Ang pagpapatunay ng multifactor ay magiging susi para sa mga negosyo na nagpoprotekta sa mga asset ng ulap

Kapag nagpapatunay kung sino ka sa isang sistema ng pamamahala ng pagkakakilanlan (IDM), maaaring napansin mo na kamakailan at higit pa sa mga ito ang nangangailangan ng dagdag na hakbang bukod sa iyong user ID at password, tulad ng mga senyas na nagpapadala ng mga code sa iyong telepono kapag nag-log in ka sa Gmail, Twitter, o sa iyong bank account mula sa isang aparato maliban sa karaniwang ginagamit mo. Siguraduhing hindi mo nakalimutan ang pangalan ng iyong unang alagang hayop o kung saan ipinanganak ang iyong ina dahil marahil ay kailangan mong ipasok ang impormasyong iyon upang mapatunayan ang iyong pagkakakilanlan. Ang mga piraso ng data na ito, na kinakailangan kasama ng isang password, ay isang anyo ng pagpapatunay ng multifactor (MFA).

Hindi bago ang MFA. Nagsimula ito bilang pisikal na teknolohiya; ang mga matalinong card at USB dongle ay dalawang halimbawa ng mga aparato na hiniling namin na mag-log in sa mga computer o mga serbisyo ng software sa sandaling naipasok ang tamang password. Gayunpaman, ang MFA ay mabilis na umuusbong sa proseso ng pag-login na ito upang isama ang iba pang mga pagkakakilanlan, tulad ng mga abiso sa mobile push.

"Nawala ang mga dating araw kung kailan kailangang mag-deploy ng mga token ng hardware ang mga kumpanya, at ang mga gumagamit ay nabigo sa pag-type sa anim na digit na mga code na umiikot bawat 60 segundo, " sabi ni Tim Steinkopf, Pangulo ng Centrify Corp., tagagawa ng Centrify Identity Service. "Iyon ay mahal at isang masamang karanasan ng gumagamit. Ngayon ang MFA ay kasing simple ng pagtanggap ng isang abiso sa pagtulak sa iyong telepono." Gayunpaman, kahit na ang mga code na natanggap namin sa pamamagitan ng Maikling Serbisyo ng Mensahe (SMS) ay nakasimangot na ngayon, ayon sa Steinkopf.

"Ang SMS ay hindi na ligtas na paraan ng transportasyon para sa mga code ng MFA dahil maaari silang mai-intercept, " aniya. "Para sa mga sensitibong mapagkukunan, dapat isaalang-alang ngayon ng mga kumpanya ang mas ligtas na mga token ng crypto na sumusunod sa bagong pamantayan ng Fast IDentity Online (FIDO) Alliance." Bilang karagdagan sa mga token ng crypto, ang mga pamantayan ng FIDO2 ay isinasama ang World Wide Web Consortium (W3C) 's Web Authentication na detalye at ang Client to Authenticator Protocol (CTAP). Sinusuportahan din ng mga pamantayan ng FIDO2 ang mga kilos ng gumagamit gamit ang naka-embed na biometrics tulad ng pagkilala sa facial, fingerprint swiping, at iris scan.

Upang magamit ang MFA, kakailanganin mong isama ang isang halo ng mga password at mga katanungan para sa mga aparato tulad ng mga smartphone, o gumamit ng mga fingerprint at facial na pagkilala, ipinaliwanag ni Joe Diamond, Direktor ng Pamamahala sa Pamamahala ng Produkto ng Seguridad sa Okta, mga gumagawa ng Okta Identity Management.

"Maraming mga samahan na ngayon ang kumikilala sa mga panganib sa seguridad na nauugnay sa batay sa SMS, isang beses na mga password bilang isang kadahilanan ng MFA. Medyo walang kuwenta para sa isang masamang aktor na 'SIM swap' at kukuha ng mobile number, " sabi ni Diamond. "Ang sinumang gumagamit na nanganganib sa tulad ng isang naka-target na pag-atake ay dapat na magpatupad ng mas malakas na pangalawang kadahilanan tulad ng isang biometric factor o hard token na lumilikha ng isang cryptographic handshake sa pagitan ng aparato at serbisyo."

Minsan ang MFA ay hindi perpekto. Noong Nobyembre 27, ang Microsoft Azure ay nagdusa ng isang pag-agos na may kaugnayan sa MFA dahil sa isang error sa Domain Name System (DNS) na nagdulot ng maraming mga bigong kahilingan kapag sinubukan ng mga gumagamit na mag-sign in sa mga serbisyo tulad ng Aktibong Directory.

Credit: FIDO Alliance

Mga Abiso sa Mobile Push

Ang mga eksperto ay nakikita ang mga mobile push notification bilang ang pinakamahusay na pagpipilian ng mga "kadahilanan" ng seguridad dahil mayroon itong isang epektibong kumbinasyon ng seguridad at kakayahang magamit. Ang isang application ay nagpapadala ng isang mensahe sa telepono ng isang gumagamit na nagpapabatid sa taong sinusubukan ng serbisyo na mai-log ang gumagamit o magpadala ng data.

"Nag-log in ka sa isang network, at sa halip na ipasok lamang ang iyong password, itulak mo ang iyong aparato kung saan sinasabing oo o hindi, sinusubukan mong patunayan ang aparatong ito, at kung sasabihin mo oo, binibigyan ka nito ng access ang network, "ipinaliwanag ni Dave Lewis, ang Global Advisory Chief Information Security Officer (CISO) para sa negosyo ng seguridad ng Duo ng Cisco, na nag-aalok ng mobile authentication app na Duo Push. Ang iba pang mga produkto na nag-aalok ng MFA ay kasama ang Yubico YubiKey 5 NFC at ang Ping Identity PingOne.

Ang mga notification sa mobile push ay kulang sa mga sandaling password na ipinadala sa pamamagitan ng SMS dahil ang mga password na ito ay maaaring mai-hack nang medyo madali. Ginagawa ng encryption ang mga abiso na epektibo, ayon kay Hed Kovetz, co-founder at CEO ng MFA solution provider na Silverfort.

"Iisa lamang ang pag-click, at ang seguridad ay napakalakas dahil ito ay isang buong magkakaibang aparato, " aniya. "Maaari mong baguhin ang app kung ito ay nakompromiso, at ito ay ganap na naka-encrypt at napatunayan sa mga modernong protocol. Hindi ito tulad ng isang SMS halimbawa, na madaling kinompromiso dahil ang pamantayan ay karaniwang mahina at madaling nilabag sa pag-atake ng Signaling System 7 (SS7). at lahat ng uri ng iba pang mga pag-atake sa SMS. "

Ang MFA Incorporates Zero Trust

Ang MFA ay isang pangunahing bahagi ng modelo ng Zero Trust kung saan hindi ka nagtitiwala sa anumang mga gumagamit ng network hanggang sa mapatunayan mong lehitimo sila. "Ang paglalapat ng MFA ay isang kinakailangang hakbang sa pag-verify na ang gumagamit ay aktwal na sinasabi nila na sila, " sabi ni Steinkopf.

"Ang MFA ay gumaganap ng isang kritikal na papel sa modelo ng pagiging matatag ng Zero Trust ng samahan, dahil una nating kailangan upang maitaguyod ang tiwala ng gumagamit bago namin maibigay ang pag-access, " idinagdag ni Okta's Diamond. "Ito rin ay kailangang isama sa isang sentralisadong diskarte sa pagkakakilanlan sa lahat ng mga mapagkukunan upang ang mga patakaran ng MFA ay maaaring ipares sa mga patakaran sa pag-access upang matiyak na ang tamang mga gumagamit ay may tamang pag-access sa tamang mga mapagkukunan, na may kaunting alitan hangga't maaari."

Credit: FIDO Alliance

Ang mga password ba ay Pinalitan?

Maraming mga tao ang maaaring hindi handa na iwanan ang mga password, ngunit kung ang mga gumagamit ay magpapatuloy na umaasa sa kanila kakailanganin silang protektado. Sa katunayan, ang 2017 Data Breach Report ni Verizon ay nagsiwalat na 81 porsyento ng mga paglabag sa data ay nagmumula sa ninakaw na mga password. Ang mga uri ng istatistika ay ginagawang isang problema sa mga password para sa anumang samahan na naghahanap upang mapagtiwasang protektahan ang mga system nito.

"Kung malulutas natin ang mga password at makuha ang mga ito at lumipat sa isang mas matalinong uri ng pagpapatunay, pipigilan namin ang karamihan sa mga paglabag sa data na nangyayari ngayon, " sabi ni Silverfort's Kovetz.

Ang mga password ay hindi malamang na mawala sa lahat ng dako, ngunit maaaring maalis ang mga ito para sa mga tiyak na apps, sinabi ni Silverfort ni Kovetz. Sinabi niya na ang pag-alis ng mga password nang buo para sa computer hardware at Internet of Things (IoT) na aparato ay magiging mas kumplikado. Ang isa pang kadahilanan na sinabi niya na kumpleto ang password-mas kaunting pagpapatotoo ay maaaring hindi mangyayari sa lalong madaling panahon ay dahil ang mga tao ay naka-sikolohikal na nakakabit sa kanila.

Ang paglipat mula sa mga password ay nagsasangkot din ng isang pagbabago sa kultura sa mga samahan ayon sa Lewis ng Cisco. "Ang pagtulak palayo sa mga static na password sa MFA ay isang shift sa kultura sa panimula, " sabi ni Lewis. "Kinukuha mo ang mga tao na gumawa ng mga bagay na naiiba kaysa sa nagawa nila nang maraming taon."

Pagproseso ng MFA at Artipisyal na Kaalaman

Ginagamit ang artipisyal na intelektwal (AI) upang matulungan ang mga administrador ng IDM at mga sistema ng MFA na makayanan ang isang barrage ng mga bagong data sa pag-login. Ang mga solusyon sa MFA mula sa mga nagtitinda tulad ng Silverfort ay inilalapat ang AI upang makakuha ng mga pananaw sa kung kailan kinakailangan ang MFA at kapag wala ito.

"Ang bahagi ng AI, kapag pinagsama mo ito, ay nagbibigay-daan sa iyo upang gumawa ng paunang desisyon kung ang isang tiyak na pagpapatunay ay dapat mangailangan ng MFA o hindi, " sinabi ni Silverfort's Kovetz. Sinabi niya na ang sangkap ng pag-aaral ng machine (ML) ng app ay maaaring maghatid ng isang mataas na marka ng peligro kung nakita nito ang isang hindi normal na pattern ng aktibidad, tulad ng kung ang account ng isang empleyado ay biglang mai-access ng isang tao sa China at regular na gumagana ang empleyado sa Estados Unidos.

"Kung ang isang gumagamit ay nag-log in sa isang aplikasyon mula sa tanggapan gamit ang kanilang sariling PC na inisyu ng kumpanya, kung gayon ang MFA ay hindi hinihiling tulad ng 'normal na', " paliwanag ng Centrify's Steinkopf. "Ngunit kung ang parehong gumagamit ay naglalakbay sa ibang bansa o gumagamit ng aparato ng ibang tao, pagkatapos ay sasabihan sila para sa MFA dahil mas mataas ang peligro." Idinagdag ni Steinkopf na ang MFA ay madalas na isang unang hakbang kapag gumagamit ng mga karagdagang pamamaraan sa pag-verify.

Ang mga CIO ay nagpapanatili rin ng masigasig na pag-iisip sa mga biometrics ng pag-uugali, na naging isang lumalagong takbo sa mga bagong pag-deploy ng MFA. Ang likas na biometrics ay gumagamit ng software upang masubaybayan kung paano nag-type o mag-swipe ang mga gumagamit. Bagaman madali ang tunog na ito, talagang nangangailangan ito ng pagproseso ng mga malalaking chunks ng mabilis na pagbabago ng data, na ang dahilan kung bakit gumagamit ang ML sa tulong.

"Ang halaga sa ML para sa pagpapatotoo ay upang suriin ang maramihang mga kumplikadong signal, alamin ang isang baseline 'pagkakakilanlan' ng gumagamit batay sa mga signal, at alerto sa mga anomalya sa baseline na iyon, " sabi ni Okta's Diamond. "Ang pag-uugali ng biometrics ay isang halimbawa kung saan maaaring maglaro ito. Ang pag-unawa sa mga nuances ng kung paano ang isang uri ng gumagamit, naglalakad, o kung hindi man ay nakikipag-ugnay sa kanilang aparato ay nangangailangan ng isang advanced na sistema ng katalinuhan upang lumikha ng profile ng gumagamit na iyon."

Mga nawawalang Perimeter

Sa pamamagitan ng ebolusyon ng imprastraktura ng ulap, mga serbisyo ng ulap, at lalo na ang mataas na dami ng data ng mga aparato sa IoT na nasa labas ng lugar, mayroon nang higit pa kaysa sa isang pisikal na perimeter sa lokasyon ng sentro ng data ng isang organisasyon. Mayroon ding virtual perimeter na kailangang protektahan ang mga ari-arian ng kumpanya sa ulap. Sa parehong mga sitwasyon, ang pagkakakilanlan ay gumaganap ng isang pangunahing bahagi ayon kay Kovetz.

"Ang mga perimeter na dati ay tinukoy nang pisikal, tulad ng opisina, ngunit ang mga perimeter ngayon ay tinukoy ng pagkakakilanlan, " sabi ni Kovetz. Tulad ng mga perimeter nawala din ang mga proteksyon na malakas na mga firewall na ginamit upang maibigay para sa mga wired na desktop computer. Ang MFA ay maaaring maging isang paraan upang palitan kung ano ang tradisyonal na nagawa ng mga firewall, iminungkahi ni Kovetz.

• Two-Factor Authentication: Sino ang May Ito at Paano Itakda Ito Dalawa-Factor Authentication: Sino May Ito at Paano Itakda Ito
• Higit pa sa Perimeter: Paano Makikipag-usap sa Layered Security Higit pa sa Perimeter: Paano Makikipag-usap sa Layered Security
• Ang Zero Trust Model ay nakakakuha ng singaw Sa Mga Eksperto ng Seguridad Ang Zero Trust Model ay nakakakuha ng Steam Sa Mga Eksperto sa Seguridad

", saan mo inilalagay ang mga produkto ng seguridad sa network?" Tanong ni Kovetz. "Ang seguridad ng network ay hindi na gumana ngayon. Ang MFA ay nagiging bagong paraan ng tunay na pagprotekta sa iyong network na mas mababa sa perimeter."

Ang isang pangunahing paraan na umuusbong ang MFA na lampas sa perimeter ay sa pamamagitan ng isang burgeoning karamihan ng mga sistema ng pagkakakilanlan na ibinebenta sa isang batayan ng Software-as-a-Service (SaaS), kabilang ang karamihan sa mga serbisyo ng IDM na PCMag Labs ay nasuri sa nakaraang taon. "Ang napakaraming bilang ng mga produktong SaaS na nagbibigay daan sa mga SMB na madaling bumangon at tumatakbo na sa labas ng perimeter, " sabi ni Nathan Rowe, co-founder at Chief Product Officer (CPO) sa data security provider Evident. Ang modelo ng SaaS ay napakaliit na binabawasan ang parehong pagiging kumplikado ng gastos at paglawak, kaya malaking tulong para sa maliit na midsize ang mga negosyo dahil binabawasan nito ang paggastos ng IT at overhead, ayon kay Rowe.

Ang mga solusyon sa SaSS ay tiyak na kinabukasan ng IDM, na ginagawang ang kinabukasan ng MFA din. Iyon ay magandang balita dahil kahit na ang mga maliliit na negosyo ay hindi maipalabas na lumilipat sa isang multi-cloud at cloud service IT architecture, kung saan ang pagkakaroon ng madaling pag-access sa MFA at iba pang mga advanced na hakbang sa seguridad ay magiging mandatory.