Xác thực đa yếu tố sẽ là chìa khóa cho các doanh nghiệp bảo vệ tài sản trên đám mây

Khi chứng minh bạn là ai với hệ thống quản lý danh tính (IDM), bạn có thể nhận thấy rằng gần đây ngày càng có nhiều người yêu cầu thêm một bước bên cạnh ID người dùng và mật khẩu của bạn, chẳng hạn như lời nhắc gửi mã đến điện thoại của bạn khi bạn đăng nhập đến Gmail, Twitter hoặc tài khoản ngân hàng của bạn từ một thiết bị không phải là thiết bị bạn thường sử dụng. Chỉ cần đảm bảo rằng bạn không quên tên của thú cưng đầu tiên của bạn hoặc nơi mẹ bạn được sinh ra bởi vì bạn có thể cần phải nhập thông tin đó để chứng minh danh tính của bạn. Những mẩu dữ liệu này, được yêu cầu kết hợp với mật khẩu, là một dạng xác thực đa yếu tố (MFA).

MFA không mới. Nó bắt đầu như công nghệ vật lý; thẻ thông minh và khóa USB là hai ví dụ về thiết bị mà chúng tôi yêu cầu đăng nhập vào máy tính hoặc dịch vụ phần mềm sau khi nhập đúng mật khẩu. Tuy nhiên, MFA đã nhanh chóng phát triển quy trình đăng nhập này để bao gồm các số nhận dạng khác, chẳng hạn như thông báo đẩy trên thiết bị di động.

Tim Steinkopf, Chủ tịch của Centrify Corp, nhà sản xuất Dịch vụ Nhận dạng Ly tâm cho biết: "Đã qua rồi, khi các công ty phải triển khai mã thông báo phần cứng và người dùng đã nản lòng khi nhập mã sáu chữ số cứ sau 60 giây". "Điều đó thật tốn kém và trải nghiệm người dùng tồi. Giờ đây, MFA đơn giản như nhận được thông báo đẩy tới điện thoại của bạn." Tuy nhiên, ngay cả các mã chúng tôi nhận được thông qua Dịch vụ tin nhắn ngắn (SMS) hiện cũng không được chấp nhận, theo Steinkopf.

"SMS không còn là phương thức vận chuyển an toàn cho mã MFA vì chúng có thể bị chặn", ông nói. "Đối với các tài nguyên có độ nhạy cao, các công ty hiện phải xem xét các mã thông báo tiền điện tử an toàn hơn nữa tuân theo các tiêu chuẩn Liên minh nhanh IDentity Online (FIDO) mới." Ngoài mã thông báo mã hóa, các tiêu chuẩn FIDO2 kết hợp đặc tả Xác thực Web của World Wide Web Consortium (W3C) và Giao thức khách hàng đến Giao thức xác thực (CTAP). Các tiêu chuẩn FIDO2 cũng hỗ trợ cử chỉ của người dùng bằng cách sử dụng sinh trắc học nhúng như nhận dạng khuôn mặt, vuốt vân tay và quét mống mắt.

Để sử dụng MFA, bạn sẽ cần kết hợp hỗn hợp mật khẩu và câu hỏi cho các thiết bị như điện thoại thông minh hoặc sử dụng dấu vân tay và nhận dạng khuôn mặt, Joe Diamond, Giám đốc Quản lý Tiếp thị Sản phẩm Bảo mật tại Okta, nhà sản xuất Quản lý Nhận dạng Okta giải thích.

"Nhiều tổ chức hiện đang nhận ra các rủi ro bảo mật liên quan đến mật khẩu một lần dựa trên SMS là một yếu tố MFA. Thật là tầm thường khi một diễn viên xấu 'trao đổi SIM' và chiếm lấy số điện thoại di động", Diamond nói. "Bất kỳ người dùng nào có nguy cơ bị tấn công nhắm mục tiêu như vậy nên thực hiện các yếu tố thứ hai mạnh hơn như yếu tố sinh trắc học hoặc mã thông báo cứng tạo ra một cái bắt tay mật mã giữa thiết bị và dịch vụ."

Đôi khi MFA không hoàn hảo. Vào ngày 27 tháng 11, Microsoft Azure đã bị ngừng hoạt động liên quan đến MFA do lỗi Hệ thống tên miền (DNS) gây ra nhiều yêu cầu không thành công khi người dùng cố gắng đăng nhập vào các dịch vụ như Active Directory.

Tín dụng: Liên minh FIDO

Thông báo đẩy di động

Các chuyên gia xem thông báo đẩy trên thiết bị di động là tùy chọn tốt nhất về "yếu tố" bảo mật vì nó có sự kết hợp hiệu quả giữa bảo mật và khả năng sử dụng. Một ứng dụng gửi tin nhắn đến điện thoại của người dùng để thông báo cho người đó rằng dịch vụ đang cố gắng đăng nhập người dùng hoặc gửi dữ liệu.

"Bạn đang đăng nhập vào mạng và thay vì chỉ nhập mật khẩu, bạn sẽ bị đẩy đến thiết bị của mình, nơi nó nói có hoặc không, bạn đang cố xác thực thiết bị này và nếu bạn nói có, nó sẽ cấp cho bạn quyền truy cập vào mạng, "Dave Lewis, Giám đốc an ninh thông tin tư vấn toàn cầu (CISO) giải thích cho doanh nghiệp bảo mật Duo của Cisco, công ty cung cấp ứng dụng xác thực di động Duo Push. Các sản phẩm khác cung cấp MFA bao gồm Yubico YubiKey 5 NFC và Ping Nhận dạng PingOne.

Thông báo đẩy trên thiết bị di động thiếu mật khẩu một lần được gửi qua SMS vì những mật khẩu này có thể bị hack khá dễ dàng. Mã hóa làm cho các thông báo có hiệu quả, theo Hed Kovetz, đồng sáng lập và CEO của nhà cung cấp giải pháp MFA Silverfort.

"Đó chỉ là một cú nhấp chuột và bảo mật rất mạnh bởi vì đây là một thiết bị hoàn toàn khác", ông nói. "Bạn có thể thay đổi ứng dụng nếu bị xâm phạm và được mã hóa và xác thực hoàn toàn bằng các giao thức hiện đại. Chẳng hạn như SMS không dễ bị xâm phạm vì tiêu chuẩn về cơ bản là yếu và dễ bị vi phạm với các cuộc tấn công của Hệ thống tín hiệu 7 (SS7) và tất cả các loại tấn công khác vào SMS. "

MFA hợp nhất Zero Trust

MFA là một phần quan trọng của mô hình Zero Trust mà bạn không tin tưởng bất kỳ người dùng mạng nào cho đến khi bạn xác minh rằng chúng hợp pháp. "Áp dụng MFA là một bước cần thiết để xác minh rằng người dùng thực sự là người họ nói, " Steinkopf nói.

"MFA đóng một vai trò quan trọng trong mô hình trưởng thành Zero Trust của bất kỳ tổ chức nào, vì trước tiên chúng tôi cần thiết lập niềm tin của người dùng trước khi chúng tôi có thể cấp quyền truy cập", Diamond của Okta nói thêm. "Điều này cũng cần được kết hợp với chiến lược nhận dạng tập trung trên tất cả các tài nguyên để các chính sách MFA có thể được kết hợp với các chính sách truy cập để đảm bảo người dùng phù hợp có quyền truy cập đúng tài nguyên, càng ít ma sát càng tốt."

Tín dụng: Liên minh FIDO

Mật khẩu có được thay thế không?

Nhiều người có thể không sẵn sàng từ bỏ mật khẩu, nhưng nếu người dùng sẽ tiếp tục dựa vào họ, họ sẽ cần được bảo vệ. Trên thực tế, Báo cáo Vi phạm Dữ liệu năm 2017 của Verizon đã tiết lộ rằng 81 phần trăm vi phạm dữ liệu bắt nguồn từ mật khẩu bị đánh cắp. Những loại thống kê này làm cho mật khẩu trở thành một vấn đề đối với bất kỳ tổ chức nào muốn bảo vệ hệ thống của mình một cách đáng tin cậy.

"Nếu chúng tôi có thể giải quyết mật khẩu và lấy chúng và chuyển sang một loại xác thực thông minh hơn, chúng tôi sẽ ngăn chặn hầu hết các vi phạm dữ liệu xảy ra ngày hôm nay", ông Kovetz của Silverfort nói.

Mật khẩu không có khả năng biến mất ở mọi nơi, nhưng chúng có thể bị loại bỏ cho các ứng dụng cụ thể, Kovetz của Silverfort lưu ý. Ông nói rằng việc loại bỏ hoàn toàn mật khẩu cho phần cứng máy tính và thiết bị Internet of Things (IoT) sẽ phức tạp hơn. Một lý do khác, ông cho biết việc xác thực hoàn toàn không cần mật khẩu có thể không xảy ra sớm là vì mọi người gắn bó với tâm lý với họ.

Chuyển đổi từ mật khẩu cũng liên quan đến một sự thay đổi văn hóa trong các tổ chức theo Lewis của Cisco. "Việc đẩy từ mật khẩu tĩnh sang MFA là một sự thay đổi văn hóa về cơ bản, " Lewis nói. "Bạn đang khiến mọi người làm những việc khác với những gì họ đã làm trong nhiều năm."

Xử lý và trí tuệ nhân tạo MFA

Trí tuệ nhân tạo (AI) đang được sử dụng để giúp các quản trị viên IDM và các hệ thống MFA đối phó với hàng loạt dữ liệu đăng nhập mới. Các giải pháp MFA từ các nhà cung cấp như Silverfort áp dụng AI để hiểu rõ hơn khi nào MFA là cần thiết và khi nào thì không.

"Phần AI, khi bạn kết hợp nó, cho phép bạn đưa ra quyết định ban đầu về việc liệu một xác thực cụ thể có yêu cầu MFA hay không, " ông Kovetz của Silverfort nói. Ông cho biết thành phần máy học (ML) của ứng dụng có thể mang lại điểm số rủi ro cao nếu phát hiện mô hình hoạt động bất thường, như nếu tài khoản của một nhân viên đột nhiên bị ai đó ở Trung Quốc truy cập và nhân viên thường xuyên làm việc ở Hoa Kỳ.

"Nếu người dùng đăng nhập vào một ứng dụng từ văn phòng bằng PC do công ty của họ cấp, thì MFA sẽ không được yêu cầu vì đó là điều 'bình thường', " Sterifopf của Centrify giải thích. "Nhưng nếu cùng một người dùng đó đi du lịch nước ngoài hoặc sử dụng thiết bị của người khác, thì họ sẽ được nhắc nhở về MFA vì rủi ro cao hơn." Steinkopf nói thêm rằng MFA thường là bước đầu tiên khi sử dụng các kỹ thuật xác minh bổ sung.

CIO cũng đang chú ý đến sinh trắc học hành vi, điều này đã trở thành một xu hướng phát triển trong các triển khai MFA mới. Sinh trắc học hành vi sử dụng phần mềm để theo dõi cách người dùng nhập hoặc vuốt. Mặc dù điều này nghe có vẻ dễ dàng, nhưng nó thực sự đòi hỏi phải xử lý khối lượng lớn dữ liệu thay đổi nhanh chóng, đó là lý do tại sao các nhà cung cấp đang sử dụng ML để giúp đỡ.

"Giá trị trong ML để xác thực sẽ là đánh giá nhiều tín hiệu phức tạp, tìm hiểu" căn cước "của người dùng dựa trên các tín hiệu đó và cảnh báo về sự bất thường của đường cơ sở đó", Diamond của Okta nói. "Sinh trắc học hành vi là một ví dụ cho thấy điều này có thể xảy ra. Hiểu được các sắc thái của cách người dùng gõ, đi bộ hoặc tương tác với thiết bị của họ đòi hỏi một hệ thống thông minh tiên tiến để tạo hồ sơ người dùng đó."

Biến mất chu vi

Với sự phát triển của cơ sở hạ tầng đám mây, dịch vụ đám mây và đặc biệt là khối lượng dữ liệu cao của các thiết bị IoT ngoài cơ sở, giờ đây không chỉ là chu vi vật lý tại vị trí trung tâm dữ liệu của tổ chức. Ngoài ra còn có một vành đai ảo cần bảo vệ tài sản của công ty trên đám mây. Trong cả hai kịch bản, danh tính đóng một phần quan trọng theo Kovetz.

"Chu vi từng được xác định về mặt vật lý, giống như văn phòng, nhưng ngày nay chu vi được xác định theo danh tính", ông Kovetz nói. Khi chu vi biến mất, các biện pháp bảo vệ mà tường lửa mạnh được sử dụng để cung cấp cho máy tính để bàn có dây. MFA có thể là một cách để thay thế những gì tường lửa đã làm theo truyền thống, Kovetz đề xuất.

• Xác thực hai yếu tố: Ai có nó và làm thế nào để thiết lập nó Xác thực hai yếu tố: Ai có nó và làm thế nào để thiết lập nó
• Vượt ra ngoài vành đai: Cách giải quyết vấn đề bảo mật lớp ngoài phạm vi: Cách giải quyết vấn đề bảo mật lớp
• Mô hình Zero Trust đạt được hơi nước với các chuyên gia bảo mật Mô hình Zero Trust đạt được hơi nước với các chuyên gia bảo mật

", bạn đặt sản phẩm bảo mật mạng ở đâu?" Ketetz hỏi. "an ninh mạng không thực sự hoạt động nữa. MFA trở thành cách mới để thực sự bảo vệ mạng không có vành đai của bạn."

Một cách quan trọng mà MFA đang phát triển vượt ra ngoài vành đai là thông qua đám đông các hệ thống nhận dạng đang được bán trên cơ sở Phần mềm dưới dạng dịch vụ (SaaS), bao gồm hầu hết các dịch vụ IDM mà PCMag Labs đã xem xét trong năm qua. "Số lượng lớn các sản phẩm SaaS cho phép SMB dễ dàng khởi động và hoạt động đã hoạt động bên ngoài vành đai", ông Nathan Rowe, đồng sáng lập và Giám đốc sản phẩm (CPO) tại nhà cung cấp bảo mật dữ liệu Evident cho biết. Mô hình SaaS giảm đáng kể cả chi phí triển khai và độ phức tạp triển khai, do đó, nó giúp ích rất nhiều cho các doanh nghiệp vừa và nhỏ vì nó giảm chi tiêu và chi phí CNTT, theo Rowe.

Các giải pháp SaaS chắc chắn là tương lai của IDM, điều này cũng khiến chúng trở thành tương lai của MFA. Đó là tin tốt khi ngay cả các doanh nghiệp nhỏ đang chuyển sang một kiến ​​trúc CNTT dịch vụ đám mây và đám mây, nơi việc truy cập dễ dàng vào MFA và các biện pháp bảo mật tiên tiến khác sẽ sớm trở thành bắt buộc.