مایکروسافت و ارائه دهندگان ابری به سمت ممنوعیت احراز هویت اولیه حرکت می کنند

تمبر زمانی: 9 سپتامبر 2022، 10:29 صبح
گره منبع: 1690559

مایکروسافت و ارائه‌دهندگان بزرگ ابری شروع به برداشتن گام‌هایی برای سوق دادن مشتریان تجاری خود به سمت اشکال امن‌تر احراز هویت و حذف ضعف‌های امنیتی اساسی کرده‌اند - مانند استفاده از نام‌های کاربری و گذرواژه‌ها در کانال‌های رمزگذاری نشده برای دسترسی به خدمات ابری.

برای مثال، مایکروسافت توانایی استفاده از احراز هویت اولیه را برای سرویس Exchange Online خود از اول اکتبر حذف خواهد کرد و از مشتریانش می خواهد که به جای آن از احراز هویت مبتنی بر توکن استفاده کنند. در همین حال، Google 1 میلیون نفر را به‌طور خودکار در فرآیند تأیید دو مرحله‌ای خود ثبت‌نام کرده است، و ارائه‌دهنده ابر آنلاین Rackspace قصد دارد تا پایان سال پروتکل‌های ایمیل متن شفاف را خاموش کند.

پیتر آرنتز، محقق اطلاعات بدافزار در Malwarebytes، می‌گوید: ضرب‌الاجل‌ها هشداری به شرکت‌ها است که تلاش‌ها برای ایمن کردن دسترسی آنها به خدمات ابری را دیگر نمی‌توان به تعویق انداخت. یک پست وبلاگ اخیر نوشته است برجسته کردن ضرب الاجل آینده برای کاربران Microsoft Exchange Online.

او می‌گوید: «من فکر می‌کنم تعادل به نقطه‌ای تغییر می‌کند که آنها احساس می‌کنند می‌توانند کاربران را متقاعد کنند که امنیت بیشتر به نفع آن‌ها است، در حالی که سعی می‌کنند راه‌حل‌هایی را ارائه دهند که استفاده نسبتاً آسان است». مایکروسافت اغلب یک روند ساز است و این برنامه‌ها را سال‌ها پیش اعلام کرده است، اما همچنان سازمان‌هایی را خواهید دید که در تلاش هستند تا اقدامات مناسب را انجام دهند.»

نقض های مربوط به هویت در حال افزایش است

در حالی که برخی از شرکت های آگاه به امنیت ابتکار عمل را برای دسترسی ایمن به خدمات ابری به عهده گرفته اند، برخی دیگر باید مورد تشویق قرار گیرند - چیزی که ارائه دهندگان ابر، مانند مایکروسافت، به طور فزاینده ای مایل به انجام این کار هستند، به خصوص که شرکت ها با موارد نقض هویت بیشتری دست و پنجه نرم می کنند. در سال 2022، 84 درصد از شرکت ها دچار نقض هویت شده اند که این رقم در دو سال گذشته 79 درصد بوده است. اتحاد امنیتی تعریف شده با هویتگزارش "روندهای 2022 در تامین هویت دیجیتال".

خاموش کردن اشکال اولیه احراز هویت یک راه ساده برای مسدود کردن مهاجمان است که به طور فزاینده ای از پر کردن اعتبار و سایر تلاش های دسترسی انبوه به عنوان اولین گام برای به خطر انداختن قربانیان استفاده می کنند. شرکت‌هایی که احراز هویت ضعیفی دارند، خود را در معرض حملات brute-force، سوء استفاده از رمزهای عبور استفاده مجدد، اعتبار به سرقت رفته از طریق فیشینگ و جلسات ربوده شده قرار می‌دهند.

ایگال گافمن، سرپرست تحقیقات Ermetic، ارائه‌دهنده امنیت هویت برای ابر، می‌گوید هنگامی که مهاجمان به سرویس‌های ایمیل شرکتی دسترسی پیدا کردند، می‌توانند اطلاعات حساس را استخراج کنند یا حملات مخربی مانند حملات ایمیل تجاری (BEC) و حملات باج‌افزار انجام دهند. خدمات.

او می‌گوید: «استفاده از پروتکل‌های احراز هویت ضعیف، به‌ویژه در فضای ابری، می‌تواند بسیار خطرناک باشد و منجر به نشت داده‌های بزرگ شود». «کشورهای ملی و مجرمان سایبری با اجرای انواع حملات بی رحمانه مختلف علیه سرویس‌های ابری، دائماً از پروتکل‌های احراز هویت ضعیف سوء استفاده می‌کنند.»

مزایای تقویت امنیت احراز هویت می تواند مزایای فوری داشته باشد. گوگل دریافت که ثبت نام خودکار افراد در فرآیند تایید دو مرحله ای خود منجر به کاهش 50 درصدی در خطرات حساب شد. بر اساس گزارش IDSA "43 Trends in Securing Identities"، بخش قابل توجهی از شرکت‌هایی که دچار نقض شده‌اند (2022%) معتقدند که داشتن احراز هویت چندعاملی می‌توانست مهاجمان را متوقف کند.

حرکت به سمت معماری های بدون اعتماد

علاوه بر این، ابر و ابتکارات بدون اعتماد به گفته کارگروه فنی IDSA، در ایمیلی به Dark Reading، بیش از نیمی از شرکت‌ها در راستای امنیت هویت به عنوان بخشی از این طرح‌ها سرمایه‌گذاری می‌کنند.

برای بسیاری از شرکت‌ها، دور شدن از مکانیسم‌های ساده احراز هویت که صرفاً بر اعتبار یک کاربر متکی هستند، توسط باج‌افزار و سایر تهدیدات تحریک شده است، که باعث شده شرکت‌ها به دنبال به حداقل رساندن سطح حمله و سخت‌تر کردن دفاع‌ها در جایی که می‌توانند باشند، بوده است. گروه نوشت.

از آنجایی که اکثر شرکت‌ها ابتکارات اعتماد صفر خود را تسریع می‌کنند، آنها همچنین در صورت امکان، احراز هویت قوی‌تری را اجرا می‌کنند - اگرچه، جای تعجب است که هنوز برخی از شرکت‌ها با اصول اولیه دست و پنجه نرم می‌کنند، یا [که] هنوز اعتماد صفر را پذیرفته‌اند. محققان در آنجا نوشتند.

موانع بر سر راه هویت‌های امن همچنان باقی است

هر ارائه دهنده بزرگ ابری، احراز هویت چندعاملی را از طریق کانال های امن و با استفاده از توکن های امن، مانند OAuth 2.0 ارائه می دهد. Arntz از Malwarebytes می‌گوید اگرچه روشن کردن این ویژگی ممکن است ساده باشد، مدیریت دسترسی ایمن می‌تواند منجر به افزایش کار برای بخش فناوری اطلاعات شود – چیزی که کسب‌وکارها باید برای آن آماده باشند.

او می‌گوید: «گاهی اوقات شرکت‌ها در مدیریت افرادی که به این سرویس دسترسی دارند و به چه مجوزهایی نیاز دارند، شکست می‌خورند». "این میزان کار اضافی برای کارکنان فناوری اطلاعات است که با سطح احراز هویت بالاتر همراه است - این یک گلوگاه است."

محققان گروه کاری فنی IDSA توضیح دادند که زیرساخت های قدیمی نیز یک مانع است.  

آنها خاطرنشان کردند: «در حالی که مایکروسافت برای مدتی در حال پیشرفت پروتکل‌های احراز هویت خود بوده است، چالش مهاجرت و سازگاری به عقب برای برنامه‌ها، پروتکل‌ها و دستگاه‌های قدیمی، پذیرش آنها را به تاخیر انداخته است». این خبر خوبی است که پایان برای احراز هویت پایه در پیش است.»

خدمات متمرکز بر مصرف کننده نیز در اتخاذ رویکردهای امن تر برای احراز هویت کند هستند. در حالی که حرکت گوگل امنیت را برای بسیاری از مصرف کنندگان بهبود بخشیده است و اپل احراز هویت دو مرحله ای را برای بیش از 95 درصد از کاربران خود فعال کرده است، در بیشتر موارد مصرف کنندگان همچنان از احراز هویت چند عاملی برای چند سرویس استفاده می کنند.

طبق گزارش IDSA، در حالی که تقریباً دو سوم شرکت‌ها (64 درصد) ابتکاراتی را برای ایمن کردن هویت‌های دیجیتال به عنوان یکی از سه اولویت اصلی خود در سال 2022 شناسایی کرده‌اند، تنها 12 درصد از سازمان‌ها احراز هویت چندعاملی را برای کاربران خود پیاده‌سازی کرده‌اند. با این حال، شرکت ها به دنبال ارائه این گزینه هستند، به طوری که 29٪ از ارائه دهندگان ابری متمرکز بر مصرف کننده در حال حاضر احراز هویت بهتری را اجرا می کنند و 21٪ برای آینده برنامه ریزی می کنند.

تمبر زمان:

بیشتر از تاریک خواندن