מיקרוסופט, ספקי ענן עוברים לאסור אימות בסיסי

חותמת זמן: 9 בספטמבר 2022 10:29
צומת המקור: 1690559

מיקרוסופט וספקיות ענן גדולות מתחילות לנקוט בצעדים כדי להעביר את הלקוחות העסקיים שלהם לעבר צורות אימות מאובטחות יותר וביטול חולשות אבטחה בסיסיות - כמו שימוש בשמות משתמש וסיסמאות בערוצים לא מוצפנים כדי לגשת לשירותי ענן.

מיקרוסופט, למשל, תסיר את היכולת להשתמש באימות בסיסי עבור שירות Exchange Online שלה החל מה-1 באוקטובר, מה שמחייב את הלקוחות שלה להשתמש באימות מבוסס אסימון במקום זאת. בינתיים גוגל רשמה אוטומטית 150 מיליון אנשים לתהליך האימות הדו-שלבי שלה, וספקית הענן המקוונת Rackspace מתכננת לבטל פרוטוקולי דוא"ל ברורים עד סוף השנה.

המועדים הם אזהרה לחברות שלא ניתן עוד לדחות את המאמצים לאבטח את הגישה שלהן לשירותי ענן, אומר פיטר ארנץ, חוקר מודיעין תוכנות זדוניות ב-Malwarebytes, אשר כתב פוסט לאחרונה בבלוג הדגשת המועד הקרוב עבור משתמשי Microsoft Exchange Online.

"אני חושב שהאיזון עובר לנקודה שבה הם מרגישים שהם יכולים לשכנע משתמשים שהאבטחה הנוספת היא לטובתם, תוך ניסיון להציע פתרונות שעדיין קלים יחסית לשימוש", הוא אומר. "מיקרוסופט היא לרוב קובעת מגמות והכריזה על התוכניות הללו לפני שנים, אבל עדיין תמצא ארגונים נאבקים ונאבקים לנקוט באמצעים המתאימים."

הפרות הקשורות לזהות במגמת עלייה

בעוד שחברות מסוימות בעלות מודעות אבטחה נטלו יוזמה לאבטחת גישה לשירותי ענן, יש לדרבן אחרות - דבר שספקי הענן, כמו מיקרוסופט, מוכנים יותר ויותר לעשות, במיוחד כאשר חברות נאבקות עם יותר הפרות הקשורות לזהות. בשנת 2022, 84% מהחברות סבלו מהפרת זהות, עלייה מ-79% בשנתיים הקודמות, על פי ברית אבטחה מוגדרת זהותדוח "2022 מגמות באבטחת זהויות דיגיטליות".

כיבוי צורות אימות בסיסיות היא דרך פשוטה לחסום תוקפים, שמשתמשים יותר ויותר במילוי אישורים ובנסיונות גישה המונית אחרים כצעד ראשון להתפשרות על קורבנות. חברות עם אימות חלש משאירות את עצמן פתוחות להתקפות בכוח גס, ניצול לרעה של סיסמאות בשימוש חוזר, אישורים שנגנבו באמצעות דיוג והפעלות חטופות.

וברגע שתוקפים קיבלו גישה לשירותי דוא"ל ארגוניים, הם יכולים לסנן מידע רגיש או לבצע התקפות מזיקות, כגון פגיעה במייל עסקית (BEC) והתקפות כופר, אומר יגאל גופמן, ראש מחלקת המחקר של ארמטיק, ספקית אבטחת זהות לענן. שירותים.

"השימוש בפרוטוקולי אימות חלשים, במיוחד בענן, עלול להיות מסוכן מאוד ולהוביל לדליפות נתונים גדולות", הוא אומר. "מדינות לאום ופושעי סייבר מנצלים ללא הרף פרוטוקולי אימות חלשים על ידי ביצוע מגוון של התקפות שונות בכוח גס נגד שירותי ענן."

ליתרונות של חיזוק אבטחת האימות יכולים להיות יתרונות מיידיים. גוגל גילתה שאנשים נרשמים אוטומטית לתהליך האימות הדו-שלבי שלה הביא לירידה של 50% בפשרות בחשבון. חלק ניכר מהחברות שסבלו מהפרה (43%) מאמינות שאימות רב-גורמי יכול היה לעצור את התוקפים, על פי דוח "2022 מגמות באבטחת זהויות דיגיטליות" של IDSA.

גבול לקראת ארכיטקטורות אפס אמון

בנוסף, ענן ו יוזמות אפס אמון הניעו את המרדף אחר זהויות מאובטחות יותר, כאשר יותר ממחצית החברות משקיעות באבטחת זהות כחלק מיוזמות אלו, על פי קבוצת העבודה הטכנית של IDSA, בדוא"ל ל-Dark Reading.

עבור חברות רבות, המעבר ממנגנוני אימות פשוטים המסתמכים רק על אישורים של משתמש נבנה על ידי תוכנות כופר ואיומים אחרים, שגרמו לחברות לחפש למזער את שטח פני ההתקפה שלהן ולהקשיח את ההגנות היכן שהן יכולות. הקבוצה כתבה.

"ככל שרוב החברות מאיצות את יוזמות אפס האמון שלהן, הן גם מיישמות אימות חזק יותר במידת האפשר - אם כי זה מפתיע שעדיין יש כמה חברות שנאבקות עם היסודות, או שעדיין לא אימצו אפס אמון, משאיר אותם חשופים", כתבו החוקרים שם.

נותרו מכשולים בפני זהויות מאובטחות

כל ספק ענן גדול מציע אימות רב-גורמי על פני ערוצים מאובטחים ושימוש באסימונים מאובטחים, כגון OAuth 2.0. למרות שהפעלת התכונה עשויה להיות פשוטה, ניהול גישה מאובטחת יכול להוביל לעלייה בעבודה עבור מחלקת ה-IT - משהו שעסקים צריכים להיות מוכנים אליו, אומר Arntz של Malwarebytes.

חברות "לפעמים נכשלות כשזה מגיע לניהול למי יש גישה לשירות ולאילו הרשאות הן דורשות", הוא אומר. "זו כמות העבודה הנוספת של צוות IT שמגיעה עם רמת אימות גבוהה יותר - זו צוואר הבקבוק."

חוקרים בקבוצת העבודה הטכנית של IDSA הסבירו שתשתית עתיקה היא גם מכשול.  

"בעוד שמיקרוסופט נמצאת בתהליך של העברת פרוטוקולי האימות שלה קדימה מזה זמן מה, האתגר של הגירה ותאימות לאחור עבור אפליקציות, פרוטוקולים ומכשירים מדור קודם עיכב את אימוץם", הם ציינו. "זה חדשות טובות שהסוף נראה באופק לאימות בסיסית."

שירותים ממוקדי צרכן גם איטיים לאמץ גישות מאובטחות יותר לאימות. בעוד שהמהלך של גוגל שיפר את האבטחה עבור צרכנים רבים, ואפל אפשרה אימות דו-שלבי עבור יותר מ-95% מהמשתמשים שלה, לרוב הצרכנים ממשיכים להשתמש רק באימות רב-גורמי עבור כמה שירותים.

בעוד שכמעט שני שלישים מהחברות (64%) זיהו יוזמות לאבטחת זהויות דיגיטליות כאחד משלושת העדיפויות העליונות שלהן בשנת 2022, רק 12% מהארגונים יישמו אימות רב-גורמי עבור המשתמשים שלהם, על פי הדו"ח של IDSA. עם זאת, חברות מחפשות לספק את האפשרות, כאשר 29% מספקי הענן הממוקדים בצרכן מיישמים כיום אימות טוב יותר ו-21% מתכננים זאת לעתיד.

בול זמן:

עוד מ קריאה אפלה