Microsoft och stora molnleverantörer börjar vidta åtgärder för att flytta sina företagskunder mot säkrare former av autentisering och eliminering av grundläggande säkerhetsbrister – som att använda användarnamn och lösenord över okrypterade kanaler för att komma åt molntjänster.
Microsoft kommer till exempel att ta bort möjligheten att använda grundläggande autentisering för sin Exchange Online-tjänst från och med 1 oktober, vilket kräver att dess kunder använder token-baserad autentisering istället. Google har under tiden automatiskt registrerat 150 miljoner människor i sin tvåstegsverifieringsprocess, och onlinemolnleverantören Rackspace planerar att stänga av klartext-e-postprotokoll i slutet av året.
Tidsfristerna är en varning till företag om att ansträngningar för att säkra deras tillgång till molntjänster inte längre kan skjutas upp, säger Pieter Arntz, malwareintelligensforskare på Malwarebytes, som skrev ett nyligen blogginlägg belyser den kommande deadline för Microsoft Exchange Online-användare.
"Jag tror att balansen håller på att förskjutas till den punkt där de känner att de kan övertyga användarna om att den extra säkerheten är i deras bästa intresse, samtidigt som de försöker erbjuda lösningar som fortfarande är relativt enkla att använda", säger han. "Microsoft är ofta en trendsättare och tillkännagav dessa planer för flera år sedan, men du kommer fortfarande att hitta organisationer som kämpar och kämpar för att vidta lämpliga åtgärder."
Identitetsrelaterade intrång ökar
Medan vissa säkerhetsmedvetna företag har tagit initiativet för att säkra tillgången till molntjänster, måste andra uppmanas – något som molnleverantörer, som Microsoft, är allt mer villiga att göra, särskilt när företag kämpar med fler identitetsrelaterade intrång. År 2022 drabbades 84 % av företagen av ett identitetsrelaterat intrång, upp från 79 % under de föregående två åren, enligt Identity Defined Security Alliances rapport "2022 Trends in Securing Digital Identities".
Att stänga av grundläggande former av autentisering är ett enkelt sätt att blockera angripare, som i allt högre grad använder inloggningsuppfyllning och andra massåtkomstförsök som ett första steg mot att kompromissa med offer. Företag med svag autentisering lämnar sig öppna för brute-force-attacker, missbruk av återanvända lösenord, autentiseringsuppgifter som stulits genom nätfiske och kapade sessioner.
Och när angripare väl har fått tillgång till företagets e-posttjänster kan de exfiltrera känslig information eller utföra skadliga attacker, såsom business email compromise (BEC) och ransomware-attacker, säger Igal Gofman, forskningschef för Ermetic, en leverantör av identitetssäkerhet för moln. tjänster.
"Användningen av svaga autentiseringsprotokoll, särskilt i molnet, kan vara mycket farlig och leda till stora dataläckor", säger han. "Nationsstater och cyberbrottslingar missbrukar ständigt svaga autentiseringsprotokoll genom att utföra en mängd olika brute-force-attacker mot molntjänster."
Fördelarna med att stärka säkerheten för autentisering kan ha omedelbara fördelar. Google upptäckte att automatiskt registrera personer i sin tvåstegsverifieringsprocess resulterade i en minskning med 50 % av kontokompromisser. En betydande del av företagen som drabbades av ett intrång (43 %) tror att multifaktorautentisering kunde ha stoppat angriparna, enligt IDSA:s "2022 Trends in Securing Digital Identities"-rapport.
Kantar sig mot nollförtroendearkitekturer
Dessutom moln och nollförtroendeinitiativ har drivit jakten på säkrare identiteter, med mer än hälften av företagen som investerar i identitetssäkerhet som en del av dessa initiativ, enligt IDSA:s tekniska arbetsgrupp, i ett mejl till Dark Reading.
För många företag har övergången från enkla autentiseringsmekanismer som bara förlitar sig på en användares autentiseringsuppgifter sporrats av ransomware och andra hot, vilket har fått företag att försöka minimera sin attackyta och härda försvaret där de kan, IDSA:s tekniska arbete Group skrev.
"När majoriteten av företagen accelererar sina initiativ för nollförtroende, implementerar de också starkare autentisering där det är möjligt - även om det är förvånande att det fortfarande finns några företag som kämpar med grunderna, eller [som] ännu inte har anammat nollförtroende, lämnar dem utsatta”, skrev forskare där.
Hinder för säkra identiteter kvarstår
Alla större molnleverantörer erbjuder multifaktorautentisering över säkra kanaler och använder säkra tokens, som OAuth 2.0. Även om det kan vara enkelt att aktivera funktionen, kan hantering av säker åtkomst leda till ett ökat arbete för IT-avdelningen – något som företag måste vara redo för, säger Malwarebytes Arntz.
Företag "misslyckas ibland när det gäller att hantera vem som har tillgång till tjänsten och vilka behörigheter de kräver", säger han. "Det är den extra mängden arbete för IT-personal som kommer med en högre autentiseringsnivå - det är flaskhalsen."
Forskare vid IDSA:s tekniska arbetsgrupp förklarade att äldre infrastruktur också är ett hinder.
"Medan Microsoft har varit i färd med att flytta sina autentiseringsprotokoll framåt under en tid, har utmaningen med att migrera och bakåtkompatibilitet för äldre appar, protokoll och enheter försenat deras antagande", noterade de. "Det är goda nyheter att slutet är i sikte för grundläggande autentisering."
Konsumentfokuserade tjänster är också långsamma med att anta säkrare metoder för autentisering. Även om Googles drag har förbättrat säkerheten för många konsumenter, och Apple har aktiverat tvåfaktorsautentisering för mer än 95 % av sina användare, fortsätter konsumenterna för det mesta att bara använda multifaktorautentisering för ett fåtal tjänster.
Medan nästan två tredjedelar av företagen (64 %) har identifierat initiativ för att säkra digitala identiteter som en av sina tre främsta prioriteringar 2022, har endast 12 % av organisationerna implementerat multifaktorautentisering för sina användare, enligt IDSA:s rapport. Företag ser dock efter att erbjuda alternativet, med 29 % av konsumentfokuserade molnleverantörer som för närvarande implementerar bättre autentisering och 21 % planerar på det för framtiden.
