Microsoft и облачные провайдеры переходят к запрету базовой аутентификации

Microsoft и крупные поставщики облачных услуг начинают предпринимать шаги, чтобы побудить своих бизнес-клиентов к более безопасным формам аутентификации и устранению основных недостатков безопасности, таких как использование имен пользователей и паролей по незашифрованным каналам для доступа к облачным службам.

Microsoft, например, отменит возможность использования базовой аутентификации для своей службы Exchange Online с 1 октября, потребовав, чтобы ее клиенты вместо этого использовали аутентификацию на основе токенов. Тем временем Google автоматически зарегистрировал 150 миллионов человек в своем двухэтапном процессе проверки, а онлайн-провайдер Rackspace планирует отключить протоколы электронной почты с открытым текстом к концу года.

Сроки являются предупреждением для компаний, что попытки защитить их доступ к облачным сервисам больше нельзя откладывать, говорит Питер Арнц, исследователь вредоносных программ в Malwarebytes, который написал недавний пост в блоге подчеркивая приближающийся крайний срок для пользователей Microsoft Exchange Online.

«Я думаю, что баланс смещается к точке, когда они чувствуют, что могут убедить пользователей в том, что дополнительная безопасность отвечает их интересам, и в то же время пытаются предложить решения, которые по-прежнему относительно просты в использовании», — говорит он. «Microsoft часто является законодателем моды и объявила об этих планах много лет назад, но вы все равно найдете организации, которые колеблются и изо всех сил пытаются принять соответствующие меры».

Растет число нарушений личных данных

В то время как некоторые компании, заботящиеся о безопасности, взяли на себя инициативу по обеспечению безопасного доступа к облачным сервисам, других нужно подтолкнуть — то, что поставщики облачных услуг такие как майкрософт, все чаще готовы это делать, особенно в связи с тем, что компании борются с большим количеством утечек, связанных с идентификацией. В 2022 году 84% компаний пострадали от взлома, связанного с идентификацией, по сравнению с 79% в предыдущие два года. Альянс безопасности, определяемый идентификациейотчет «Тенденции 2022 года в обеспечении безопасности цифровых удостоверений».

Отключение базовых форм аутентификации — это простой способ заблокировать злоумышленников, которые все чаще используют вброс учетных данных и другие попытки массового доступа в качестве первого шага к компрометации жертв. Компании со слабой аутентификацией оставляют себя открытыми для атак грубой силы, злоупотребления повторно используемыми паролями, учетных данных, украденных с помощью фишинга, и захвата сеансов.

И как только злоумышленники получат доступ к корпоративным службам электронной почты, они могут извлечь конфиденциальную информацию или провести разрушительные атаки, такие как компрометация деловой электронной почты (BEC) и атаки программ-вымогателей, — говорит Игал Гофман, руководитель исследовательского отдела Ermetic, поставщика средств защиты удостоверений для облачных вычислений. услуги.

«Использование слабых протоколов аутентификации, особенно в облаке, может быть очень опасным и привести к крупным утечкам данных», — говорит он. «Национальные государства и киберпреступники постоянно злоупотребляют слабыми протоколами аутентификации, выполняя множество различных атак грубой силы против облачных сервисов».

Преимущества усиления безопасности аутентификации могут иметь немедленные преимущества. Google обнаружил, что автоматическая регистрация людей в двухэтапном процессе проверки привело к снижению компрометации учетных записей на 50%. Значительная часть компаний, подвергшихся взлому (43%), считают, что многофакторная аутентификация могла бы остановить злоумышленников, согласно отчету IDSA «2022 Trends in Security Digital Identities».

Переход к архитектурам с нулевым доверием

Кроме того, облачные и инициативы нулевого доверия По данным Технической рабочей группы IDSA в электронном письме Dark Reading, более половины компаний инвестируют в безопасность личных данных в рамках этих инициатив.

Для многих компаний отказ от простых механизмов аутентификации, которые полагаются только на учетные данные пользователя, был вызван программами-вымогателями и другими угрозами, которые заставили компании стремиться свести к минимуму зону атаки и усилить защиту, где это возможно, говорится в технической работе IDSA. Группа написала.

«Поскольку большинство компаний ускоряют свои инициативы по нулевому доверию, они также внедряют более надежную аутентификацию, где это возможно, хотя удивительно, что некоторые компании все еще борются с основами или [которые] еще не внедрили нулевое доверие. оставляя их открытыми», — написали там исследователи.

Препятствия для защиты личности остаются

Каждый крупный облачный провайдер предлагает многофакторную аутентификацию по безопасным каналам и с использованием безопасных токенов, таких как OAuth 2.0. Хотя включение этой функции может быть простым, управление безопасным доступом может привести к увеличению объема работы ИТ-отдела — к чему предприятия должны быть готовы, — говорит Арнц из Malwarebytes.

Компании «иногда терпят неудачу, когда дело доходит до управления тем, кто имеет доступ к сервису и какие разрешения им требуются», — говорит он. «Это дополнительный объем работы для ИТ-персонала, связанный с более высоким уровнем аутентификации, — это узкое место».

Исследователи из Технической рабочей группы IDSA объяснили, что устаревшая инфраструктура также является препятствием.  

«Хотя Microsoft уже какое-то время занимается продвижением своих протоколов аутентификации, проблема миграции и обратной совместимости для устаревших приложений, протоколов и устройств задерживает их внедрение», — отметили они. «Хорошая новость: конец базовой аутентификации близок».

Сервисы, ориентированные на потребителя, также медленно внедряют более безопасные подходы к аутентификации. В то время как шаг Google улучшил безопасность для многих потребителей, а Apple включила двухфакторную аутентификацию для более чем 95% своих пользователей, по большей части потребители продолжают использовать многофакторную аутентификацию только для нескольких сервисов.

В то время как почти две трети компаний (64%) определили инициативы по защите цифровых удостоверений в качестве одного из трех своих главных приоритетов в 2022 году, согласно отчету IDSA, только 12% организаций внедрили многофакторную аутентификацию для своих пользователей. Тем не менее, фирмы стремятся предоставить такую ​​возможность: 29% облачных провайдеров, ориентированных на потребителя, в настоящее время внедряют улучшенную аутентификацию, а 21% планируют это в будущем.