بدأت Microsoft ومقدمو الخدمات السحابية الرئيسيون في اتخاذ خطوات لنقل عملائهم التجاريين نحو أشكال أكثر أمانًا للمصادقة والقضاء على نقاط الضعف الأمنية الأساسية - مثل استخدام أسماء المستخدمين وكلمات المرور عبر قنوات غير مشفرة للوصول إلى الخدمات السحابية.
ستقوم Microsoft، على سبيل المثال، بإزالة القدرة على استخدام المصادقة الأساسية لخدمة Exchange Online الخاصة بها بدءًا من الأول من أكتوبر، مما يتطلب من عملائها استخدام المصادقة المستندة إلى الرمز المميز بدلاً من ذلك. وفي الوقت نفسه، قامت جوجل بتسجيل 1 مليون شخص تلقائيًا في عملية التحقق المكونة من خطوتين، ويخطط مزود السحابة عبر الإنترنت Rackspace لإيقاف تشغيل بروتوكولات البريد الإلكتروني ذات النص الواضح بحلول نهاية العام.
تعتبر المواعيد النهائية بمثابة تحذير للشركات بأن الجهود المبذولة لتأمين وصولها إلى الخدمات السحابية لم يعد من الممكن تأجيلها، كما يقول بيتر أرنتس، الباحث في استخبارات البرامج الضارة في Malwarebytes، الذي صاغ مشاركة بلوق الأخيرة تسليط الضوء على الموعد النهائي القادم لمستخدمي Microsoft Exchange Online.
ويقول: "أعتقد أن التوازن يتحول إلى النقطة التي يشعرون فيها أن بإمكانهم إقناع المستخدمين بأن الأمان الإضافي هو في مصلحتهم، بينما يحاولون تقديم حلول لا تزال سهلة الاستخدام نسبيًا". "غالبًا ما تكون Microsoft رائدة في مجال الموضة وقد أعلنت عن هذه الخطط منذ سنوات، ولكنك ستظل تجد مؤسسات متعثرة وتكافح من أجل اتخاذ الإجراءات المناسبة."
الانتهاكات المتعلقة بالهوية آخذة في الارتفاع
في حين اتخذت بعض الشركات المهتمة بالأمن زمام المبادرة لتأمين الوصول إلى الخدمات السحابية، لا بد من حث شركات أخرى - وهو الأمر الذي يقوله مقدمو الخدمات السحابية، مثل Microsoft، على استعداد متزايد للقيام بذلك، خاصة وأن الشركات تعاني من المزيد من الانتهاكات المتعلقة بالهوية. وفي عام 2022، عانت 84% من الشركات من اختراقات تتعلق بالهوية، ارتفاعًا من 79% في العامين السابقين، وفقًا لتقرير. تحالف أمني محدد الهويةتقرير "اتجاهات عام 2022 في تأمين الهويات الرقمية".
يعد إيقاف تشغيل الأشكال الأساسية للمصادقة طريقة بسيطة لحظر المهاجمين، الذين يستخدمون بشكل متزايد حشو بيانات الاعتماد ومحاولات الوصول الجماعي الأخرى كخطوة أولى لاختراق الضحايا. الشركات ذات المصادقة الضعيفة تترك نفسها عرضة لهجمات القوة الغاشمة، وإساءة استخدام كلمات المرور المعاد استخدامها، وبيانات الاعتماد المسروقة من خلال التصيد الاحتيالي، والجلسات المختطفة.
وبمجرد أن يتمكن المهاجمون من الوصول إلى خدمات البريد الإلكتروني الخاصة بالشركة، يمكنهم سرقة المعلومات الحساسة أو تنفيذ هجمات ضارة، مثل اختراق البريد الإلكتروني التجاري (BEC) وهجمات برامج الفدية، كما يقول إيجال جوفمان، رئيس قسم الأبحاث في شركة Ermetic، وهي شركة توفر أمن الهوية للخدمات السحابية. خدمات.
ويقول: "إن استخدام بروتوكولات المصادقة الضعيفة، خاصة في السحابة، يمكن أن يكون خطيرًا للغاية ويؤدي إلى تسرب كبير للبيانات". "تقوم الدول القومية ومجرمو الإنترنت باستمرار بإساءة استخدام بروتوكولات المصادقة الضعيفة من خلال تنفيذ مجموعة متنوعة من هجمات القوة الغاشمة المختلفة ضد الخدمات السحابية."
يمكن أن يكون لفوائد تعزيز أمان المصادقة فوائد فورية. وجدت Google أن تسجيل الأشخاص تلقائيًا في عملية التحقق المكونة من خطوتين أدى إلى انخفاض بنسبة 50٪ في تسويات الحساب. يعتقد جزء كبير من الشركات التي عانت من الاختراق (43%) أن وجود مصادقة متعددة العوامل كان من الممكن أن يوقف المهاجمين، وفقًا لتقرير "اتجاهات 2022 في تأمين الهويات الرقمية" الصادر عن IDSA.
التوجه نحو بنيات الثقة المعدومة
وبالإضافة إلى ذلك، سحابة و مبادرات الثقة المعدومة لقد دفعت السعي وراء هويات أكثر أمانًا، حيث استثمرت أكثر من نصف الشركات في أمن الهوية كجزء من تلك المبادرات، وفقًا لمجموعة العمل الفنية التابعة لـ IDSA، في رسالة بريد إلكتروني إلى Dark Reading.
بالنسبة للعديد من الشركات، فإن الابتعاد عن آليات المصادقة البسيطة التي تعتمد على بيانات اعتماد المستخدم فقط قد تم تحفيزه بواسطة برامج الفدية والتهديدات الأخرى، مما دفع الشركات إلى التطلع إلى تقليل مساحة سطح الهجوم إلى الحد الأدنى وتقوية الدفاعات حيثما أمكن ذلك، العمل الفني لـ IDSA كتبت المجموعة.
"مع قيام غالبية الشركات بتسريع مبادرات الثقة المعدومة الخاصة بها، فإنها تنفذ أيضًا مصادقة أقوى حيثما أمكن ذلك - على الرغم من أنه من المفاجئ أنه لا تزال هناك بعض الشركات التي تكافح مع الأساسيات، أو [التي] لم تتبنى بعد الثقة المعدومة، وكتب الباحثون هناك: "تركهم مكشوفين".
ولا تزال هناك عقبات أمام تأمين الهويات
يقدم كل مزود خدمة سحابية رئيسي مصادقة متعددة العوامل عبر القنوات الآمنة واستخدام الرموز المميزة الآمنة، مثل OAuth 2.0. على الرغم من أن تشغيل الميزة قد يكون بسيطًا، إلا أن إدارة الوصول الآمن يمكن أن تؤدي إلى زيادة في العمل لقسم تكنولوجيا المعلومات - وهو أمر يجب أن تكون الشركات جاهزة له، كما يقول أرنتز من Malwarebytes.
ويقول: "تفشل الشركات أحيانًا عندما يتعلق الأمر بإدارة من يمكنه الوصول إلى الخدمة والأذونات التي يحتاجونها". "إن مقدار العمل الإضافي الذي يقوم به موظفو تكنولوجيا المعلومات يأتي مع مستوى مصادقة أعلى - وهذا هو عنق الزجاجة."
وأوضح الباحثون في مجموعة العمل الفنية التابعة لـ IDSA أن البنية التحتية القديمة تمثل أيضًا عقبة.
وأشاروا إلى أنه "بينما كانت مايكروسوفت بصدد دفع بروتوكولات المصادقة الخاصة بها إلى الأمام لبعض الوقت، فإن التحدي المتمثل في الترحيل والتوافق مع الإصدارات السابقة للتطبيقات والبروتوكولات والأجهزة القديمة أدى إلى تأخير اعتمادها". "إنها أخبار جيدة أن نهاية المصادقة الأساسية تلوح في الأفق."
كما أن الخدمات التي تركز على المستهلك بطيئة أيضًا في اعتماد أساليب أكثر أمانًا للمصادقة. في حين أن خطوة جوجل أدت إلى تحسين الأمان للعديد من المستهلكين، وقد قامت شركة أبل بتمكين المصادقة الثنائية لأكثر من 95٪ من مستخدميها، إلا أن معظم المستهلكين يستمرون في استخدام المصادقة متعددة العوامل فقط لعدد قليل من الخدمات.
في حين أن ما يقرب من ثلثي الشركات (64%) قد حددت مبادرات لتأمين الهويات الرقمية كواحدة من أهم ثلاث أولويات لها في عام 2022، فإن 12% فقط من المؤسسات نفذت مصادقة متعددة العوامل لمستخدميها، وفقًا لتقرير IDSA. ومع ذلك، تتطلع الشركات إلى توفير هذا الخيار، حيث يقوم 29% من موفري الخدمات السحابية التي تركز على المستهلك حاليًا بتنفيذ مصادقة أفضل و21% يخططون لها في المستقبل.
