Microsoft og store skyleverandører begynner å ta skritt for å flytte bedriftskunder mot sikrere former for autentisering og eliminering av grunnleggende sikkerhetssvakheter – som å bruke brukernavn og passord over ukrypterte kanaler for å få tilgang til skytjenester.
Microsoft vil for eksempel fjerne muligheten til å bruke grunnleggende autentisering for Exchange Online-tjenesten fra og med 1. oktober, og krever at kundene bruker token-basert autentisering i stedet. Google har i mellomtiden automatisk registrert 150 millioner mennesker i sin totrinns bekreftelsesprosess, og nettskyleverandøren Rackspace planlegger å slå av klartekst-e-postprotokoller innen slutten av året.
Fristene er en advarsel til bedrifter om at innsatsen for å sikre deres tilgang til skytjenester ikke lenger kan utsettes, sier Pieter Arntz, malware-intelligensforsker ved Malwarebytes, som skrev et nylig blogginnlegg fremhever den kommende fristen for Microsoft Exchange Online-brukere.
"Jeg tror balansen skifter til et punkt hvor de føler at de kan overbevise brukerne om at den ekstra sikkerheten er i deres beste interesse, samtidig som de prøver å tilby løsninger som fortsatt er relativt enkle å bruke," sier han. "Microsoft er ofte en trendsetter og kunngjorde disse planene for mange år siden, men du vil fortsatt finne organisasjoner som sliter og sliter med å ta de nødvendige tiltakene."
Identitetsrelaterte brudd øker
Mens noen sikkerhetsbevisste selskaper har tatt initiativet til å sikre tilgang til skytjenester, må andre oppfordres – noe som skyleverandører, slik som Microsoft, er stadig mer villige til å gjøre, spesielt ettersom selskaper sliter med flere identitetsrelaterte brudd. I 2022 led 84 % av selskapene et identitetsrelatert brudd, opp fra 79 % de to foregående årene, ifølge Identity Defined Security Alliancesin "2022 Trends in Securing Digital Identities"-rapport.
Å slå av grunnleggende former for autentisering er en enkel måte å blokkere angripere, som i økende grad bruker legitimasjonsfylling og andre massetilgangsforsøk som et første skritt for å kompromittere ofre. Bedrifter med svak autentisering lar seg åpne for brute-force-angrep, misbruk av gjenbrukte passord, legitimasjon stjålet gjennom phishing og kaprede økter.
Og når angripere først har fått tilgang til bedriftens e-posttjenester, kan de eksfiltrere sensitiv informasjon eller utføre skadelige angrep, som for eksempel business email compromise (BEC) og løsepengevareangrep, sier Igal Gofman, forskningssjef for Ermetic, en leverandør av identitetssikkerhet for skyen. tjenester.
"Bruk av svake autentiseringsprotokoller, spesielt i skyen, kan være svært farlig og føre til store datalekkasjer," sier han. "Nasjonsstater og nettkriminelle misbruker stadig svake autentiseringsprotokoller ved å utføre en rekke forskjellige brute-force-angrep mot skytjenester."
Fordelene ved å styrke sikkerheten til autentisering kan ha umiddelbare fordeler. Google fant ut at autoregistrering av folk i sin totrinns bekreftelsesprosess resulterte i en nedgang på 50 % i kontokompromisser. En betydelig del av selskapene som led et brudd (43 %) mener at det å ha multifaktorautentisering kunne ha stoppet angriperne, ifølge IDSAs "2022 Trends in Securing Digital Identities"-rapport.
Kant mot null-tillit arkitekturer
I tillegg sky og null-tillit initiativ har drevet jakten på sikrere identiteter, med mer enn halvparten av selskapene som investerer i identitetssikkerhet som en del av disse initiativene, ifølge IDSAs tekniske arbeidsgruppe, i en e-post til Dark Reading.
For mange selskaper har flyttingen bort fra enkle autentiseringsmekanismer som kun er avhengige av en brukers legitimasjon blitt ansporet av løsepengevare og andre trusler, som har fått selskaper til å se etter å minimere angrepsoverflaten og herde forsvaret der de kan, IDSAs tekniske arbeid. Group skrev.
«Ettersom flertallet av bedrifter fremskynder sine null-tillit-initiativer, implementerer de også sterkere autentisering der det er mulig – selv om det er overraskende at det fortsatt er noen selskaper som sliter med det grunnleggende, eller [som] ennå ikke har omfavnet null-tillit, etterlater dem utsatt," skrev forskere der.
Hindringer for sikre identiteter gjenstår
Alle store skyleverandører tilbyr multifaktorautentisering over sikre kanaler og ved hjelp av sikre tokens, for eksempel OAuth 2.0. Selv om det kan være enkelt å slå på funksjonen, kan administrering av sikker tilgang føre til økt arbeid for IT-avdelingen – noe bedrifter må være klare for, sier Malwarebytes’ Arntz.
Bedrifter "noen ganger mislykkes når det gjelder å administrere hvem som har tilgang til tjenesten og hvilke tillatelser de krever," sier han. "Det er den ekstra mengden arbeid for IT-ansatte som kommer med et høyere autentiseringsnivå - det er flaskehalsen."
Forskere ved IDSAs tekniske arbeidsgruppe forklarte at eldre infrastruktur også er et hinder.
"Mens Microsoft har vært i ferd med å flytte autentiseringsprotokollene deres fremover i noen tid, har utfordringen med migrering og bakoverkompatibilitet for eldre apper, protokoller og enheter forsinket bruken av dem," bemerket de. "Det er gode nyheter at slutten er i sikte for grunnleggende autentisering."
Forbrukerfokuserte tjenester er også trege med å ta i bruk sikrere tilnærminger til autentisering. Mens Googles grep har forbedret sikkerheten for mange forbrukere, og Apple har aktivert tofaktorautentisering for mer enn 95 % av brukerne, fortsetter for det meste forbrukere å bare bruke multifaktorautentisering for noen få tjenester.
Mens nesten to tredjedeler av selskapene (64 %) har identifisert initiativer for å sikre digitale identiteter som en av deres topp tre prioriteringer i 2022, har bare 12 % av organisasjonene implementert multifaktorautentisering for brukerne sine, ifølge IDSAs rapport. Imidlertid ser firmaer etter å tilby alternativet, med 29 % av forbrukerfokuserte skyleverandører som for tiden implementerer bedre autentisering og 21 % planlegger det for fremtiden.
