マイクロソフトと主要なクラウド プロバイダーは、企業顧客をより安全な形式の認証に移行させ、基本的なセキュリティの弱点を排除するための措置を講じ始めています。たとえば、暗号化されていないチャネルでユーザー名とパスワードを使用してクラウド サービスにアクセスするなどです。
たとえば、Microsoft は 1 月 150 日から Exchange Online サービスで基本認証を使用する機能を削除し、顧客は代わりにトークンベースの認証を使用する必要があります。 一方、Google は XNUMX 段階認証プロセスで XNUMX 億 XNUMX 万人を自動登録しており、オンライン クラウド プロバイダーの Rackspace は、年末までに平文の電子メール プロトコルを無効にする予定です。
Malwarebytes のマルウェア インテリジェンス研究者である Pieter Arntz は、締め切りは、クラウド サービスへのアクセスを保護するための取り組みをこれ以上先延ばしにすることはできないという企業への警告です。 最近のブログ投稿を書いた Microsoft Exchange Online ユーザーの締め切りが近づいていることを強調しています。
「バランスは、まだ比較的使いやすいソリューションを提供しようとしながらも、余分なセキュリティが彼らの最善の利益であるとユーザーに納得させることができると感じるところまで変化していると思います」と彼は言います. 「マイクロソフトは多くの場合、トレンドセッターであり、これらの計画を何年も前に発表していますが、組織が適切な対策を講じるのに苦労しているのを今でも目にするでしょう。」
増加するアイデンティティ関連の侵害
セキュリティ意識の高い企業の中には、クラウド サービスへのアクセスを保護するためにイニシアチブを取っているものもありますが、クラウド プロバイダー、 マイクロソフトなど、特に企業がより多くのアイデンティティ関連の侵害に苦しんでいるため、ますます積極的に行動しています。 によると、2022 年には 84% の企業が ID 関連の侵害に見舞われており、過去 79 年間の XNUMX% から増加しています。 ID 定義セキュリティ アライアンスの「2022 年におけるデジタル ID の保護の動向」レポート。
基本的な形式の認証をオフにすることは、攻撃者をブロックする簡単な方法です。攻撃者は、犠牲者を危険にさらすための最初のステップとして、クレデンシャル スタッフィングやその他の大量アクセスの試みをますます使用しています。 認証が脆弱な企業は、ブルート フォース攻撃、再利用されたパスワードの悪用、フィッシングによる資格情報の盗難、およびセッションの乗っ取りにさらされます。
また、攻撃者が企業の電子メール サービスにアクセスできるようになると、機密情報を盗み出したり、ビジネス電子メール侵害 (BEC) やランサムウェア攻撃などの損害を与える攻撃を実行したりできると、クラウド向け ID セキュリティのプロバイダーである Ermetic の調査責任者である Igal Gofman は述べています。サービス。
「特にクラウドで脆弱な認証プロトコルを使用すると、非常に危険であり、大規模なデータ漏洩につながる可能性があります」と彼は言います。 「国家とサイバー犯罪者は、クラウド サービスに対してさまざまなブルート フォース攻撃を実行することで、脆弱な認証プロトコルを常に悪用しています。」
認証のセキュリティを強化することの利点は、すぐに利益をもたらす可能性があります。 Google は、XNUMX 段階認証プロセスで人を自動登録することを発見しました。 アカウント侵害が 50% 減少しました. IDSA の「43 年におけるデジタル ID の保護の傾向」レポートによると、侵害を受けた企業のかなりの部分 (2022%) が、多要素認証を使用していれば攻撃者を阻止できた可能性があると考えています。
ゼロトラスト アーキテクチャへのエッジング
さらに、クラウドと ゼロトラスト イニシアチブ IDSA のテクニカル ワーキング グループが Dark Reading に宛てた電子メールによると、企業の半数以上がこうしたイニシアチブの一環として ID セキュリティに投資しており、より安全な ID の追求を推進しています。
多くの企業にとって、ユーザーの資格情報のみに依存する単純な認証メカニズムからの移行は、ランサムウェアやその他の脅威によって促進されており、企業は攻撃対象領域を最小限に抑え、可能な場合は防御を強化することに目を向けています。IDSA のテクニカル ワーキンググループが書いた。
「大多数の企業がゼロトラストへの取り組みを加速させているため、可能な場合はより強力な認証も実装しています。ただし、基本的な部分で苦労している企業や、ゼロトラストをまだ受け入れていない企業がまだあることは驚くべきことです。それらをさらしたままにしておく」とそこの研究者は書いている。
ID を保護するための障害が残る
すべての主要なクラウド プロバイダーは、安全なチャネルを介して、OAuth 2.0 などの安全なトークンを使用して多要素認証を提供しています。 この機能をオンにするのは簡単かもしれませんが、安全なアクセスを管理することは、IT 部門の仕事の増加につながる可能性があります。これは、企業が準備する必要があることです、と Malwarebytes の Arntz は言います。
「企業は、誰がサービスにアクセスできるか、どのアクセス許可が必要かを管理することに失敗することがあります」と彼は言います。 「認証レベルが高くなると、IT スタッフの余分な作業が発生します。これがボトルネックです。」
IDSA のテクニカル ワーキング グループの研究者は、レガシー インフラストラクチャもハードルであると説明しました。
「Microsoft はしばらくの間、認証プロトコルを前進させる過程にありましたが、レガシー アプリ、プロトコル、およびデバイスの移行と下位互換性の課題により、採用が遅れています」と彼らは指摘しました。 「基本認証の終わりが見えてきたのは朗報です。」
消費者中心のサービスも、認証に対してより安全なアプローチを採用するのに時間がかかります。 Google の動きにより多くの消費者のセキュリティが向上し、Apple はユーザーの 95% 以上に対して XNUMX 要素認証を有効にしましたが、ほとんどの場合、消費者は少数のサービスに対してのみ多要素認証を使用し続けています。
IDSA のレポートによると、企業のほぼ 64 分の 2022 (12%) が、29 年の上位 21 つの優先事項の XNUMX つとしてデジタル ID を保護するためのイニシアチブを特定していますが、ユーザーに多要素認証を実装している組織はわずか XNUMX% です。 ただし、企業はこのオプションを提供することを検討しており、消費者に焦点を当てたクラウド プロバイダーの XNUMX% が現在、より優れた認証を実装しており、XNUMX% が将来のためにそれを計画しています。
