Корпоративная аутентификация: где мы сейчас и куда движемся

Опубликовано: 1 Апреля, 2023
Корпоративная аутентификация: где мы сейчас и куда движемся

Аутентификация — это входная дверь безопасности для предприятия. Если вор может взломать замок, или вы оставляете дверь приоткрытой, или дежурный охранник спит, у вас проблемы. Аутентификация, авторизация и контроль доступа уже давно считаются основой для создания любой хорошей архитектуры безопасности, и, хотя они всегда работают вместе и должны быть реализованы как таковые в корпоративных средах, надежная входная дверь является вашим первым сдерживающим фактором против проникновения, чтобы предотвратить проникновение. раскрытие секретов вашей компании.

Раньше пароли были стандартным подходом для блокировки и разблокировки входной двери вашей компании, но у паролей есть проблемы, которые нелегко обойти. Менеджеры паролей могут помочь в этом отношении, но даже у них могут быть свои проблемы. Биометрическая аутентификация — еще один подход, который быстро набирает популярность в качестве альтернативы паролям. Но простая замена паролей биометрическими технологиями может создать другие проблемы. Поэтому многофакторная аутентификация (MFA) теперь у всех на устах и в уме как волшебная пуля для обеспечения безопасности вашей входной двери.

Но так ли это? Куда все это направляется? Как предприятия будущего будут обеспечивать безопасность и целостность входных дверей для своих приложений, сервисов, баз данных? А поскольку будущее всегда здесь, сегодня, по крайней мере, в зачаточном состоянии, новые появляющиеся технологии безопасности необходимы уже сейчас, чтобы гарантировать, что двери останутся запертыми, а плохие парни не допущены. Кевин Фрейбургер, директор по решениям для идентификации в Valid, глобальном поставщике технологий, который предоставляет решения для идентификации для бизнеса, правительства и потребителей. Недавно я сел с Кевином и спросил его, что он думает по этой теме, чтобы поделиться с нашими читателями его очень уравновешенными идеями и рекомендациями. Ниже я воспроизвел фрагменты моего разговора с ним, отредактированные в форме интервью, чтобы их было легче усваивать.

МИТЧ: В наши дни многофакторная аутентификация, кажется, в моде для предприятий, желающих обезопасить свои ресурсы. Почему это так, и что плохого в том, чтобы просто использовать пароли для защиты вещей?

КЕВИН: С паролями связаны проблемы. Как правило, пользователи выбирают короткие пароли, которые легко запомнить. Эти короткие и простые пароли провоцируют атаки киберпреступников методом грубой силы. Пользователи также часто записывают пароли на бумаге или других материалах вместо того, чтобы запоминать их. Буквально на днях, например, я проходил через кабинет врача и увидел прикрепленную к монитору записку с паролем. Это приглашение кого-то сесть за этот компьютер и выдать себя за вас!

МИТЧ: Но разве менеджеры паролей — будь то программное обеспечение, которое вы устанавливаете, или используемая вами облачная служба — не решают проблему «липких заметок на вашем мониторе», связанную с тем, что пользователи полагаются на пароли? Существуют ли какие-либо ограничения или недостатки, связанные с использованием менеджеров паролей?

Flickr / Марко Верч

Да, менеджеры паролей определенно могут решить эту проблему. Однако есть несколько соображений:

  1. Не все корпоративные ИТ-отделы одобрили эти решения.
  2. Даже с менеджером паролей это все еще только один фактор. Лучше в паре с мультифактором.
  3. Сам менеджер паролей создает еще один вектор атаки. Некоторые из этих поставщиков ранее сообщали о нарушениях безопасности.
  4. Менеджер паролей по-прежнему использует мастер-ключ/пароль. Пользователи также могут наклеить мастер-пароль. Вы можете следовать за этой кроличьей норой далеко вниз!

Я не анти-парольный менеджер. Я на самом деле использую один в своей личной жизни, и у нас также есть корпоративное решение. Однако это не решает всех существующих проблем с паролями.

МИТЧ: Некоторые провайдеры в сфере корпоративной безопасности предлагают клиентам так называемые решения «аутентификации без пароля». Можете ли вы описать некоторые способы реализации таких решений?

Традиционный взгляд на аутентификацию личности учитывает три фактора:

  1. Что-то, что вы знаете — например, пароли.
  2. Что-то, чем вы являетесь — например, биометрия (распознавание лиц, сопоставление отпечатков пальцев).
  3. Что-то, что у вас есть — например, аппаратный токен или устройство аутентификации.

Предприятия выходят за рамки паролей, которые являются фактором «что-то, что вы знаете», и вынуждают пользователей аутентифицироваться с использованием нескольких факторов. Эти решения часто используют несколько методов, которые вы, возможно, уже знаете. Первый использует биометрию, которая относится к фактору «то, чем вы являетесь». Это может быть распознавание лиц, сопоставление радужной оболочки глаза или сопоставление отпечатков пальцев. Если вы разблокировали свой телефон лицом или пальцем как потребитель, вы используете биометрию в качестве формы аутентификации. Предприятия делают то же самое: вы видите распознавание лица Windows Hello (использует камеру ПК), регистрирующее пользователя в домене предприятия с помощью Active Directory. Биометрия является лучшим UI/UX, чем пароль, потому что она быстрее и проще в использовании, чем пароль, и она более надежна, чем заметка на мониторе.

Другое решение, которое вы часто будете видеть, — это аппаратный токен или устройство аутентификации, которое является «то, что у вас есть», что пользователь должен носить с собой. Их немного сложнее использовать, но они обеспечивают дополнительную безопасность по сравнению с простыми паролями. Есть много производителей этих устройств, таких как Yubico и Samsung. Эти производители следуют стандарту FIDO2 для аутентификации без пароля. FIDO — это стандарт, в котором участвуют многие крупнейшие компании мира и которые вносят свой вклад в создание совместимой аутентификации. Другое решение для этого фактора может включать приложения для аутентификации от Google или Microsoft. Эти приложения не требуют специального оборудования и могут быть загружены на телефоны, которые люди уже должны носить с собой на предприятии.

МИТЧ: Как вы думаете, куда движется корпоративная безопасность в будущем? Взгляните в свой хрустальный шар от нашего имени, если хотите.

Я верю, что вы увидите, как предприятия удваивают биометрические данные. Взаимодействие с пользователем является плавным и быстрым, что повышает производительность труда и снижает накладные расходы на корпоративный ИТ-отдел. Обычно, если вы стремитесь к плавности и быстроте, вы жертвуете более высокой безопасностью. Но это не относится к биометрии. Вы получаете лучшее из обоих миров. Это очень надежная схема для защиты корпоративных ресурсов.

Кроме того, относительно скоро появятся квантовые вычисления. Вычислительная мощность будет расти в геометрической прогрессии, и это создает проблемы для предприятий по защите паролей, токенов и ключей/алгоритмов шифрования. Задачи, требующие больших вычислительных ресурсов (например, взлом определенных шифров), могут занять у классического компьютера сотни миллионов или миллиарды лет, в то время как квантовый компьютер может решить ту же проблему мгновенно. Вы увидите, как предприятия и рынки безопасности перейдут на более совершенные формы шифрования и защиты.

Наконец, предприятия увеличат обучение сотрудников кибербезопасности. Каждый сотрудник должен знать о методах социальной инженерии, часто используемых киберпреступниками. По мере укрепления корпоративных систем скорость и изощренность атак социальной инженерии будут расти. Хакеры будут разрабатывать все более и более хитрые схемы, чтобы обмануть сотрудников и заставить их по незнанию передавать конфиденциальные данные.

МИТЧ: Какие-нибудь заключительные мысли по этому поводу?

КЕВИН: Valid — поставщик биометрических систем. Однако это не искажает наш взгляд на мир. Биометрические системы хороши и обеспечивают огромную ценность, но они могут быть не лучшим решением для вашего предприятия. Существуют и другие варианты для малого и среднего бизнеса (SMB) и предприятий, такие как аппаратные устройства и приложения для проверки подлинности.

Ландшафт кибербезопасности меняется почти ежедневно, и ваше «решение» никогда не бывает «готовым». Хакеры постоянно используют новые векторы атак и методы социальной инженерии. Не все малые и средние предприятия, а также предприятия и государственные учреждения оснащены ресурсами и бюджетами для обеспечения безопасности, чтобы полностью справиться с этими угрозами и уязвимостями. Однако вы можете немедленно приступить к улучшению своей системы безопасности:

  1. Защитите системы с помощью многофакторной аутентификации.
  2. Шифруйте данные в состоянии покоя и в пути.
  3. Начните составлять бюджет (или увеличьте его), чтобы лучше спланировать и укомплектовать свои ресурсы для борьбы с угрозами кибербезопасности.
  4. Создавайте планы и процессы, связанные с угрозами кибербезопасности, потерей/предотвращением данных, обработкой данных и безопасностью, мониторингом нарушений, оповещением и обработкой и многим другим.

Некоторые из этих мер корпоративной аутентификации принесут немедленные дивиденды без дополнительных затрат, пока вы создаете более комплексный план.

Кибер-безопасность

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Информационная безопасность и системная IT-интеграция
27 Июня, 2024
Брандмауэр в ИТ-системе
15 Апреля, 2023
Почему одного брандмауэра недостаточно? Что такое IDS и почему их стоит иметь?
15 Апреля, 2023
Новые функции безопасности Internet Explorer 6.0 с браузером .NET Server по умолчанию
15 Апреля, 2023
Виртуальная частная сеть
15 Апреля, 2023
Microsoft ISA Server, часть II — функции брандмауэра, правила политики публикации
15 Апреля, 2023
Стратегия Microsoft в отношении .NET
15 Апреля, 2023
SSH
15 Апреля, 2023