Multifaktor-godkjenning vil være nøkkelen for virksomheter som beskytter skyverdier

Når du beviser hvem du er til et IDM-system (IDM), har du kanskje lagt merke til at mer og mer av dem nylig krever et ekstra trinn foruten bruker-ID og passord, for eksempel spørsmål som sender koder til telefonen når du logger inn til Gmail, Twitter eller bankkontoen din fra en annen enhet enn den du vanligvis bruker. Bare sørg for at du ikke glemmer navnet på det første kjæledyret ditt eller hvor moren din ble født, fordi du sannsynligvis vil trenge å oppgi den informasjonen for å bevise din identitet. Disse dataene, som kreves i kombinasjon med et passord, er en form for multifaktorautentisering (MFA).

MFA er ikke nytt. Det begynte som fysisk teknologi; smartkort og USB-dongler er to eksempler på enheter som vi måtte logge på datamaskiner eller programvaretjenester når riktig passord ble tastet inn. MFA har imidlertid raskt utviklet denne innloggingsprosessen til å inkludere andre identifikatorer, for eksempel varsler om mobil push.

"Borte er gamle dager da selskaper måtte distribuere maskinvaretokener, og brukerne fikk frustrerte å skrive inn sekssifrede koder som roterte hvert 60. sekund, " sier Tim Steinkopf, president for Centrify Corp., produsent av Centrify Identity Service. "Det var dyrt og en dårlig brukeropplevelse. Nå er MFA så enkelt som å motta et pushvarsel til telefonen din." Imidlertid er også kodene vi mottar via Short Message Service (SMS) rynket i følge, ifølge Steinkopf.

"SMS er ikke lenger en sikker transportmetode for MFA-koder, da de kan bli avlyttet, " sa han. "For høysensitive ressurser må selskaper nå vurdere enda sikrere kryptokoder som følger de nye FastIDentity Online (FIDO) Alliance-standardene." I tillegg til kryptokoder, inkluderer FIDO2-standardene World Wide Web Consortium (W3C) sin Web Authentication-spesifikasjon og Client to Authenticator Protocol (CTAP). FIDO2-standardene støtter også brukerbevegelser ved bruk av innebygde biometri som ansiktsgjenkjenning, fingeravtrykk og iris-skanning.

For å bruke MFA, må du inkorporere en blanding av passord og spørsmål for enheter som smarttelefoner, eller bruke fingeravtrykk og ansiktsgjenkjenning, forklarte Joe Diamond, direktør for sikkerhetsproduktmarkedsføringsledelse i Okta, produsenter av Okta Identity Management.

"Flere organisasjoner erkjenner nå sikkerhetsrisikoen forbundet med SMS-baserte engangspassord som en MFA-faktor. Det er ganske trivielt for en dårlig aktør å 'SIM bytte' og overta mobilnummeret, " sa Diamond. "Enhver bruker som risikerer et slikt målrettet angrep, bør implementere sterkere andre faktorer som en biometrisk faktor eller hard token som skaper et kryptografisk håndtrykk mellom enheten og tjenesten."

Noen ganger er MFA ikke perfekt. 27. november fikk Microsoft Azure et avbrudd relatert til MFA på grunn av en Domain Name System (DNS) feil som forårsaket mange mislykkede forespørsler da brukere prøvde å logge på tjenester som Active Directory.

Kreditt: FIDO Alliance

Mobile Push-varsler

Eksperter ser mobil push-varsler som det beste alternativet for sikkerhets "faktorer" fordi det har en effektiv kombinasjon av sikkerhet og brukervennlighet. En applikasjon sender en melding til en brukers telefon og melder personen om at tjenesten prøver å logge inn brukeren eller sende data.

"Du logger deg på et nettverk, og heller enn å oppgi bare passordet ditt, blir du presset til enheten din der den sier ja eller nei. Du prøver å autentisere denne enheten, og hvis du sier ja, gir den deg tilgang til nettverket, "forklarte Dave Lewis, Global Advisory Chief Information Security Officer (CISO) for Ciscos Duo-sikkerhetsvirksomhet, som tilbyr mobilgodkjenningsapp Duo Push. Andre produkter som tilbyr MFA inkluderer Yubico YubiKey 5 NFC og Ping Identity PingOne.

Mobil push-varsler mangler passord på én gang som sendes via SMS fordi disse passordene kan hackes ganske enkelt. Krypteringen gjør varslene effektive, ifølge Hed Kovetz, medgründer og administrerende direktør i MFA-løsningsleverandøren Silverfort.

"Det er bare ett klikk, og sikkerheten er veldig sterk fordi det er en helt annen enhet, " sa han. "Du kan endre appen hvis den er kompromittert, og den er fullstendig kryptert og autentisert med moderne protokoller. Den er ikke som en SMS for eksempel, som lett blir kompromittert fordi standarden i utgangspunktet er svak og lett brytes med signalanlegg 7 (SS7) angrep og alle slags andre angrep på SMS."

MFA Incorporates Zero Trust

MFA er en sentral del av Zero Trust-modellen der du ikke stoler på noen nettverksbrukere før du bekrefter at de er legitime. "Å bruke MFA er et nødvendig skritt for å bekrefte at brukeren faktisk er den de sier de er, " sa Steinkopf.

"MFA spiller en kritisk rolle i enhver organisasjons Zero Trust modenhetsmodell, ettersom vi først må etablere brukertillit før vi kan gi tilgang, " la Okta's Diamond til. "Dette må også kobles med en sentralisert identitetsstrategi på tvers av alle ressurser slik at MFA-policyer kan parres med tilgangspolitikk for å sikre at de rette brukerne har rett tilgang til de rette ressursene, med så lite friksjon som mulig."

Kreditt: FIDO Alliance

Bytes passord ut?

Mange mennesker er kanskje ikke klare til å forlate passord, men hvis brukere fortsetter å stole på dem, må de beskyttes. Faktisk avslørte Verizons 2017 Data Breach Report at 81 prosent av datainnbruddene stammer fra stjålne passord. Den slags statistikk gjør passord til et problem for enhver organisasjon som ønsker å pålitelig beskytte systemene sine.

"Hvis vi kan løse passord og få dem og gå inn i en smartere type autentisering, vil vi forhindre at de fleste av datainnbruddene skjer i dag, " sa Silverfords Kovetz.

Passord forsvinner sannsynligvis ikke overalt, men de kan bli eliminert for spesifikke apper, bemerket Silverfort's Kovetz. Han sa at det ville være mer komplisert å eliminere passord for datamaskinvare og Internet of Things (IoT) -enheter. En annen grunn til at han sa at fullstendig passordløs godkjenning kanskje ikke skjer så snart, er fordi folk er psykisk knyttet til dem.

Overgang fra passord innebærer også en kulturell endring i organisasjoner i henhold til Ciscos Lewis. "Skyvingen fra statiske passord til MFA er et kulturelt skifte fundamentalt, " sa Lewis. "Du får folk til å gjøre ting annerledes enn de har gjort i årevis."

MFA-prosessering og kunstig intelligens

Kunstig intelligens (AI) brukes for å hjelpe IDM-administratorer og MFA-systemer med å takle en sperring av nye innloggingsdata. MFA-løsninger fra leverandører som Silverfort bruker AI for å få innsikt i når MFA er nødvendig og når det ikke er det.

"AI-delen, når du kombinerer den, lar deg ta den første beslutningen om en spesifikk godkjenning skal kreve MFA eller ikke, " sa Silverfords Kovetz. Han sa at maskinlæringskomponenten (ML) av appen kan levere en høy risikoscore hvis den oppdager et unormalt aktivitetsmønster, som om en ansattes konto plutselig får tilgang til noen i Kina og den ansatte regelmessig jobber i USA.

"Hvis en bruker logger på en applikasjon fra kontoret ved å bruke sin egen PC-utstedelse, ville MFA ikke være påkrevd da det er 'normalt', " forklarte Centrifys Steinkopf. "Men hvis den samme brukeren reiser til utlandet eller bruker en annens enhet, vil de bli bedt om MFA fordi risikoen er høyere." Steinkopf la til at MFA ofte er et første skritt når du bruker ytterligere bekreftelsesteknikker.

CIOs holder også et godt øye med atferdsbiometri, som har blitt en økende trend i nye MFA-distribusjoner. Behavorial biometri bruker programvare for å holde oversikt over hvordan brukere skriver eller sveiper. Selv om dette høres enkelt ut, krever det faktisk å behandle store biter med raskt skiftende data, og det er grunnen til at leverandører bruker ML for å hjelpe.

"Verdien i ML for autentisering vil være å evaluere flere komplekse signaler, lære en grunnleggende 'identitet' til brukeren basert på disse signalene og varsle om anomalier til den grunnlinjen, " sa Okta's Diamond. "Atferdsbiometri er et eksempel der dette kan komme i spill. Å forstå nyansene for hvordan en bruker skriver, går eller på annen måte samhandler med enheten sin, krever et avansert intelligenssystem for å opprette den brukerprofilen."

Forsvinner perimetere

Med utviklingen av skyinfrastruktur, skytjenester og spesielt de høye datavolumene av lokale IoT-enheter, er det nå mer enn en fysisk omkrets på en organisasjons datasenterplassering. Det er også en virtuell omkrets som må beskytte selskapets eiendeler i skyen. I begge scenarier spiller identitet en viktig rolle i følge Kovetz.

"Perimeter ble definert fysisk, som av kontoret, men i dag er perimeter definert av identitet, " sa Kovetz. Når omkretsene forsvinner, gjør også beskyttelsen som sterke brannmurer brukte for å sørge for kablede stasjonære datamaskiner. MFA kan være en måte å erstatte det brannmurer tradisjonelt har gjort, foreslo Kovetz.

• To-faktor autentisering: Hvem har det og hvordan konfigurerer det to-faktor autentisering: Hvem har det og hvordan konfigurerer det
• Beyond the Perimeter: How to adress Layered Security Beyond the Perimeter: How to adress Layered Security
• Zero Trust Model Gains Steam With Security Experts Zero Trust Model Gains Steam With Security Experts

", hvor legger du nettverkssikkerhetsprodukter?" Spurte Kovetz. "nettverkssikkerhet fungerer ikke egentlig lenger. MFA blir den nye måten å faktisk beskytte det perimeterfrie nettverket."

En viktig måte at MFA utvikler seg utover omkretsen er gjennom en spirende mengde identitetssystemer som blir solgt på Software-as-a-Service (SaaS) -basis, inkludert de fleste av IDM-tjenestene PCMag Labs har gjennomgått det siste året. "Det store antallet SaaS-produkter som gjør at SMB-er lett kan komme i gang, opererer allerede utenfor omkretsen, " sa Nathan Rowe, medgründer og Chief Product Officer (CPO) hos datasikkerhetsleverandøren Evident. SaaS-modellen reduserer både kostnads- og distribusjonskompleksiteten drastisk, så det er en stor hjelp for små til mellomstore bedrifter fordi den reduserer IT-forbruk og -kostnader, ifølge Rowe.

SaaS-løsninger er absolutt IDMs fremtid, noe som gjør dem til også MFAs fremtid. Det er gode nyheter da selv små bedrifter ubønnhørlig flytter til en IT-arkitektur med flere skyer og skytjenester, der det lett blir obligatorisk å ha enkel tilgang til MFA og andre avanserte sikkerhetstiltak.