Microsoft และผู้ให้บริการระบบคลาวด์รายใหญ่กำลังเริ่มดำเนินการเพื่อย้ายลูกค้าธุรกิจของตนไปสู่รูปแบบการรับรองความถูกต้องที่ปลอดภัยยิ่งขึ้น และกำจัดจุดอ่อนด้านความปลอดภัยขั้นพื้นฐาน เช่น การใช้ชื่อผู้ใช้และรหัสผ่านผ่านช่องทางที่ไม่ได้เข้ารหัสเพื่อเข้าถึงบริการระบบคลาวด์
ตัวอย่างเช่น Microsoft จะยกเลิกความสามารถในการใช้การรับรองความถูกต้องขั้นพื้นฐานสำหรับบริการ Exchange Online ตั้งแต่วันที่ 1 ตุลาคม โดยกำหนดให้ลูกค้าใช้การรับรองความถูกต้องแบบโทเค็นแทน ในขณะเดียวกัน Google ได้ลงทะเบียนผู้ใช้ 150 ล้านคนโดยอัตโนมัติในกระบวนการตรวจสอบสองขั้นตอน และผู้ให้บริการคลาวด์ออนไลน์ Rackspace วางแผนที่จะปิดโปรโตคอลอีเมลแบบเคลียร์เท็กซ์ภายในสิ้นปีนี้
กำหนดเวลาดังกล่าวเป็นการเตือนบริษัทต่างๆ ว่าความพยายามในการรักษาความปลอดภัยในการเข้าถึงบริการคลาวด์นั้นไม่สามารถเลื่อนออกไปได้อีกต่อไป Pieter Arntz นักวิจัยด้านข่าวกรองมัลแวร์ของ Malwarebytes กล่าว เขียนโพสต์บล็อกล่าสุด เน้นถึงกำหนดเวลาที่กำลังจะมาถึงสำหรับผู้ใช้ Microsoft Exchange Online
“ผมคิดว่าความสมดุลกำลังเปลี่ยนไปสู่จุดที่พวกเขารู้สึกว่าสามารถโน้มน้าวผู้ใช้ได้ว่าการรักษาความปลอดภัยเพิ่มเติมนั้นเป็นไปเพื่อประโยชน์สูงสุดของพวกเขา ขณะเดียวกันก็พยายามนำเสนอโซลูชั่นที่ยังค่อนข้างใช้งานง่าย” เขากล่าว “Microsoft มักจะเป็นผู้นำเทรนด์และได้ประกาศแผนเหล่านี้เมื่อหลายปีก่อน แต่คุณยังคงพบว่าองค์กรต่างๆ กำลังดิ้นรนและดิ้นรนเพื่อใช้มาตรการที่เหมาะสม”
การละเมิดข้อมูลประจำตัวมีเพิ่มมากขึ้น
ในขณะที่บริษัทที่คำนึงถึงความปลอดภัยบางแห่งได้ริเริ่มที่จะรักษาความปลอดภัยในการเข้าถึงบริการคลาวด์ แต่บริษัทอื่นๆ ก็ต้องได้รับการสนับสนุน ซึ่งเป็นสิ่งที่ผู้ให้บริการคลาวด์ เช่น ไมโครซอฟต์มีความเต็มใจที่จะทำมากขึ้น โดยเฉพาะอย่างยิ่งในขณะที่บริษัทต่างๆ ต่อสู้กับการละเมิดข้อมูลประจำตัวที่เพิ่มมากขึ้น ในปี 2022 บริษัท 84% ประสบปัญหาการละเมิดข้อมูลประจำตัว เพิ่มขึ้นจาก 79% ในช่วงสองปีที่ผ่านมา ตามข้อมูลของ พันธมิตรด้านความปลอดภัยที่กำหนดตัวตนรายงาน “แนวโน้มปี 2022 ในการรักษาความปลอดภัยข้อมูลประจำตัวดิจิทัล”
การปิดรูปแบบพื้นฐานของการรับรองความถูกต้องเป็นวิธีง่ายๆ ในการบล็อกผู้โจมตี ซึ่งมีการใช้ข้อมูลรับรองเพิ่มมากขึ้นและความพยายามในการเข้าถึงข้อมูลจำนวนมากเป็นขั้นตอนแรกในการประนีประนอมกับเหยื่อ บริษัทที่มีการตรวจสอบสิทธิ์ที่ไม่รัดกุมปล่อยให้ตัวเองเปิดรับการโจมตีแบบดุร้าย การใช้รหัสผ่านซ้ำในทางที่ผิด ข้อมูลประจำตัวที่ถูกขโมยผ่านฟิชชิ่ง และเซสชันที่ถูกแย่งชิง
และเมื่อผู้โจมตีสามารถเข้าถึงบริการอีเมลขององค์กรได้ พวกเขาสามารถขโมยข้อมูลที่ละเอียดอ่อนหรือทำการโจมตีที่สร้างความเสียหาย เช่น การบุกรุกอีเมลธุรกิจ (BEC) และการโจมตีด้วยแรนซัมแวร์ อิกัล กอฟแมน หัวหน้าฝ่ายวิจัยของ Ermetic ผู้ให้บริการการรักษาความปลอดภัยข้อมูลระบุตัวตนสำหรับคลาวด์ กล่าว บริการ
“การใช้โปรโตคอลการตรวจสอบสิทธิ์ที่ไม่รัดกุม โดยเฉพาะอย่างยิ่งในระบบคลาวด์อาจเป็นอันตรายได้มากและนำไปสู่การรั่วไหลของข้อมูลสำคัญ” เขากล่าว “รัฐในประเทศและอาชญากรไซเบอร์ใช้โปรโตคอลการตรวจสอบสิทธิ์ที่อ่อนแออย่างต่อเนื่องโดยดำเนินการโจมตีแบบดุร้ายต่างๆ ต่อบริการคลาวด์”
ประโยชน์ของการรักษาความปลอดภัยในการรับรองความถูกต้องสามารถให้ประโยชน์ได้ทันที Google พบว่ามีคนลงทะเบียนอัตโนมัติในกระบวนการยืนยันสองขั้นตอน ส่งผลให้บัญชีถูกบุกรุกลดลง 50%. บริษัทส่วนใหญ่ที่ประสบปัญหาการละเมิด (43%) เชื่อว่าการมีการรับรองความถูกต้องแบบหลายปัจจัยสามารถหยุดผู้โจมตีได้ ตามรายงาน “แนวโน้มปี 2022 ในการรักษาความปลอดภัยข้อมูลประจำตัวดิจิทัล” ของ IDSA
ก้าวไปสู่สถาปัตยกรรม Zero-Trust
นอกจากนี้คลาวด์และ โครงการริเริ่มแบบ Zero Trust ได้ขับเคลื่อนการแสวงหาข้อมูลประจำตัวที่ปลอดภัยมากขึ้น โดยมากกว่าครึ่งหนึ่งของบริษัทลงทุนในการรักษาความปลอดภัยของข้อมูลประจำตัวซึ่งเป็นส่วนหนึ่งของโครงการริเริ่มเหล่านั้น ตามที่คณะทำงานด้านเทคนิคของ IDSA ระบุในอีเมลที่ส่งถึง Dark Reading
สำหรับหลายๆ บริษัท การเปลี่ยนจากกลไกการตรวจสอบสิทธิ์แบบง่ายๆ ที่ใช้เพียงข้อมูลประจำตัวของผู้ใช้นั้นถูกกระตุ้นโดยแรนซัมแวร์และภัยคุกคามอื่นๆ ซึ่งทำให้บริษัทต่างๆ มองหาวิธีลดพื้นที่ผิวของการโจมตีให้เหลือน้อยที่สุด และเพิ่มการป้องกันที่แข็งแกร่งขึ้นในจุดที่สามารถทำได้ ซึ่งเป็นการทำงานด้านเทคนิคของ IDSA กลุ่มเขียน.
“ในขณะที่บริษัทส่วนใหญ่เร่งดำเนินการริเริ่ม Zero-Trust พวกเขายังได้ใช้การรับรองความถูกต้องที่เข้มงวดยิ่งขึ้นเมื่อเป็นไปได้ แม้ว่าจะเป็นเรื่องที่น่าแปลกใจที่ยังมีบางบริษัทที่ประสบปัญหาขั้นพื้นฐาน หรือ [ที่] ยังไม่ยอมรับ Zero Trust ปล่อยให้พวกมันถูกเปิดเผย” นักวิจัยที่นั่นเขียน
อุปสรรคในการรักษาความปลอดภัยข้อมูลประจำตัวยังคงมีอยู่
ผู้ให้บริการคลาวด์รายใหญ่ทุกรายเสนอการรับรองความถูกต้องแบบหลายปัจจัยผ่านช่องทางที่ปลอดภัยและการใช้โทเค็นที่ปลอดภัย เช่น OAuth 2.0 แม้ว่าการเปิดใช้งานคุณสมบัตินี้อาจทำได้ง่าย แต่การจัดการการเข้าถึงที่ปลอดภัยสามารถนำไปสู่การเพิ่มงานให้กับแผนกไอที ซึ่งเป็นสิ่งที่ธุรกิจจำเป็นต้องเตรียมพร้อม Arntz ของ Malwarebytes กล่าว
“บางครั้งบริษัทต่างๆ ก็ล้มเหลวในการจัดการว่าใครบ้างที่สามารถเข้าถึงบริการได้ และสิทธิ์ใดบ้างที่พวกเขาต้องการ” เขากล่าว “งานที่เพิ่มขึ้นสำหรับเจ้าหน้าที่ไอทีที่มาพร้อมกับระดับการตรวจสอบสิทธิ์ที่สูงกว่า นั่นคือปัญหาคอขวด”
นักวิจัยจากคณะทำงานด้านเทคนิคของ IDSA อธิบายว่าโครงสร้างพื้นฐานแบบเดิมก็เป็นอุปสรรคเช่นกัน
“ในขณะที่ Microsoft อยู่ในกระบวนการย้ายโปรโตคอลการตรวจสอบความถูกต้องไปข้างหน้ามาระยะหนึ่งแล้ว ความท้าทายในการโยกย้ายและความเข้ากันได้แบบย้อนหลังสำหรับแอพ โปรโตคอล และอุปกรณ์รุ่นเก่าทำให้การปรับใช้ล่าช้า” พวกเขาตั้งข้อสังเกต “เป็นข่าวดีที่จุดจบมาถึงแล้วสำหรับการตรวจสอบสิทธิ์ขั้นพื้นฐาน”
บริการที่เน้นผู้บริโภคเป็นหลักยังช้าในการปรับใช้แนวทางที่ปลอดภัยยิ่งขึ้นในการรับรองความถูกต้อง แม้ว่าการย้ายของ Google ได้ปรับปรุงความปลอดภัยสำหรับผู้บริโภคจำนวนมาก และ Apple ได้เปิดใช้งานการตรวจสอบสิทธิ์แบบสองปัจจัยสำหรับผู้ใช้มากกว่า 95% แต่ผู้บริโภคส่วนใหญ่ยังคงใช้การตรวจสอบสิทธิ์แบบหลายปัจจัยสำหรับบริการบางอย่างเท่านั้น
ในขณะที่เกือบสองในสามของบริษัท (64%) ระบุว่าโครงการริเริ่มเพื่อรักษาความปลอดภัยข้อมูลประจำตัวดิจิทัลเป็นหนึ่งในสามลำดับความสำคัญสูงสุดในปี 2022 มีเพียง 12% ขององค์กรเท่านั้นที่ใช้การรับรองความถูกต้องแบบหลายปัจจัยสำหรับผู้ใช้ ตามรายงานของ IDSA อย่างไรก็ตาม บริษัทต่างๆ กำลังมองหาทางเลือกนี้ โดย 29% ของผู้ให้บริการคลาวด์ที่เน้นผู้บริโภคเป็นหลักในปัจจุบันใช้การรับรองความถูกต้องที่ดีขึ้น และ 21% วางแผนสำหรับอนาคต
- blockchain
- กระเป๋าสตางค์ cryptocurrency
- การแลกเปลี่ยนการเข้ารหัสลับ
- การรักษาความปลอดภัยในโลกไซเบอร์
- อาชญากรไซเบอร์
- cybersecurity
- การอ่านที่มืด
- กรมความมั่นคงภายในประเทศ
- กระเป๋าสตางค์ดิจิตอล
- ไฟร์วอลล์
- Kaspersky
- มัลแวร์
- แมคคาฟี
- เน็กซ์บล๊อก
- เพลโต
- เพลโตไอ
- เพลโตดาต้าอินเทลลิเจนซ์
- เกมเพลโต
- เพลโตดาต้า
- เพลโตเกม
- VPN
- ความปลอดภัยของเว็บไซต์
