Multifactor kimlik doğrulaması, bulut varlıklarını koruyan işletmeler için anahtar olacaktır

Bir kimlik yönetimi (IDM) sistemine kim olduğunuzu kanıtlarken, son zamanlarda gittikçe daha fazla sayıda kullanıcının, oturum açtığınızda telefonunuza kod gönderen istemler gibi, kullanıcı kimliğiniz ve şifreniz dışında ek bir adım gerektirdiğini fark etmiş olabilirsiniz. Gmail, Twitter veya banka hesabınıza, genellikle kullandığınız cihaz dışındaki bir cihazdan gelir. İlk evcil hayvanınızın adını veya annenizin nerede doğduğunu unutmadığınızdan emin olun, çünkü kimliğinizi kanıtlamak için muhtemelen bu bilgileri girmeniz gerekir. Bir parola ile birlikte gerekli olan bu veri parçaları, bir çok faktörlü kimlik doğrulama (MFA) biçimidir.

MFA yeni değil. Fiziksel teknoloji olarak başladı; akıllı kartlar ve USB dongle'lar, doğru şifre girildikten sonra bilgisayarlara veya yazılım hizmetlerine giriş yapmak için gerekli olan cihazlara iki örnektir. Ancak, MFA, mobil anında iletme bildirimleri gibi diğer tanımlayıcıları içerecek şekilde bu giriş işlemini hızla geliştirmektedir.

Centrify Identity Service'in kurucusu Centrify Corp. Başkanı Tim Steinkopf, "Şirketlerin donanım belirteçleri dağıtmak zorunda kaldıkları eski günler geride kaldı ve kullanıcılar her 60 saniyede dönen altı basamaklı kodlarda hayal kırıklığı yaşadılar" dedi. "Bu pahalı ve kötü bir kullanıcı deneyimi oldu. Şimdi MFA, telefonunuza anında iletme bildirimi almak kadar basit." Ancak, Kısa Mesaj Servisi (SMS) aracılığıyla aldığımız kodlar bile Steinkopf'a göre şimdi kaşlarını çattı.

"SMS artık MFA kodları için yakalanabilecekleri güvenli bir taşıma yöntemi değil" dedi. "Çok hassas kaynaklar için, şirketler artık yeni Hızlı Kimlik Çevrimiçi (FIDO) İttifakı standartlarını izleyen daha güvenli kripto belirteçleri düşünmek zorundalar." Şifreleme belirteçlerine ek olarak, FIDO2 standartları, World Wide Web Consortium (W3C) 'nin Web Kimlik Doğrulaması spesifikasyonunu ve İstemciden Kimlik Doğrulama Protokolüne (CTAP) sahiptir. FIDO2 standartları ayrıca yüz tanıma, parmak izi kaydırma ve iris taraması gibi gömülü biyometreleri kullanan kullanıcı hareketlerini de destekler.

Okta Kimlik Yönetimi'nin yapımcıları Okta'daki Güvenlik Ürünü Pazarlama Yönetimi Direktörü Joe Diamond, MFA'yı kullanmak için akıllı telefonlar gibi aygıtlar için bir şifre ve soru karışımı eklemeniz veya parmak izi ve yüz tanıma kullanmanız gerekir.

Diamond, "Artık daha fazla kuruluş, SMS tabanlı, bir kerelik şifrelerle ilişkili güvenlik risklerini MFA faktörü olarak görüyor. Kötü bir oyuncunun 'SIM takası yapması ve cep telefonu numarasını alması çok önemsiz." Dedi. "Bu tür bir hedefli saldırı riski taşıyan herhangi bir kullanıcı, cihazla hizmet arasında kriptografik bir el sıkışma oluşturan bir biyometrik faktör veya sert belirteç gibi daha güçlü ikinci faktörler uygulamalıdır."

Bazen MFA mükemmel değildir. 27 Kasım’da, Microsoft Azure, kullanıcılar Active Directory gibi hizmetlerde oturum açmayı denediğinde bir çok başarısızlığa neden olan Etki Alanı Adı Sistemi (DNS) hatası nedeniyle MFA ile ilgili bir kesinti yaşadı.

Kredi: FIDO İttifakı

Mobil Push Bildirimleri

Uzmanlar, mobil anında iletme bildirimlerini en iyi güvenlik seçeneği olarak görüyorlar, çünkü etkili bir güvenlik ve kullanılabilirlik kombinasyonuna sahipler. Bir uygulama, bir kullanıcının telefonuna, hizmetin kullanıcıyı girmesi veya veri göndermeye çalıştığı kişiye bildiren bir mesaj gönderir.

“Bir ağa giriş yapıyorsunuz ve sadece şifrenizi girmek yerine, cihazınıza evet ya da hayır yazan bir yere itiyorsunuz, bu cihazın kimliğini doğrulamaya çalışıyorsunuz ve evet diyorsanız, erişiminize izin veriyor Ağ, "Cisco'nun mobil kimlik doğrulama uygulaması Duo Push'u sunan Duo güvenlik işletmesi için Global Danışma Şefi Bilgi Güvenliği Sorumlusu (CISO) Dave Lewis. MFA'yı sunan diğer ürünler arasında Yubico YubiKey 5 NFC ve Ping Identity PingOne bulunur.

Mobil anında iletme bildirimleri, SMS yoluyla gönderilen bir kerelik şifrelerden yoksundur, çünkü bu şifreler oldukça kolay şekilde kesilebilir. Şifreleme, MFA çözüm sağlayıcısı Silverfort'un kurucusu ve CEO'su Hed Kovetz'e göre bildirimleri etkili kılıyor.

“Sadece bir tık ve güvenlik çok güçlü çünkü tamamen farklı bir cihaz” dedi. "Uygulamayı ihlal ettiğinde değiştirebilir ve modern protokollerle tamamen şifrelenmiş ve doğrulanmış olarak değiştirebilirsiniz. Örneğin, standart olarak temelde zayıf olduğu ve Sinyalleşme Sistemi 7 (SS7) saldırılarıyla kolayca ihlal edilebildiği için kolayca tehlikeye girebilen bir SMS gibi değildir. ve SMS’e yapılan diğer her türlü saldırı. "

MFA, Sıfır Güven İçermektedir

MFA, Zero Trust modelinin, yasal olduklarını doğrulayana kadar hiçbir ağ kullanıcısına güvenmediğiniz önemli bir parçasıdır. Steinkopf, "MFA'yı uygulamak, kullanıcının aslında söyledikleri kişi olduğunu doğrulamak için gerekli bir adımdır." Dedi.

Okta Diamond, "MFA, erişim izni vermeden önce kullanıcı güvenini oluşturmamız gerektiğinden, herhangi bir kuruluşun Sıfır Güven olgunluk modelinde kritik bir rol oynuyor" dedi. “Bunun aynı zamanda tüm kaynaklarda merkezi bir kimlik stratejisiyle birleştirilmesi gerekiyor, böylece MFA politikaları, doğru kullanıcıların mümkün olan en az sürtünmeyle doğru kaynaklara doğru erişimini sağlamak için erişim politikalarıyla eşleştirilebilir.”

Kredi: FIDO İttifakı

Şifreler Değiştiriliyor mu?

Çoğu kişi şifreleri terk etmeye hazır olmayabilir, ancak kullanıcılar onlara güvenmeye devam ederse korunmaları gerekir. Aslında, Verizon'un 2017 Veri İhlali Raporu, veri ihlallerinin yüzde 81'inin çalınan parolalardan kaynaklandığını ortaya koydu. Bu tür istatistikler, sistemlerini güvenli bir şekilde korumak isteyen kuruluşlar için şifreleri sorun haline getirir.

Silverfort'tan Kovetz, "Şifreleri çözüp bunları daha akıllı bir kimlik doğrulaması türüne geçirebilirsek, günümüzde veri ihlallerinin çoğunu önleyeceğiz" dedi.

Silverfort Kovetz, şifrelerin her yerde kaybolma ihtimalinin bulunmadığını, ancak belirli uygulamalar için ortadan kaldırılabileceğini belirtti. Bilgisayar donanımı ve Nesnelerin İnterneti (IoT) aygıtları için şifrelerin tamamen kaldırılmasının daha karmaşık olacağını söyledi. Parola olmadan tam kimlik doğrulamanın bu kadar kısa sürede gerçekleşemeyeceğini söylemesinin bir başka nedeni de insanların psikolojik olarak onlara bağlı olmalarıdır.

Parolalardan geçiş, Cisco'nun Lewis'e göre kuruluşlarda kültürel bir değişimi de içerir. Lewis, "Statik şifrelerden MFA'ya geçiş, temelde kültürel bir değişimdir" dedi. “İnsanları yıllarca yaptıklarından farklı şeyler yapmaya zorluyorsun.”

MFA İşleme ve Yapay Zeka

Yapay zeka (AI), IDM yöneticilerine ve MFA sistemlerinin yeni giriş verileriyle baş edebilmelerine yardımcı olmak için kullanılıyor. Silverfort gibi tedarikçilerin MFA çözümleri, MFA'nın ne zaman gerekli olduğu ve ne zaman olmadığı konusunda fikir edinmek için AI uygular.

Silverfort'tan Kovetz, "Birleştirirken AI bölümü, belirli bir kimlik doğrulamasının MFA gerektirip gerektirmemesi konusunda ilk kararı vermenize olanak tanıyor" dedi. Uygulamanın makine öğrenmesi (ML) bileşeninin, bir çalışanın hesabına Çin'deki bir kişi tarafından aniden erişildiği ve çalışanın ABD'de düzenli olarak çalıştığı gibi anormal bir faaliyet şekli tespit etmesi durumunda yüksek bir risk puanı sağlayabileceğini söyledi.

Centrify'den Steinkopf, "Bir kullanıcı, şirket tarafından verilen kendi bilgisayarını kullanarak ofisten bir uygulamaya oturum açıyorsa, MFA'nın" normal "olması gerekmeyeceğini belirtti." "Ancak aynı kullanıcı yurt dışına seyahat ediyorsa veya başka birinin cihazını kullanıyorsa, risk yüksek olduğu için MFA'ya yönlendirmeleri istenir." Steinkopf, ek doğrulama teknikleri kullanırken MFA'nın genellikle ilk adım olduğunu ekledi.

CIO'lar ayrıca yeni MFA dağıtımlarında artan bir trend haline gelen davranışsal biyometriye de dikkat ediyorlar. Davranış biyometrisi, kullanıcıların nasıl yazdıklarını veya kaydıklarını takip etmek için yazılımı kullanır. Bu kolay gibi görünse de, hızlı bir şekilde değişen verilerin büyük parçalarını işlemeyi gerektirir, bu nedenle tedarikçiler yardımcı olmak için ML kullanıyor.

Okta Diamond, "Kimlik doğrulama için ML'deki değer, birden fazla karmaşık sinyali değerlendirmek, kullanıcının bu sinyallere dayanarak temel bir 'kimliğini' öğrenmek ve bu taban çizgisine ilişkin anormallikler konusunda uyarmak olacaktır." Dedi. "Davranışsal biyometri bunun devreye girebileceği bir örnektir. Bir kullanıcının nasıl yazdığı, yürüdüğü veya başka bir cihazla nasıl etkileşimde bulunduğunun nüanslarını anlamak, bu kullanıcı profilini oluşturmak için gelişmiş bir istihbarat sistemi gerektirir."

Kaybolan Perimetreler

Bulut altyapısının, bulut hizmetlerinin ve özellikle de yüksek tesis içi IoT cihazlarının yüksek veri hacimlerinin gelişmesiyle birlikte, artık bir kuruluşun veri merkezi konumundaki fiziksel bir çevreden daha fazlası var. Ayrıca şirketin buluttaki varlıklarını koruması gereken sanal bir çevre var. Her iki senaryoda da, Kovetz'e göre kimlik önemli bir rol oynar.

Kovetz, "Perimetreler ofis gibi fiziksel olarak tanımlanmış, ancak bugün perimetreler kimlik ile tanımlanmıştır" dedi. Perimetreler kayboldukça, güvenlik duvarlarının kablolu masaüstü bilgisayarlarda kullanılmasını sağlayan korumaları da yapın. Kovetz, MFA'nın güvenlik duvarlarının geleneksel olarak yaptıklarını değiştirmesinin bir yolu olabilir.

• İki Faktörlü Kimlik Doğrulama: Kimde ve Nasıl Kurulması İki Faktörlü Kimlik Doğrulama: Kimde ve Nasıl Kurulması
• Çevrenin Ötesinde: Katmanlı Güvenliğe Nasıl Gidilir? Çevrenin Ötesinde: Katmanlı Güvenliğe Nasıl Gidilir?
• Zero Trust Model Güvenlik Uzmanlarıyla Buhar Kazandı Zero Trust Model Güvenlik Uzmanlarıyla Buhar Kazandı

", ağ güvenliği ürünlerini nereye koyuyorsunuz?" Kovetz sordu. "ağ güvenliği artık gerçekten çalışmıyor. MFA, çevre-az ağınızı korumanın yeni yolu haline geldi."

MFA'nın çevre dışına doğru ilerlemesinin anahtar yollarından biri, geçen yıl IDM hizmetlerinin çoğu PCMag Labs'ın gözden geçirdiği IDM hizmetlerinin de dahil olduğu bir Hizmet Olarak Yazılım (SaaS) esasına göre satılan genişleyen bir kimlik sistemleri kalabalıklığıdır. Veri güvenliği sağlayıcısı Evident'in kurucu ortağı ve ürün müdürü Nathan Rowe, “KOBİ'lerin kolayca kalkıp çalışmaya devam etmelerini sağlayan çok sayıda SaaS ürünü zaten çevre dışında faaliyet gösteriyor” dedi. SaaS modeli hem maliyeti hem de dağıtım karmaşıklığını önemli ölçüde azaltır, bu nedenle küçük ve orta ölçekli işletmeler için BT yardımı ve ek yükünü azalttığı için Rowe'ye göre büyük bir yardımdır.

SaaS çözümleri kesinlikle onları MFA'nın geleceği yapan IDM'in geleceğidir. Bu, MFA'ya ve diğer gelişmiş güvenlik önlemlerine kolayca erişmenin kısa sürede zorunlu hale geleceği, küçük işletmeler bile kaçınılmaz bir şekilde çoklu bulut ve bulut hizmeti BT mimarisine geçiyor.