Microsoft i główni dostawcy usług w chmurze zaczynają podejmować kroki, aby skierować swoich klientów biznesowych w stronę bezpieczniejszych form uwierzytelniania i eliminacji podstawowych słabości bezpieczeństwa — takich jak używanie nazw użytkowników i haseł za pośrednictwem niezaszyfrowanych kanałów dostępu do usług w chmurze.
Na przykład firma Microsoft od 1 października usunie możliwość korzystania z podstawowego uwierzytelniania w swojej usłudze Exchange Online, wymagając od klientów korzystania z uwierzytelniania opartego na tokenach. W międzyczasie Google automatycznie zarejestrowało 150 milionów osób w dwuetapowym procesie weryfikacji, a dostawca usług w chmurze online, firma Rackspace, planuje do końca roku wyłączyć protokoły poczty elektronicznej w postaci zwykłego tekstu.
Terminy stanowią ostrzeżenie dla firm, że nie można dłużej odkładać wysiłków mających na celu zabezpieczenie ich dostępu do usług w chmurze, mówi Pieter Arntz, badacz ds. analizy złośliwego oprogramowania w Malwarebytes, który napisał niedawny wpis na blogu podkreślając nadchodzący termin dla użytkowników Microsoft Exchange Online.
„Myślę, że równowaga przesuwa się do punktu, w którym czują, że mogą przekonać użytkowników, że dodatkowe bezpieczeństwo leży w ich najlepszym interesie, próbując jednocześnie oferować rozwiązania, które są nadal stosunkowo łatwe w użyciu” – mówi. „Microsoft często wyznacza trendy i ogłasza te plany wiele lat temu, ale nadal można spotkać organizacje wahające się i mające trudności z podjęciem odpowiednich działań”.
Coraz częstsze naruszenia tożsamości
Podczas gdy niektóre firmy dbające o bezpieczeństwo podjęły inicjatywę zabezpieczenia dostępu do usług w chmurze, inne wymagają zachęty – jest to coś, czego dostawcy usług w chmurze, takich jak Microsoftsą coraz chętniej to robić, zwłaszcza że firmy borykają się z większą liczbą naruszeń związanych z tożsamością. Według badania w 2022 r. 84% firm doświadczyło naruszenia tożsamości, w porównaniu z 79% w poprzednich dwóch latach. Sojusz na rzecz bezpieczeństwa na podstawie tożsamościw raporcie „Trendy w zabezpieczaniu tożsamości cyfrowej na rok 2022”.
Wyłączenie podstawowych form uwierzytelniania to prosty sposób na zablokowanie atakujących, którzy coraz częściej wykorzystują upychanie poświadczeń i inne próby masowego dostępu jako pierwszy krok do narażenia ofiar. Firmy ze słabym uwierzytelnianiem narażają się na ataki typu brute-force, nadużywanie ponownie używanych haseł, kradzież danych uwierzytelniających w wyniku phishingu i przejmowanie sesji.
Gdy napastnicy uzyskają dostęp do firmowych usług poczty e-mail, mogą wydobyć poufne informacje lub przeprowadzić szkodliwe ataki, takie jak włamanie do biznesowej poczty e-mail (BEC) i ataki ransomware, mówi Igal Gofman, dyrektor ds. badań w firmie Ermetic, dostawcy zabezpieczeń tożsamości w chmurze usługi.
„Stosowanie słabych protokołów uwierzytelniania, zwłaszcza w chmurze, może być bardzo niebezpieczne i prowadzić do poważnych wycieków danych” – mówi. „Państwa narodowe i cyberprzestępcy nieustannie nadużywają słabych protokołów uwierzytelniania, przeprowadzając różnorodne ataki brute-force na usługi w chmurze”.
Korzyści ze zwiększenia bezpieczeństwa uwierzytelniania mogą przynieść natychmiastowe korzyści. Google odkryło, że automatyczne rejestrowanie osób w dwuetapowym procesie weryfikacji spowodowało spadek liczby włamań na konta o 50%.. Jak wynika z raportu IDSA „43 Trends in Securing Digital Identities”, znaczna część firm, które ucierpiały z powodu naruszenia (2022%), uważa, że posiadanie uwierzytelniania wieloskładnikowego mogło powstrzymać atakujących.
W stronę architektur o zerowym zaufaniu
Ponadto chmura i inicjatywy zerowego zaufania przyczyniły się do poszukiwania bezpieczniejszych tożsamości, a według Technicznej Grupy Roboczej IDSA w e-mailu do Dark Reading ponad połowa firm inwestuje w bezpieczeństwo tożsamości w ramach tych inicjatyw.
W przypadku wielu firm odejście od prostych mechanizmów uwierzytelniania opierających się wyłącznie na poświadczeniach użytkownika zostało spowodowane oprogramowaniem ransomware i innymi zagrożeniami, które spowodowały, że firmy zaczęły szukać sposobów na minimalizowanie powierzchni ataku i wzmacnianie zabezpieczeń tam, gdzie jest to możliwe – podaje Centrum Robocze Techniczne IDSA. Grupa napisała.
„Ponieważ większość firm przyspiesza swoje inicjatywy związane z zerowym zaufaniem, wdrażają one również silniejsze uwierzytelnianie tam, gdzie to możliwe — chociaż zaskakujące jest to, że niektóre firmy wciąż borykają się z podstawami lub [które] jeszcze nie przyjęły zerowego zaufania, pozostawiając je odsłonięte” – napisali tamtejsi badacze.
Nadal istnieją przeszkody utrudniające zabezpieczenie tożsamości
Każdy większy dostawca usług w chmurze oferuje uwierzytelnianie wielopoziomowe za pośrednictwem bezpiecznych kanałów i przy użyciu bezpiecznych tokenów, takich jak OAuth 2.0. Chociaż włączenie tej funkcji może być proste, zarządzanie bezpiecznym dostępem może prowadzić do zwiększenia pracy działu IT, na co firmy muszą być przygotowane, mówi Arntz z Malwarebytes.
Firmy „czasami zawodzą, jeśli chodzi o zarządzanie tym, kto ma dostęp do usługi i jakich wymaganych uprawnień” – mówi. „Wąskim gardłem jest dodatkowa ilość pracy personelu IT związana z wyższym poziomem uwierzytelniania”.
Naukowcy z Technicznej Grupy Roboczej IDSA wyjaśnili, że przeszkodą jest również przestarzała infrastruktura.
„Mimo że Microsoft od jakiegoś czasu pracuje nad udoskonaleniem swoich protokołów uwierzytelniania, wyzwanie związane z migracją i wsteczną kompatybilnością starszych aplikacji, protokołów i urządzeń opóźniło ich przyjęcie” – zauważyli. „To dobra wiadomość, że koniec podstawowego uwierzytelniania jest już widoczny”.
Usługi zorientowane na konsumenta również powoli przyjmują bezpieczniejsze podejście do uwierzytelniania. Chociaż posunięcie Google poprawiło bezpieczeństwo wielu konsumentów, a Apple włączył uwierzytelnianie dwuskładnikowe dla ponad 95% swoich użytkowników, w większości konsumenci nadal korzystają z uwierzytelniania wielopoziomowego tylko w przypadku kilku usług.
Chociaż prawie dwie trzecie firm (64%) uznało inicjatywy mające na celu zabezpieczenie tożsamości cyfrowej za jeden z trzech głównych priorytetów na 2022 r., według raportu IDSA tylko 12% organizacji wdrożyło uwierzytelnianie wielopoziomowe dla swoich użytkowników. Firmy chcą jednak zapewnić taką opcję – 29% dostawców usług w chmurze zorientowanych na konsumentów wdraża obecnie lepsze uwierzytelnianie, a 21% planuje to zrobić w przyszłości.
- blockchain
- portfele kryptowalutowe
- krypto-wymiana
- bezpieczeństwo cybernetyczne
- cyberprzestępcy
- Bezpieczeństwo cybernetyczne
- Mroczne czytanie
- Departament Bezpieczeństwa Wewnętrznego
- cyfrowe portfele
- zapora
- Kaspersky
- malware
- Mcafee
- NexBLOC
- plato
- Platon Ai
- Analiza danych Platona
- Gra Platona
- PlatoDane
- platogaming
- VPN
- zabezpieczenia stron internetowych
