A Microsoft és a nagyobb felhőszolgáltatók lépéseket tesznek annak érdekében, hogy üzleti ügyfeleiket a hitelesítés biztonságosabb formái felé tereljék, és kiküszöböljék az alapvető biztonsági hiányosságokat – mint például a felhasználónevek és jelszavak titkosítatlan csatornákon történő használata a felhőszolgáltatásokhoz való hozzáféréshez.
A Microsoft például október 1-jétől megszünteti az alapszintű hitelesítés használatának lehetőségét az Exchange Online szolgáltatásban, és megköveteli, hogy ügyfelei helyett token alapú hitelesítést használjanak. A Google időközben 150 millió embert vett fel automatikusan a kétlépcsős ellenőrzési folyamatába, és az online felhőszolgáltató, a Rackspace azt tervezi, hogy az év végéig kikapcsolja a szöveges e-mail protokollokat.
A határidők figyelmeztetik a vállalatokat, hogy a felhőszolgáltatásokhoz való hozzáférésük biztosítására irányuló erőfeszítéseket többé nem lehet halogatni – mondta Pieter Arntz, a Malwarebytes malware intelligenciával foglalkozó kutatója. írt egy friss blogbejegyzést kiemelve a közelgő határidőt a Microsoft Exchange Online felhasználók számára.
„Úgy gondolom, hogy az egyensúly odáig mozdul el, hogy úgy érzik, meg tudják győzni a felhasználókat arról, hogy az extra biztonság az ő érdekeiket szolgálja, miközben megpróbálnak még viszonylag könnyen használható megoldásokat kínálni” – mondja. „A Microsoft gyakran divatteremtő, és már évekkel ezelőtt bejelentette ezeket a terveket, de továbbra is tapasztalni fog olyan szervezeteket, amelyek kínlódnak, és küzdenek a megfelelő intézkedések megtételével.”
A személyazonossághoz kapcsolódó jogsértések egyre terjednek
Míg egyes biztonságtudatos vállalatok kezdeményezték a felhőszolgáltatásokhoz való hozzáférés biztosítását, másokat szorgalmazni kell – amit a felhőszolgáltatók, mint például a Microsoft, egyre inkább hajlandóak megtenni, különösen mivel a vállalatok egyre több személyazonossághoz kapcsolódó jogsértésekkel küzdenek. 2022-ben a vállalatok 84%-a szenvedett el személyazonossághoz kapcsolódó jogsértést, szemben az előző két év 79%-ával. Identity Defined Security Alliance„2022 Trends in Securing Digital Identities” című jelentése.
A hitelesítés alapvető formáinak kikapcsolása egyszerű módja a támadók blokkolásának, akik egyre gyakrabban használnak hitelesítő adatok kitöltését és más tömeges hozzáférési kísérleteket az áldozatok kompromittálásának első lépéseként. A gyenge hitelesítéssel rendelkező vállalatok nyitva hagyják magukat a brute force támadásoknak, az újrafelhasznált jelszavakkal való visszaélésnek, az adathalászat során ellopott hitelesítő adatoknak és a feltört munkameneteknek.
És amint a támadók hozzáfértek a vállalati e-mail szolgáltatásokhoz, kiszivároghatnak érzékeny információkat, vagy káros támadásokat hajthatnak végre, például üzleti e-mail-kompromittálással (BEC) és zsarolóvírus-támadásokkal – mondta Igal Gofman, az Ermetic, a felhő identitásbiztonsági szolgáltatójának kutatási vezetője. szolgáltatások.
"A gyenge hitelesítési protokollok használata, különösen a felhőben, nagyon veszélyes lehet, és jelentős adatszivárgáshoz vezethet" - mondja. „A nemzetállamok és a kiberbűnözők folyamatosan visszaélnek a gyenge hitelesítési protokollokkal, és különféle nyers erejű támadásokat hajtanak végre a felhőszolgáltatások ellen.”
A hitelesítés biztonságának megerősítése azonnali előnyökkel járhat. A Google úgy találta, hogy a kétlépcsős ellenőrzési folyamat során automatikusan regisztrálja az embereket 50%-kal csökkentette a fiókkompromisszumokat. Az IDSA „43 Trends in Securing Digital Identities” című jelentése szerint a jogsértést elszenvedő vállalatok jelentős része (2022%) úgy gondolja, hogy a többtényezős hitelesítés megállíthatta volna a támadókat.
A Zero-Trust architektúrák felé haladva
Ezen kívül felhő és zéró bizalmi kezdeményezések Az IDSA Technikai Munkacsoportja szerint a Dark Readingnek küldött e-mailben a cégek több mint fele fektet be a személyazonosság-biztonságba e kezdeményezések részeként.
Az IDSA Technical Working sok vállalat számára a zsarolóvírusok és más fenyegetések ösztönözték az egyszerű hitelesítési mechanizmusoktól való elmozdulást, amelyek miatt a vállalatok igyekeztek minimalizálni támadási felületüket, és ahol csak lehet, megerősítik a védekezést. Csoport írta.
„Mivel a vállalatok többsége felgyorsítja a nulla bizalommal kapcsolatos kezdeményezéseit, lehetőség szerint erősebb hitelesítést is bevezetnek – bár meglepő, hogy vannak olyan cégek, amelyek még mindig az alapokkal küszködnek, vagy [amelyek] még nem fogadták el a nulla bizalmat. leleplezve őket” – írták az ottani kutatók.
A biztonságos identitások akadályai továbbra is fennállnak
Minden nagyobb felhőszolgáltató többtényezős hitelesítést kínál biztonságos csatornákon és biztonságos tokenek (például OAuth 2.0) használatával. Bár a funkció bekapcsolása egyszerű lehet, a biztonságos hozzáférés kezelése az informatikai részleg munkájának növekedéséhez vezethet – amire a vállalkozásoknak fel kell készülniük – mondja a Malwarebytes' Arntz.
A vállalatok „néha kudarcot vallanak, amikor azt kell kezelni, hogy ki férhet hozzá a szolgáltatáshoz, és milyen engedélyekre van szükségük” – mondja. „Az informatikai személyzet többletmunkája, amely magasabb hitelesítési szinttel jár – ez a szűk keresztmetszet.”
Az IDSA Technikai Munkacsoportjának kutatói kifejtették, hogy az örökölt infrastruktúra is akadályt jelent.
„Miközben a Microsoft már egy ideje továbbfejleszti hitelesítési protokolljait, a régi alkalmazások, protokollok és eszközök migrációja és visszafelé kompatibilitása miatti kihívás késleltette azok elfogadását” – jegyezték meg. "Jó hír, hogy az alapszintű hitelesítésnek a vége látható."
A fogyasztóközpontú szolgáltatások is lassan alkalmazzák a biztonságosabb hitelesítési módszereket. Míg a Google lépése sok fogyasztó biztonságát javította, és az Apple a felhasználók több mint 95%-a számára lehetővé tette a kétfaktoros hitelesítést, a fogyasztók többsége továbbra is csak néhány szolgáltatásnál használ többtényezős hitelesítést.
Míg a vállalatok csaknem kétharmada (64%) a digitális identitás biztonságát célzó kezdeményezéseket jelölte meg 2022-ben a három legfontosabb prioritás között, addig a szervezeteknek csak 12%-a vezetett be többtényezős hitelesítést felhasználói számára az IDSA jelentése szerint. A cégek azonban igyekeznek biztosítani ezt a lehetőséget, a fogyasztóközpontú felhőszolgáltatók 29%-a jelenleg jobb hitelesítést valósít meg, és 21%-uk tervezi a jövőre nézve.
