Microsoft, pilvipalveluntarjoajat siirtyvät kieltämään perustodennuksen

Microsoft ja suuret pilvipalveluntarjoajat alkavat ryhtyä toimiin siirtääkseen yritysasiakkaansa käyttämään turvallisempia todennusmuotoja ja poistamaan perustietoturvaheikkoudet, kuten käyttäjätunnusten ja salasanojen käyttäminen salaamattomissa kanavissa pilvipalveluihin pääsemiseksi.

Microsoft esimerkiksi poistaa mahdollisuuden käyttää perustodennusta Exchange Online -palvelustaan ​​1. lokakuuta alkaen, mikä edellyttää, että sen asiakkaat käyttävät sen sijaan token-pohjaista todennusta. Google on tällä välin rekisteröinyt automaattisesti 150 miljoonaa ihmistä kaksivaiheiseen vahvistusprosessiinsa, ja verkkopilvipalveluntarjoaja Rackspace aikoo poistaa tekstiviestiprotokollat ​​käytöstä vuoden loppuun mennessä.

Määräajat ovat varoitus yrityksille siitä, että ponnisteluja pilvipalvelujen turvaamiseksi ei voi enää lykätä, sanoo Pieter Arntz, Malwarebytesin haittaohjelmien tiedustelututkija. kirjoittanut tuoreen blogikirjoituksen korostaa tulevaa määräaikaa Microsoft Exchange Online -käyttäjille.

"Uskon, että tasapaino on siirtymässä siihen pisteeseen, jossa he kokevat voivansa vakuuttaa käyttäjät siitä, että ylimääräinen tietoturva on heidän etunsa, samalla kun he yrittävät tarjota ratkaisuja, jotka ovat edelleen suhteellisen helppokäyttöisiä", hän sanoo. "Microsoft on usein suunnannäyttäjä ja ilmoitti näistä suunnitelmistaan ​​vuosia sitten, mutta organisaatioilla on edelleen vaikeuksia ryhtyä asianmukaisiin toimiin."

Identiteettiin liittyvät loukkaukset nousussa

Jotkut turvallisuustietoiset yritykset ovat tehneet aloitteen turvatakseen pääsyn pilvipalveluihin, kun taas toisia on yllytettävä – pilvipalveluntarjoajat, kuten Microsoft, ovat yhä halukkaampia tekemään, varsinkin kun yritykset kamppailevat yhä useammissa identiteettiin liittyvissä loukkauksissa. Vuonna 2022 84 prosenttia yrityksistä kärsi identiteettiin liittyvästä loukkauksesta, kun vastaava luku kahden edellisen vuoden 79 prosentista. Identity Defined Security Alliance"2022 Trends in Securing Digital Identities" -raportti.

Perustodennustapojen poistaminen käytöstä on yksinkertainen tapa estää hyökkääjät, jotka käyttävät yhä useammin tunnistetietojen täyttämistä ja muita massakäyttöyrityksiä ensimmäisenä askeleena uhrien vaarantamiseksi. Yritykset, joilla on heikko todennus, jättävät itsensä avoimeksi raa'an voiman hyökkäyksille, uudelleenkäytettyjen salasanojen väärinkäytölle, tietojenkalastelulla varastetuille tunnistetiedoille ja kaapatuille istunnoille.

Ja kun hyökkääjät ovat saaneet pääsyn yritysten sähköpostipalveluihin, he voivat suodattaa arkaluontoisia tietoja tai suorittaa haitallisia hyökkäyksiä, kuten yrityssähköpostikompromissi (BEC) ja kiristysohjelmahyökkäyksiä, sanoo Igal Gofman, tutkimuspäällikkö Ermeticille, joka tarjoaa pilven identiteettiturvaa. palvelut.

"Heikkojen todennusprotokollien käyttö, erityisesti pilvessä, voi olla erittäin vaarallista ja johtaa suuriin tietovuotojin", hän sanoo. "Kansavaltiot ja kyberrikolliset käyttävät jatkuvasti väärin heikkoja todennusprotokollia suorittamalla erilaisia ​​raakoja hyökkäyksiä pilvipalveluita vastaan."

Todennuksen turvallisuuden parantamisen edut voivat olla välittömiä. Google havaitsi, että henkilöiden automaattinen rekisteröinti kaksivaiheiseen vahvistusprosessiin johti 50 prosentin vähennykseen tilien kompromisseissa. IDSA:n ”43 Trends in Securing Digital Identities” -raportin mukaan merkittävä osa loukkauksesta kärsineistä yrityksistä (2022 %) uskoo, että monitekijätodennus olisi voinut pysäyttää hyökkääjät.

Edging kohti nollaluottamusarkkitehtuuria

Lisäksi pilvi ja nollaluottamusta koskevat aloitteet IDSA:n teknisen työryhmän mukaan Dark Readingille lähetetyn sähköpostin mukaan yli puolet yrityksistä investoi identiteettiturvaan osana näitä aloitteita.

Monissa yrityksissä siirtyminen pois yksinkertaisista todennusmekanismeista, jotka perustuvat vain käyttäjän tunnistetietoihin, on vauhditettu kiristysohjelmista ja muista uhista, jotka ovat saaneet yritykset pyrkimään minimoimaan hyökkäyspinta-alaansa ja vahvistamaan puolustusta mahdollisuuksiensa mukaan, IDSA:n tekninen työ. Ryhmä kirjoitti.

"Kun suurin osa yrityksistä vauhdittaa nollaluottamusaloitteitaan, ne myös ottavat käyttöön vahvempaa autentikointia mahdollisuuksien mukaan - vaikka onkin yllättävää, että jotkut yritykset kamppailevat edelleen perusasioiden kanssa tai [jotka] eivät ole vielä omaksuneet nollaluottamusta. jättäen ne näkyville", tutkijat kirjoittivat.

Turvallisten identiteettien esteitä on edelleen

Jokainen suuri pilvipalveluntarjoaja tarjoaa monitekijätodennusta suojattujen kanavien kautta ja käyttämällä suojattuja tunnuksia, kuten OAuth 2.0. Vaikka ominaisuuden käyttöönotto voi olla yksinkertaista, suojatun käytön hallinta voi lisätä IT-osaston työtä – mihin yritysten on oltava valmiita, Malwarebytesin Arntz sanoo.

Yritykset "joskus epäonnistuvat hallitseessaan, kenellä on pääsy palveluun ja mitä käyttöoikeuksia he tarvitsevat", hän sanoo. "Juuri IT-henkilöstön ylimääräinen työmäärä liittyy korkeampaan todennustasoon – se on pullonkaula."

IDSA:n teknisen työryhmän tutkijat selittivät, että myös vanha infrastruktuuri on este.  

"Vaikka Microsoft on siirtänyt todennusprotokolliaan eteenpäin jonkin aikaa, vanhojen sovellusten, protokollien ja laitteiden siirtymisen ja taaksepäin yhteensopivuuden haaste on viivästynyt niiden käyttöönotossa", he huomauttivat. "On hyvä uutinen, että perustodennuksella on loppu."

Kuluttajakeskeiset palvelut ovat myös hitaita omaksumaan turvallisempia tunnistustapoja. Vaikka Googlen siirto on parantanut monien kuluttajien turvallisuutta, ja Apple on mahdollistanut kaksivaiheisen todennuksen yli 95 %:lle käyttäjistä, suurin osa kuluttajista käyttää edelleen monitekijätodennusta vain muutamissa palveluissa.

IDSA:n raportin mukaan lähes kaksi kolmasosaa yrityksistä (64 %) on määritellyt digitaalisen identiteetin turvaamiseen tähtäävät aloitteet yhdeksi kolmesta tärkeimmistä prioriteeteistaan ​​vuonna 2022, mutta vain 12 % organisaatioista on ottanut käyttöön monitekijäisen todennuksen käyttäjilleen. Yritykset haluavat kuitenkin tarjota vaihtoehdon, sillä 29 prosenttia kuluttajiin keskittyvistä pilvipalveluntarjoajista ottaa tällä hetkellä käyttöön parempaa todennusta ja 21 prosenttia suunnittelee sitä tulevaisuutta varten.