مایکروسافت و ارائهدهندگان بزرگ ابری شروع به برداشتن گامهایی برای سوق دادن مشتریان تجاری خود به سمت اشکال امنتر احراز هویت و حذف ضعفهای امنیتی اساسی کردهاند - مانند استفاده از نامهای کاربری و گذرواژهها در کانالهای رمزگذاری نشده برای دسترسی به خدمات ابری.
برای مثال، مایکروسافت توانایی استفاده از احراز هویت اولیه را برای سرویس Exchange Online خود از اول اکتبر حذف خواهد کرد و از مشتریانش می خواهد که به جای آن از احراز هویت مبتنی بر توکن استفاده کنند. در همین حال، Google 1 میلیون نفر را بهطور خودکار در فرآیند تأیید دو مرحلهای خود ثبتنام کرده است، و ارائهدهنده ابر آنلاین Rackspace قصد دارد تا پایان سال پروتکلهای ایمیل متن شفاف را خاموش کند.
پیتر آرنتز، محقق اطلاعات بدافزار در Malwarebytes، میگوید: ضربالاجلها هشداری به شرکتها است که تلاشها برای ایمن کردن دسترسی آنها به خدمات ابری را دیگر نمیتوان به تعویق انداخت. یک پست وبلاگ اخیر نوشته است برجسته کردن ضرب الاجل آینده برای کاربران Microsoft Exchange Online.
او میگوید: «من فکر میکنم تعادل به نقطهای تغییر میکند که آنها احساس میکنند میتوانند کاربران را متقاعد کنند که امنیت بیشتر به نفع آنها است، در حالی که سعی میکنند راهحلهایی را ارائه دهند که استفاده نسبتاً آسان است». مایکروسافت اغلب یک روند ساز است و این برنامهها را سالها پیش اعلام کرده است، اما همچنان سازمانهایی را خواهید دید که در تلاش هستند تا اقدامات مناسب را انجام دهند.»
نقض های مربوط به هویت در حال افزایش است
در حالی که برخی از شرکت های آگاه به امنیت ابتکار عمل را برای دسترسی ایمن به خدمات ابری به عهده گرفته اند، برخی دیگر باید مورد تشویق قرار گیرند - چیزی که ارائه دهندگان ابر، مانند مایکروسافت، به طور فزاینده ای مایل به انجام این کار هستند، به خصوص که شرکت ها با موارد نقض هویت بیشتری دست و پنجه نرم می کنند. در سال 2022، 84 درصد از شرکت ها دچار نقض هویت شده اند که این رقم در دو سال گذشته 79 درصد بوده است. اتحاد امنیتی تعریف شده با هویتگزارش "روندهای 2022 در تامین هویت دیجیتال".
خاموش کردن اشکال اولیه احراز هویت یک راه ساده برای مسدود کردن مهاجمان است که به طور فزاینده ای از پر کردن اعتبار و سایر تلاش های دسترسی انبوه به عنوان اولین گام برای به خطر انداختن قربانیان استفاده می کنند. شرکتهایی که احراز هویت ضعیفی دارند، خود را در معرض حملات brute-force، سوء استفاده از رمزهای عبور استفاده مجدد، اعتبار به سرقت رفته از طریق فیشینگ و جلسات ربوده شده قرار میدهند.
ایگال گافمن، سرپرست تحقیقات Ermetic، ارائهدهنده امنیت هویت برای ابر، میگوید هنگامی که مهاجمان به سرویسهای ایمیل شرکتی دسترسی پیدا کردند، میتوانند اطلاعات حساس را استخراج کنند یا حملات مخربی مانند حملات ایمیل تجاری (BEC) و حملات باجافزار انجام دهند. خدمات.
او میگوید: «استفاده از پروتکلهای احراز هویت ضعیف، بهویژه در فضای ابری، میتواند بسیار خطرناک باشد و منجر به نشت دادههای بزرگ شود». «کشورهای ملی و مجرمان سایبری با اجرای انواع حملات بی رحمانه مختلف علیه سرویسهای ابری، دائماً از پروتکلهای احراز هویت ضعیف سوء استفاده میکنند.»
مزایای تقویت امنیت احراز هویت می تواند مزایای فوری داشته باشد. گوگل دریافت که ثبت نام خودکار افراد در فرآیند تایید دو مرحله ای خود منجر به کاهش 50 درصدی در خطرات حساب شد. بر اساس گزارش IDSA "43 Trends in Securing Identities"، بخش قابل توجهی از شرکتهایی که دچار نقض شدهاند (2022%) معتقدند که داشتن احراز هویت چندعاملی میتوانست مهاجمان را متوقف کند.
حرکت به سمت معماری های بدون اعتماد
علاوه بر این، ابر و ابتکارات بدون اعتماد به گفته کارگروه فنی IDSA، در ایمیلی به Dark Reading، بیش از نیمی از شرکتها در راستای امنیت هویت به عنوان بخشی از این طرحها سرمایهگذاری میکنند.
برای بسیاری از شرکتها، دور شدن از مکانیسمهای ساده احراز هویت که صرفاً بر اعتبار یک کاربر متکی هستند، توسط باجافزار و سایر تهدیدات تحریک شده است، که باعث شده شرکتها به دنبال به حداقل رساندن سطح حمله و سختتر کردن دفاعها در جایی که میتوانند باشند، بوده است. گروه نوشت.
از آنجایی که اکثر شرکتها ابتکارات اعتماد صفر خود را تسریع میکنند، آنها همچنین در صورت امکان، احراز هویت قویتری را اجرا میکنند - اگرچه، جای تعجب است که هنوز برخی از شرکتها با اصول اولیه دست و پنجه نرم میکنند، یا [که] هنوز اعتماد صفر را پذیرفتهاند. محققان در آنجا نوشتند.
موانع بر سر راه هویتهای امن همچنان باقی است
هر ارائه دهنده بزرگ ابری، احراز هویت چندعاملی را از طریق کانال های امن و با استفاده از توکن های امن، مانند OAuth 2.0 ارائه می دهد. Arntz از Malwarebytes میگوید اگرچه روشن کردن این ویژگی ممکن است ساده باشد، مدیریت دسترسی ایمن میتواند منجر به افزایش کار برای بخش فناوری اطلاعات شود – چیزی که کسبوکارها باید برای آن آماده باشند.
او میگوید: «گاهی اوقات شرکتها در مدیریت افرادی که به این سرویس دسترسی دارند و به چه مجوزهایی نیاز دارند، شکست میخورند». "این میزان کار اضافی برای کارکنان فناوری اطلاعات است که با سطح احراز هویت بالاتر همراه است - این یک گلوگاه است."
محققان گروه کاری فنی IDSA توضیح دادند که زیرساخت های قدیمی نیز یک مانع است.
آنها خاطرنشان کردند: «در حالی که مایکروسافت برای مدتی در حال پیشرفت پروتکلهای احراز هویت خود بوده است، چالش مهاجرت و سازگاری به عقب برای برنامهها، پروتکلها و دستگاههای قدیمی، پذیرش آنها را به تاخیر انداخته است». این خبر خوبی است که پایان برای احراز هویت پایه در پیش است.»
خدمات متمرکز بر مصرف کننده نیز در اتخاذ رویکردهای امن تر برای احراز هویت کند هستند. در حالی که حرکت گوگل امنیت را برای بسیاری از مصرف کنندگان بهبود بخشیده است و اپل احراز هویت دو مرحله ای را برای بیش از 95 درصد از کاربران خود فعال کرده است، در بیشتر موارد مصرف کنندگان همچنان از احراز هویت چند عاملی برای چند سرویس استفاده می کنند.
طبق گزارش IDSA، در حالی که تقریباً دو سوم شرکتها (64 درصد) ابتکاراتی را برای ایمن کردن هویتهای دیجیتال به عنوان یکی از سه اولویت اصلی خود در سال 2022 شناسایی کردهاند، تنها 12 درصد از سازمانها احراز هویت چندعاملی را برای کاربران خود پیادهسازی کردهاند. با این حال، شرکت ها به دنبال ارائه این گزینه هستند، به طوری که 29٪ از ارائه دهندگان ابری متمرکز بر مصرف کننده در حال حاضر احراز هویت بهتری را اجرا می کنند و 21٪ برای آینده برنامه ریزی می کنند.