Microsoft og store cloud-udbydere er begyndt at tage skridt til at flytte deres virksomhedskunder mod mere sikre former for autentificering og eliminering af grundlæggende sikkerhedssvagheder – såsom at bruge brugernavne og adgangskoder over ukrypterede kanaler for at få adgang til cloud-tjenester.
Microsoft vil for eksempel fjerne muligheden for at bruge grundlæggende godkendelse til sin Exchange Online-tjeneste fra og med 1. oktober, hvilket kræver, at dets kunder bruger token-baseret godkendelse i stedet for. Google har i mellemtiden automatisk tilmeldt 150 millioner mennesker i sin to-trins verifikationsproces, og online cloud-udbyderen Rackspace planlægger at slå klartekst-e-mail-protokoller fra ved årets udgang.
Fristerne er en advarsel til virksomheder om, at indsatsen for at sikre deres adgang til cloud-tjenester ikke længere kan udskydes, siger Pieter Arntz, malware-intelligensforsker hos Malwarebytes, som skrevet et nyligt blogindlæg fremhæver den kommende deadline for Microsoft Exchange Online-brugere.
"Jeg tror, at balancen skifter til det punkt, hvor de føler, at de kan overbevise brugerne om, at den ekstra sikkerhed er i deres bedste interesse, mens de forsøger at tilbyde løsninger, der stadig er relativt nemme at bruge," siger han. "Microsoft er ofte en trendsætter og annoncerede disse planer for år siden, men du vil stadig opleve, at organisationer kæmper og kæmper for at tage de passende foranstaltninger."
Identitetsrelaterede brud er stigende
Mens nogle sikkerhedsbevidste virksomheder har taget initiativ til at sikre adgang til cloud-tjenester, skal andre tilskyndes - noget som cloud-udbydere, såsom Microsoft, er i stigende grad villige til at gøre, især da virksomheder kæmper med flere identitetsrelaterede brud. I 2022 led 84 % af virksomhederne et identitetsrelateret brud, op fra 79 % i de foregående to år, ifølge Identity Defined Security Alliance's "2022 Trends in Securing Digital Identities" rapport.
Deaktivering af grundlæggende former for godkendelse er en enkel måde at blokere angribere på, som i stigende grad bruger legitimationsoplysninger og andre masseadgangsforsøg som et første skridt til at kompromittere ofre. Virksomheder med svag autentificering lader sig åbne for brute-force-angreb, misbrug af genbrugte adgangskoder, legitimationsoplysninger stjålet gennem phishing og kaprede sessioner.
Og når først angribere har fået adgang til virksomhedens e-mail-tjenester, kan de udslette følsom information eller udføre skadelige angreb, såsom business email compromise (BEC) og ransomware-angreb, siger Igal Gofman, forskningschef for Ermetic, en udbyder af identitetssikkerhed til skyen. tjenester.
"Brugen af svage autentificeringsprotokoller, især i skyen, kan være meget farlig og føre til store datalæk," siger han. "Nationsstater og cyberkriminelle misbruger konstant svage autentificeringsprotokoller ved at udføre en række forskellige brute-force-angreb mod skytjenester."
Fordelene ved at styrke sikkerheden ved autentificering kan have umiddelbare fordele. Google fandt ud af, at automatisk tilmelding af folk i sin totrinsbekræftelsesproces resulterede i et fald på 50 % i kontokompromiser. En betydelig del af virksomheder, der led et brud (43%) mener, at det at have multifaktorautentificering kunne have stoppet angriberne, ifølge IDSA's "2022 Trends in Securing Digital Identities"-rapport.
Kant mod nul-tillid arkitekturer
Derudover sky og nultillidsinitiativer har drevet jagten på mere sikre identiteter, hvor mere end halvdelen af virksomhederne investerer i identitetssikkerhed som en del af disse initiativer, ifølge IDSA's Technical Working Group i en e-mail til Dark Reading.
For mange virksomheder er bevægelsen væk fra simple autentificeringsmekanismer, der udelukkende er afhængige af en brugers legitimationsoplysninger, blevet ansporet af ransomware og andre trusler, som har fået virksomheder til at søge at minimere deres angrebsoverflade og hærde forsvaret, hvor de kan, IDSA's Technical Working Gruppen skrev.
"Da størstedelen af virksomheder accelererer deres nul-tillid-initiativer, implementerer de også stærkere autentificering, hvor det er muligt - selvom det er overraskende, at der stadig er nogle virksomheder, der kæmper med det grundlæggende, eller [som] endnu ikke har omfavnet nul-tillid, efterlader dem udsat,” skrev forskere der.
Forhindringer for sikre identiteter er tilbage
Alle større cloud-udbydere tilbyder multifaktorgodkendelse over sikre kanaler og ved hjælp af sikre tokens, såsom OAuth 2.0. Selvom det kan være simpelt at slå funktionen til, kan håndtering af sikker adgang føre til et øget arbejde for it-afdelingen - noget som virksomheder skal være klar til, siger Malwarebytes' Arntz.
Virksomheder "fejler nogle gange, når det kommer til at administrere, hvem der har adgang til tjenesten, og hvilke tilladelser de kræver," siger han. "Det er den ekstra mængde arbejde for it-medarbejdere, der kommer med et højere autentificeringsniveau - det er flaskehalsen."
Forskere ved IDSA's tekniske arbejdsgruppe forklarede, at ældre infrastruktur også er en hindring.
"Mens Microsoft har været i gang med at flytte deres autentificeringsprotokoller fremad i nogen tid, har udfordringen med migrering og bagudkompatibilitet for ældre apps, protokoller og enheder forsinket deres vedtagelse," bemærkede de. "Det er gode nyheder, at enden er i sigte for grundlæggende godkendelse."
Forbrugerfokuserede tjenester er også langsomme til at vedtage mere sikre tilgange til autentificering. Mens Googles tiltag har forbedret sikkerheden for mange forbrugere, og Apple har aktiveret to-faktor-autentificering for mere end 95 % af sine brugere, fortsætter for det meste forbrugere med kun at bruge multifaktor-godkendelse til nogle få tjenester.
Mens næsten to tredjedele af virksomhederne (64%) har identificeret initiativer til at sikre digitale identiteter som en af deres tre topprioriteter i 2022, har kun 12% af organisationerne implementeret multifaktorautentificering for deres brugere, ifølge IDSA's rapport. Virksomheder søger dog at tilbyde muligheden, hvor 29 % af forbrugerfokuserede cloud-udbydere i øjeblikket implementerer bedre autentificering og 21 % planlægger det for fremtiden.
