעה את אפליקציית האימות הניידת Duo Push. מוצרים אחרים המציעים MFA כוללים את Yubico YubiKey 5 NFC ואת Ping Identity PingOne.

התראות בדחיפה לנייד חסרות את הסיסמאות החד-פעמיות שנשלחות באמצעות SMS מכיוון שניתן לסחוב סיסמאות אלה די בקלות. ההצפנה הופכת את ההודעות ליעילות, לדברי הד קובץ, מייסד-שותף ומנכ"ל ספקית הפתרונות של MFA סילברפורט.

"זה רק לחיצה אחת, והאבטחה מאוד חזקה כי זה מכשיר אחר לגמרי", אמר. "אתה יכול לשנות את האפליקציה אם היא נפגעת והיא מוצפנת ומאומתת לחלוטין עם פרוטוקולים מודרניים. זה לא כמו SMS למשל, שנפגע בקלות מכיוון שהסטנדרט בעצם חלש ונפרץ בקלות עם התקפות מערכת איתות 7 (SS7) וכל מיני התקפות אחרות ב- SMS."

MFA משלבת אמון אפס

MFA הוא חלק מרכזי במודל Zero Trust בו אתה לא סומך על אף אחד ממשתמשי הרשת עד שתוודא שהם לגיטימיים. "החלת MFA היא צעד הכרחי באימות שהמשתמש הוא למעשה מי שהוא אומר שהם", אמר Steinkopf.

"MFA ממלאת תפקיד קריטי במודל הבשלות של אפס אמון של כל ארגון, שכן עלינו לבסס אמון למשתמשים לפני שנוכל להעניק גישה, " הוסיף Diamond של אוקטה. "זה צריך להיות יחד עם אסטרטגיית זהות ריכוזית בכל המשאבים, כך שניתן יהיה להתאים את מדיניות MFA עם מדיניות הגישה כדי להבטיח למשתמשים הנכונים גישה נכונה למשאבים הנכונים, עם כמה שפחות חיכוך."

קרדיט: FIDO Alliance

האם מחליפים סיסמאות?

אנשים רבים אולי לא מוכנים לנטוש סיסמאות, אך אם משתמשים ימשיכו לסמוך עליהם הם יצטרכו להיות מוגנים. למעשה, דוח הפרת הנתונים של Verizon לשנת 2017 חשף כי 81 אחוז מהפרות הנתונים נובעות מסיסמאות גנובות. נתונים סטטיסטיים מסוג זה הופכים סיסמאות לבעיה עבור כל ארגון המעוניין להגן באופן אמין על מערכותיו.

"אם נוכל לפתור סיסמאות ולקבל אותן ולעבור לסוג חכם יותר של אימות, אנו נמנע שרוב הפרות הנתונים מתרחשות כיום", אמר קובץ.

סביר להניח כי סיסמאות ייעלמו בכל מקום, אך יתכן שהן מחוסלות עבור אפליקציות ספציפיות, ציין קובץ של סילברפורט. הוא אמר כי ביטול סיסמאות לחלוטין עבור חומרת מחשב ומכשירי Internet of Things (IoT) יהיה מורכב יותר. סיבה נוספת שלדבריו אימות מלא ללא סיסמא עשוי לא לקרות כל כך מהר היא מכיוון שאנשים קשורים אליהם פסיכולוגית.

מעבר מסיסמאות כרוך גם בשינוי תרבותי בארגונים על פי לואיס סיסקו. "הדחיפה מהסיסמאות הסטטיות ל- MFA היא שינוי תרבותי באופן בסיסי", אמר לואיס. "אתה גורם לאנשים לעשות דברים אחרת ממה שהם עשו במשך שנים."

עיבוד MFA ובינה מלאכותית

בינה מלאכותית (AI) משמשת כדי לסייע למנהלי IDM ומערכות MFA להתמודד עם מטח של נתוני כניסה חדשים. פתרונות MFA של ספקים כמו Silverfort מיישמים AI בכדי לקבל תובנות לגבי הצורך ב- MFA ומתי אין.

"חלק ה- AI, כשאתה משלב אותו, מאפשר לך לקבל את ההחלטה הראשונית אם אימות ספציפי צריך לדרוש MFA או לא, " אמר קובץ 'של סילברפורט. לדבריו, רכיב הלמידה של המכונה (ML) באפליקציה עשוי לספק ציון סיכון גבוה אם הוא יגלה דפוס פעילות לא תקין, כמו אם לפתע ניגשים לחשבון של עובד מישהו בסין והעובד עובד באופן קבוע בארצות הברית.

"אם משתמש מתחבר ליישום מהמשרד באמצעות מחשב אישי שהונפק על ידי החברה שלו, MFA לא היה נדרש מכיוון שזה 'רגיל'", הסביר Steinkopf של צנטריפ. "אבל אם אותו משתמש נוסע לחו"ל או משתמש במכשיר של מישהו אחר, הם יתבקשו לקבל MFA מכיוון שהסיכון הוא גבוה יותר." Steinkopf הוסיף כי MFA הוא לרוב צעד ראשון בעת ​​שימוש בטכניקות אימות נוספות.

נציגי ה- CIO עוקבים גם מקרוב אחר ביומטריה התנהגותית, שהפכה לטרנד הולך וגובר בפריסות MFA חדשות. ביומטריה התנהגותית משתמשת בתוכנה כדי לעקוב אחר אופן ההקלדה או החלקה של משתמשים. למרות שזה נשמע קל, זה בעצם דורש עיבוד נתחים גדולים של נתונים המשתנים במהירות, וזו הסיבה שהספקים מעסיקים ML כדי לעזור.

"הערך ב- ML לאימות יהיה להעריך מספר אותות מורכבים, ללמוד 'זהות' של קו הבסיס של המשתמש על סמך אותם אותות ולהתריע על חריגות לאותו קו בסיס", אמר Diamond Diamond של אוקטה. "ביומטריה התנהגותית היא דוגמא בה הדבר יכול להיכנס לתמונה. הבנת הדקויות של אופן ההדרכה של המשתמש, מהלך או אינטראקציה אחרת עם המכשיר שלו דורשת מערכת אינטליגנציה מתקדמת כדי ליצור פרופיל משתמש זה."

נעלמים

עם ההתפתחות של תשתיות ענן, שירותי ענן, ובעיקר נפחי הנתונים הגבוהים של מכשירי IoT מקומיים, יש כיום יותר מאשר היקף פיזי במוקד מרכז הנתונים של הארגון. יש גם היקף וירטואלי שצריך להגן על נכסי החברה בענן. בשני התרחישים זהות ממלאת תפקיד מרכזי על פי קובץ.

קובעים היו מוגדרים פיזית, כמו על ידי המשרד, אולם כיום הם מוגדרים על ידי זהות, "אמר קובץ. ככל שהיקפים נעלמים, כך גם ההגנות ששימשו חומות אש חזקות כדי לספק מחשבים שולחניים קווית. MFA יכול להיות אחת הדרכים להחליף את מה שבאופן מסורתי עשה חומות אש, הציע קובץ.

• אימות דו-גורמי: מי יש לו ואיך להגדיר אותו אימות דו-גורמי: למי יש זאת ואיך להגדיר אותה
• מעבר להיקף: כיצד לטפל באבטחה שכבתית מעבר להיקף: כיצד לטפל באבטחה שכבה
• מודל אפס אמון משיג קיטור עם מומחי אבטחה אפס אמון מודל משיג קיטור עם מומחי אבטחה

", איפה אתה מציב מוצרי אבטחת רשת?" שאל קובץ. "אבטחת רשת כבר לא ממש עובדת. MFA הופכת להיות הדרך החדשה למעשה להגן על הרשת חסרת המערכת שלך."

אחת הדרכים המרכזיות בהן MFA מתפתחת מעבר להיקף היא באמצעות קהל הולך וגדל של מערכות זהות הנמכרות על בסיס תוכנה כשירות (SaaS), כולל מרבית שירותי IDM ש- PCMag Labs סקרו בשנה האחרונה. נתן רו, מייסד-שותף ומנהל מוצר ראשי (CPO) אצל ספק אבטחת המידע Evident, אמר כי "המספר העצום של מוצרי SaaS המאפשרים ל- SMB לעלות בקלות ולפעול כבר פועלים מחוץ להיקף ההיקפי. דגם SaaS מצמצם באופן דרסטי את מורכבות העלויות וגם את הפריסה, כך שזהו עזרה גדולה לעסקים קטנים ובינוניים, מכיוון שהוא מצמצם את הוצאות ה- IT ואת התקורה, לפי Rowe.

פתרונות SaaS הם ללא ספק העתיד של IDM, מה שהופך אותם גם לעתיד MFA. אלה חדשות טובות שכן אפילו עסקים קטנים עוברים באופן בלתי נפרד לארכיטקטורת IT מרובת עננים ושירותי ענן, שם גישה קלה ל- MFA ואמצעי אבטחה מתקדמים אחרים תהפוך בקרוב לחובה.