Представлено Дашлейном
Предприятия всегда сталкивались с риском утечки данных, но сегодня угроза значительно возросла, отчасти из-за бума генеративных инструментов искусственного интеллекта. Gartner недавно обнаружила, что количество SaaS-приложений, используемых на одного сотрудника, удвоилось с 2019 года, и значительная часть этих приложений — это инструменты искусственного интеллекта, которые сотрудники используют без надзора со стороны ИТ-специалистов.
Неуправляемые приложения не защищены такими элементами управления, как единый вход (SSO) или многофакторная аутентификация (MFA), поэтому невозможно узнать, осуществляется ли доступ к этим приложениям, которые потенциально содержат конфиденциальные данные, с использованием безопасных учетных данных или какой тип данных. или интеллектуальная собственность просачивается в Интернет благодаря ChatGPT, Gemini и другим инструментам.
«Резкий рост количества SaaS-приложений в облаке создал множество серых зон для ИТ», — говорит Фред Ривейн, технический директор Dashlane. «Эффективность защиты учетных данных и паролей во многом зависела от участия пользователя, но сегодня этого недостаточно. Недостаточно просто иметь классический менеджер паролей, MFA или единый вход. Вам нужно все это, плюс вам необходимо улучшить гигиену своих учетных данных во всей организации».
Проблемы SSO, MFA и обеспечения полномочий
Конечно, ИТ-руководители могут контролировать то, о чем они знают — все свои критически важные системы, а также могут развернуть SSO и MFA поверх них. Но сегодня проблема заключается не только в теневых ИТ, но и в огромном количестве инструментов, несовместимых с единым входом. Существует также то, что специалисты по безопасности называют «налогом на единый вход» или комиссией, которую поставщики взимают за добавление интеграции единого входа. Определение инструментов, которые необходимо защитить, и добавление интеграции SSO становится дорогостоящей операцией как по времени, так и по деньгам.
Многие предприятия отказываются от этих затрат – это вполне понятно, поскольку предприятия сталкиваются в среднем с 53 учетными данными, которые автоматически не покрываются единым входом (и высока вероятность того, что многие из этих паролей являются дубликатами), а инвентаризация приложений по всей организации является серьезной задачей. требуя участия топ-менеджеров. В то же время малый и средний бизнес полностью заблокирован, потому что у них просто нет ресурсов для оплаты интеграции SSO.
Предприятия любого размера обычно прибегают к использованию индивидуальных паролей, вводимых вручную, поскольку первоначальная стоимость внедрения намного ниже. К сожалению, существуют также серьезные скрытые административные расходы, а также серьезные последствия для состояния безопасности, поскольку каждая из этих учетных данных представляет собой точку риска, и многие из этих рисков не видны.
«Вот почему крайне важно поощрять сотрудников использовать диспетчер учетных данных для создания уникальных и сложных паролей для этих систем», — говорит Ривейн. «Это помогает им выработать правильные привычки и лучшие практики аутентификации. Есть надежда, что сотрудники также добавят эту защиту к неавторизованным приложениям, которые они используют, что, по крайней мере, лучше, чем альтернатива».
Однако сотрудники регулярно используют и делятся своими учетными данными, как надежными, сгенерированными паролями, так и слабыми или скомпрометированными учетными данными, которые они создают сами. Заставить их осознать риск и быть в курсе попыток фишинга часто бывает непростой задачей.
Добавление ключей доступа в качестве уровня безопасности
Ключи доступа могут повысить уровень безопасности и помочь снизить риски, связанные с учетными данными, в некоторых областях организации, говорит Ривейн. Это форма аутентификации без пароля, разработанная Альянсом FIDO и поддерживаемая крупными технологическими компаниями. Ключи доступа всегда уникальны и надежны и не требуют хранения личной информации на серверах. Пользователю предлагается подтвердить свою личность при входе на веб-сайт или в приложение. Они могут использовать биометрическую идентификацию, такую как отпечаток пальца или распознавание лица, для подтверждения своей личности, или, наоборот, они могут ответить на запрос менеджера по учетным данным. После подтверждения пользователя он автоматически входит в систему, пароль не требуется.
Ключи доступа гораздо надежнее любого пароля, устойчивы к фишингу и не могут быть украдены или угаданы. С точки зрения ответственности, поскольку раскрытие данных клиентов может привести к серьезным юридическим проблемам в организации, требование к сотрудникам использовать ключи доступа там, где это возможно, значительно повышает безопасность. ИТ-лидеры могут явно поощрять команды использовать ключи доступа везде, где они доступны в используемых ими инструментах — например, маркетинговая группа может переключиться на ключи доступа для большинства платформ социальных сетей.
Однако ключи доступа как корпоративное решение еще не совсем готовы к использованию, говорит Ривен. Они доступны не для каждого инструмента или платформы. Кроме того, это все еще зарождающаяся технология с некоторыми проблемами доступности, такими как несколько неуклюжий пользовательский интерфейс в Chrome и Apple, а также проблемы, связанные с правильной аттестацией происхождения ключей доступа, трудным восстановлением учетной записи в случае потери ключа доступа и отсутствием контроля над тем, где находится ключ доступа. хранится.
«Конечно, ИТ-администраторы хотят иметь такой контроль. Они хотят знать, где хранят ключи от королевства», — говорит Ривейн. «Есть множество вариантов использования на предприятии, которые еще не решены в отношении ключей доступа. Это часть работы Альянса FIDO, которая также потребует времени».
Поскольку все больше потребителей используют ключи доступа, которые поддерживаются многими крупными веб-сайтами, приложениями и технологическими компаниями, ключи доступа станут все более важной частью обсуждения корпоративной безопасности. Ривейн предсказывает, что в будущем мы увидим целые беспарольные решения для предприятий, но ситуация все еще развивается.
«Они не идеальны, но они также позволяют оградить сотрудников от случайного раскрытия пароля, и они будут использовать эту технологию, потому что она более удобна и безопасна», — говорит он. «Вот почему для промышленности важно продолжать работать над этим и продолжать продвигать это. Это будет очень долгий путь усыновления, но это лучше, чем то, что у нас было раньше».
Что это значит для предприятия с точки зрения безопасности? Незащищенные учетные данные, такие как пароли, продолжают представлять постоянную и развивающуюся угрозу для организаций, даже при наличии других средств защиты. Предприятиям нужен совершенно новый подход к безопасности и учетным данным.
Изменение игры безопасности учетных данных
Поскольку число и сложность атак продолжают расти, а также количество невидимых, неавторизованных приложений, используемых сотрудниками, даже самая лучшая стратегия многоуровневой безопасности не является надежной.
«Нам необходимо найти новый подход, который гарантирует, что даже те сотрудники, которые не особо задумываются о безопасности, по-прежнему защищены, и нам необходимо перейти к активной защите, а не к пассивной защите», — объясняет Ривейн. «Это означает, что нужно выйти за рамки традиционного управления паролями и обеспечить безопасность учетных данных для каждого сотрудника в контексте и в режиме реального времени».
С этой целью Dashlane интегрировала возможности обнаружения, анализа и реагирования в инструменты, которые обеспечивают максимальную видимость рисков, связанных с учетными данными.
Инструмент Credential Risk от Dashlane постоянно отслеживает данные учетных данных в масштабах всей компании, чтобы обнаруживать риски в режиме реального времени. Когда сотрудник вводит слабые, повторно используемые или скомпрометированные учетные данные или собирается ввести свою информацию на подозрительный веб-сайт, инструмент автоматически отправляет предупреждение в ИТ-отдел. Dashlane Nudges автоматизирует реагирование на риски, связанные с учетными данными, отправляя персонализированные автоматические сообщения сотрудникам, предупреждая их о риске и требуя обновить свои учетные данные.
Благодаря постоянному сканированию методов входа в приложения ИТ-специалисты получают гораздо большую прозрачность рисков, связанных с учетными данными, во всех инструментах и системах, которые используют сотрудники, авторизованные и нет. Между тем, сотрудникам рекомендуется развивать хорошие привычки безопасности в течение дня.
«У этого нового подхода есть большой потенциал», — добавляет он. «Мы пытаемся решить проблему учетных данных и безопасности во всей организации под совершенно новым углом, добавляя еще один важный уровень защиты к надежной стратегии безопасности».
Копните глубже: нажмите здесь, чтобы узнать больше об обнаружении рисков учетных данных, Dashlane Nudges и других мощных инструментах безопасности для предприятий.
Чтобы обсудить покупку, посетите Dashlane здесь.
Спонсорские статьи — это контент, созданный компанией, которая либо платит за публикацию, либо имеет деловые отношения с VentureBeat, и они всегда четко обозначены. Для получения дополнительной информации свяжитесь