Microsoft en grote cloudproviders beginnen stappen te ondernemen om hun zakelijke klanten te bewegen in de richting van veiligere vormen van authenticatie en het elimineren van fundamentele beveiligingszwakheden, zoals het gebruik van gebruikersnamen en wachtwoorden via niet-versleutelde kanalen om toegang te krijgen tot cloudservices.
Microsoft zal bijvoorbeeld vanaf 1 oktober de mogelijkheid om basisauthenticatie te gebruiken voor zijn Exchange Online-service verwijderen, waardoor zijn klanten in plaats daarvan op tokens gebaseerde authenticatie moeten gebruiken. Google heeft inmiddels 150 miljoen mensen automatisch ingeschreven voor het tweestapsverificatieproces, en online cloudprovider Rackspace is van plan om e-mailprotocollen in leesbare tekst tegen het einde van het jaar uit te schakelen.
De deadlines zijn een waarschuwing voor bedrijven dat inspanningen om hun toegang tot clouddiensten te beveiligen niet langer kunnen worden uitgesteld, zegt Pieter Arntz, malware intelligence-onderzoeker bij Malwarebytes, die schreef onlangs een blogpost waarin de komende deadline voor Microsoft Exchange Online-gebruikers wordt benadrukt.
โIk denk dat de balans verschuift naar het punt waarop ze het gevoel hebben gebruikers ervan te kunnen overtuigen dat de extra beveiliging in hun belang is, terwijl ze proberen oplossingen te bieden die nog steeds relatief eenvoudig te gebruiken zijnโ, zegt hij. โMicrosoft is vaak trendsetter en heeft deze plannen al jaren geleden aangekondigd, maar nog steeds kom je organisaties tegen die worstelen met het nemen van de juiste maatregelen.โ
Identiteitsgerelateerde inbreuken nemen toe
Terwijl sommige beveiligingsbewuste bedrijven het initiatief hebben genomen om de toegang tot clouddiensten te beveiligen, moeten anderen worden aangespoord โ iets dat cloudproviders, zoals Microsoft, zijn steeds meer bereid dit te doen, vooral omdat bedrijven te kampen hebben met meer identiteitsgerelateerde inbreuken. In 2022 kreeg 84% van de bedrijven te maken met een identiteitsgerelateerde inbreuk, vergeleken met 79% in de voorgaande twee jaar, aldus het rapport. Identiteitsgedefinieerde beveiligingsalliantieโ2022 Trends in het beveiligen van digitale identiteitenโ rapport.
Het uitschakelen van basisvormen van authenticatie is een eenvoudige manier om aanvallers te blokkeren, die steeds vaker credential stuffing en andere massale toegangspogingen gebruiken als een eerste stap om slachtoffers in gevaar te brengen. Bedrijven met een zwakke authenticatie stellen zichzelf bloot aan brute-force-aanvallen, misbruik van hergebruikte wachtwoorden, inloggegevens die via phishing worden gestolen en gekaapte sessies.
En zodra aanvallers toegang hebben gekregen tot zakelijke e-maildiensten, kunnen ze gevoelige informatie exfiltreren of schadelijke aanvallen uitvoeren, zoals zakelijke e-mailcompromis (BEC) en ransomware-aanvallen, zegt Igal Gofman, hoofd onderzoek bij Ermetic, een leverancier van identiteitsbeveiliging voor de cloud. Diensten.
โHet gebruik van zwakke authenticatieprotocollen, vooral in de cloud, kan zeer gevaarlijk zijn en tot grote datalekken leidenโ, zegt hij. โNatiestaten en cybercriminelen maken voortdurend misbruik van zwakke authenticatieprotocollen door een verscheidenheid aan verschillende brute-force-aanvallen uit te voeren op clouddiensten.โ
De voordelen van het versterken van de beveiliging van authenticatie kunnen onmiddellijke voordelen hebben. Google ontdekte dat mensen automatisch worden ingeschreven in het tweestapsverificatieproces resulteerde in een afname van 50% in accountcompromissen. Een aanzienlijk deel van de bedrijven die te maken kregen met een inbreuk (43%) is van mening dat multifactor-authenticatie de aanvallers had kunnen tegenhouden, volgens het IDSA-rapport โ2022 Trends in Securing Digital Identitiesโ.
Op weg naar Zero-Trust-architecturen
Bovendien zijn cloud- en zero-trust-initiatieven hebben het streven naar veiligere identiteiten gestimuleerd, waarbij meer dan de helft van de bedrijven investeert in identiteitsbeveiliging als onderdeel van deze initiatieven, aldus de Technical Working Group van de IDSA, in een e-mail aan Dark Reading.
Voor veel bedrijven is de stap weg van eenvoudige authenticatiemechanismen die alleen afhankelijk zijn van de inloggegevens van een gebruiker aangespoord door ransomware en andere bedreigingen, die ertoe hebben geleid dat bedrijven hun aanvalsoppervlak tot een minimum hebben beperkt en de verdediging waar mogelijk hebben versterkt. Groep schreef.
โTerwijl de meerderheid van de bedrijven hun zero-trust-initiatieven versnellen, implementeren ze waar mogelijk ook sterkere authenticatie โ hoewel het verrassend is dat er nog steeds een aantal bedrijven zijn die worstelen met de basisprincipes, of [die] zero-trust nog niet hebben omarmd. waardoor ze blootgesteld blijvenโ, schreven onderzoekers daar.
Er blijven obstakels bestaan โโvoor veilige identiteiten
Elke grote cloudprovider biedt multifactor-authenticatie via beveiligde kanalen en met behulp van veilige tokens, zoals OAuth 2.0. Hoewel het inschakelen van de functie misschien eenvoudig is, kan het beheren van veilige toegang leiden tot meer werk voor de IT-afdeling โ iets waar bedrijven klaar voor moeten zijn, zegt Arntz van Malwarebytes.
Bedrijven โschieten er soms niet in als het gaat om het beheren van wie toegang heeft tot de dienst en welke machtigingen ze nodig hebbenโ, zegt hij. โHet is de extra hoeveelheid werk voor IT-personeel die gepaard gaat met een hoger authenticatieniveau โ dat is het knelpunt.โ
Onderzoekers van de Technical Working Group van de IDSA legden uit dat de verouderde infrastructuur ook een hindernis is.
โHoewel Microsoft al een tijdje bezig is met het verbeteren van hun authenticatieprotocollen, heeft de uitdaging van het migreren en achterwaartse compatibiliteit van oudere apps, protocollen en apparaten de adoptie ervan vertraagdโ, merkten ze op. โHet is goed nieuws dat het einde in zicht is voor basisauthenticatie.โ
Op de consument gerichte diensten zijn ook traag met het adopteren van veiligere benaderingen van authenticatie. Hoewel de stap van Google de veiligheid voor veel consumenten heeft verbeterd en Apple twee-factor-authenticatie voor meer dan 95% van zijn gebruikers heeft mogelijk gemaakt, blijven consumenten voor het grootste deel alleen multi-factor-authenticatie gebruiken voor een paar diensten.
Terwijl bijna twee derde van de bedrijven (64%) initiatieven om digitale identiteiten te beveiligen als een van hun top drie prioriteiten in 2022 heeft aangemerkt, heeft volgens het IDSA-rapport slechts 12% van de organisaties multifactor-authenticatie voor hun gebruikers geรฏmplementeerd. Bedrijven willen deze optie echter wel bieden: 29% van de consumentgerichte cloudproviders implementeren momenteel betere authenticatie en 21% is van plan dit voor de toekomst te doen.
