Подпишитесь на наши ежедневные и еженедельные информационные бюллетени, чтобы получать последние обновления и эксклюзивный контент о ведущих в отрасли технологиях искусственного интеллекта. Узнать больше
Долгое время многофакторная аутентификация (MFA) — в виде push-уведомлений, приложений для проверки подлинности или других вторичных шагов — считалась ответом на растущую проблему кибербезопасности.
Но хакеры хитры и коварны и все время придумывают новые способы прорваться через крепость МИД.
Сегодняшним предприятиям необходима еще более надежная защита — хотя эксперты говорят, что MFA по-прежнему имеет решающее значение, это должна быть лишь небольшая часть процесса аутентификации.
«Традиционные методы MFA, такие как SMS и push-уведомления, оказались уязвимыми для различных атак, что делает их почти такими же уязвимыми, как и сами пароли», — сказал Фрэнк Диксон, вице-президент группы по безопасности и доверию в IDC. «Растущая распространенность сложных угроз требует перехода к более строгим методам аутентификации».
Почему МИД недостаточно?
Когда-то проверенная практика использования паролей теперь кажется странной.
Независимо от того, какую строку цифр, букв, специальных символов или цифр они содержали, их стало так легко украсть, поскольку пользователи были небрежны, ленивы, доверчивы или слишком доверчивы.
«Традиционные пароли — это просто общие секреты, не намного более сложные, чем римский часовой, запрашивающий секретное кодовое слово тысячи лет назад («Стой, кто туда ходит? Какой пароль?)», — сказал Лу Стейнберг, основатель и управляющий партнер CTM. идеи.
Как сказал VentureBeat Мэтт Колфилд, вице-президент по продуктам для обеспечения безопасности личных данных в Cisco: «Как только они были украдены, игра была окончена».
MFA стал более распространенным в середине 1990-х — 2000-х годов, когда все больше предприятий вышло в Интернет, и это казалось решением проблемы традиционных паролей. Но с цифровой трансформацией, переходом к облаку и внедрением десятков или даже сотен приложений SaaS предприятия становятся более уязвимыми, чем когда-либо. Они больше не прячутся за межсетевыми экранами и центрами обработки данных. Им не хватает контроля и прозрачности.
«МИД изменил правила игры на долгое время», — сказал Колфилд. «Но за последние 5 лет в результате этих недавних атак с использованием личных данных мы обнаружили, что MFA можно легко победить».
Одной из самых больших угроз для MFA является социальная инженерия или более персонализированная психологическая тактика. Поскольку люди выкладывают так много себя в Интернет — через социальные сети или LinkedIn, — злоумышленники имеют полную свободу действий для исследования любого человека в мире.
Благодаря все более совершенным инструментам искусственного интеллекта скрытые субъекты угроз могут проводить кампании «в массовом масштабе», сказал Колфилд. Сначала они будут использовать фишинг для доступа к основным учетным данным пользователя, а затем использовать методы искусственного интеллекта, чтобы обманом заставить их поделиться вторыми учетными данными или принять меры, которые позволят злоумышленникам получить доступ к их учетной записи.
Или злоумышленники будут рассылать дополнительные SMS-сообщения MFA или метод push-уведомлений, вызывая «усталость MFA», когда пользователь в конце концов сдается и нажимает «разрешить». Злоумышленники также подготавливают жертв, заставляя ситуации казаться срочными, или обманывают их, заставляя думать, что они получают законные сообщения от службы ИТ-поддержки.
Между тем, с помощью атак «человек посередине» злоумышленник может перехватить код во время передачи между пользователем и провайдером. Злоумышленники также могут использовать инструменты, дублирующие страницы входа в систему, вынуждая пользователей предоставлять как свои пароли, так и коды MFA.
Войти без пароля
Крах MFA побудил многие предприятия принять методы без пароля, такие как пароли, снятие отпечатков пальцев устройств, геолокацию или биометрию.
С помощью паролей пользователи аутентифицируются с помощью криптографических «ключей безопасности», хранящихся на их компьютере или устройстве, объяснил Дерек Хэнсон, вице-президент по стандартам и альянсам компании Yubico, которая производит широко используемое устройство YubiKey.
Каждая сторона должна предоставить доказательства своей личности и сообщить о своем намерении инициировать аутентификацию. Пользователи могут входить в приложения и на веб-сайты с помощью биометрического датчика (например, отпечатка пальца или распознавания лица), PIN-кода или рисунка.
«Пользователям не требуется запоминать или вручную вводить длинные последовательности символов, которые можно забыть, украсть или перехватить», — сказал Хэнсон. Это снижает нагрузку на пользователей, позволяя им сделать правильный выбор и не передавать свои учетные данные во время попытки фишинга.
«Такие подходы, как снятие отпечатков пальцев устройств или геолокация, могут дополнить традиционный MFA», — объяснил Андерс Аберг, директор по беспарольным технологиям в Bitwarden. «Эти методы корректируют требования безопасности в зависимости от поведения пользователя и контекста — например, местоположения, устройства или сети — уменьшая трение при сохранении высокого уровня безопасности».
Колфилд согласился, что тандемное использование устройств и биометрии находится на подъеме. При первоначальном входе в систему и проверке пользователь показывает свое лицо вместе с физическими данными, удостоверяющими личность, например паспортом или водительскими правами, а система выполняет 3D-картографирование, что является своего рода «проверкой жизнеспособности». Как только удостоверения личности с фотографией будут подтверждены в государственных базах данных, система зарегистрирует устройство и отпечатки пальцев или другие биометрические данные.
«У вас есть устройство, ваше лицо, ваш отпечаток пальца», — сказал Колфилд. «Часть доверия к устройству гораздо более распространена в качестве новой серебряной пули для предотвращения фишинга и фишинговых атак на основе искусственного интеллекта. Я называю это второй волной МИД. Первая волна была серебряной пулей, пока она не исчезла».
Однако эти методы также не являются полностью надежными. Хакеры могут обойти инструменты биометрии, используя дипфейки или просто украв фотографию законного пользователя.
«Биометрия надежнее паролей, но после компрометации их невозможно изменить», — сказал Стейнберг. «При необходимости вы можете изменить свой пароль, но пробовали ли вы когда-нибудь сменить отпечаток пальца?»
Использование аналитики, создание отказоустойчивости
Колфилд отметил, что организации внедряют аналитические инструменты и накапливают горы данных, но не используют их для повышения своей кибербезопасности.
«Эти инструменты генерируют массу телеметрических данных», — сказал Колфилд, — например, о том, кто входит в систему, откуда и на каком устройстве. Но затем они «отправляют все это в черную дыру».
По его словам, расширенная аналитика может помочь в обнаружении и анализе угроз идентификации, даже если после этого она обеспечит «временную меру или отказоустойчивость», когда злоумышленники обходят MFA, сказал он.
В конечном счете, предприятия должны иметь надежную стратегию, согласен Амиш Диватиа, соучредитель и генеральный директор компании по защите данных Baffle. Информация, позволяющая установить личность (PII), и другие конфиденциальные данные должны быть криптографически защищены (замаскированы, токенизированы или зашифрованы).
«Даже если произошла утечка данных, криптографически защищенные данные бесполезны для злоумышленника», — сказал Диватиа. Фактически, GDPR и другие законы о конфиденциальности данных не требуют от компаний уведомлять пострадавшие стороны в случае утечки криптографически защищенных данных, поскольку сами данные по-прежнему находятся в безопасности, отметил он.
«Отказоустойчивость означает, что когда одна или несколько ваших систем кибербезопасности выходят из строя, ваши данные по-прежнему находятся в безопасности», — сказал Диватиа.
Есть причина, по которой это называется «многофакторным».
Тем не менее, это не означает, что МИД полностью исчезнет.
«В целом иерархия аутентификации начинается с MFA, поскольку слабый MFA все же лучше, чем его полное отсутствие, и это не следует упускать из виду», — сказал Диксон.
Как отметил Колфилд, она не зря называется многофакторной аутентификацией — «мульти» может означать что угодно. В конечном итоге это может быть сочетание паролей, push-уведомлений, сканирования отпечатков пальцев, физического владения устройством, биометрических или аппаратных средств и токенов RSA (и всего, что будет дальше).
«МИД никуда не денется, просто теперь определение такое: «Насколько хорош ваш МИД?» Это базовый, зрелый или оптимизированный вариант?», — сказал он. Однако в конце он подчеркнул: «Никогда не будет ни одного фактора, который сам по себе был бы полностью безопасным».