Microsoft ve büyük bulut sağlayıcıları, ticari müşterilerini daha güvenli kimlik doğrulama biçimlerine ve bulut hizmetlerine erişmek için şifrelenmemiş kanallar üzerinden kullanıcı adlarını ve parolaları kullanmak gibi temel güvenlik zayıflıklarını ortadan kaldırmaya yönelik adımlar atmaya başlıyor.
Örneğin Microsoft, Exchange Online hizmeti için temel kimlik doğrulama özelliğini 1 Ekim'den itibaren kaldıracak ve müşterilerinin bunun yerine belirteç tabanlı kimlik doğrulama kullanmasını zorunlu kılacak. Bu arada Google, iki adımlı doğrulama sürecine 150 milyon kişiyi otomatik olarak kaydettirdi ve çevrimiçi bulut sağlayıcısı Rackspace, açık metin e-posta protokollerini yıl sonuna kadar kapatmayı planlıyor.
Malwarebytes'te kötü amaçlı yazılım istihbaratı araştırmacısı Pieter Arntz, teslim tarihlerinin şirketlere bulut hizmetlerine erişimlerini güvence altına alma çabalarının artık ertelenemeyeceği konusunda bir uyarı olduğunu söylüyor. yakın zamanda bir blog yazısı kaleme aldı Microsoft Exchange Online kullanıcıları için yaklaşan son tarihi vurgulayarak.
"Bence denge, kullanıcıları ekstra güvenliğin kendi çıkarlarına en iyi şekilde hizmet ettiğine ikna edebileceklerini hissettikleri bir noktaya doğru kayıyor ve aynı zamanda kullanımı nispeten kolay çözümler sunmaya çalışıyorlar" diyor. "Microsoft genellikle bir trend belirleyicidir ve bu planları yıllar önce duyurdu, ancak yine de kuruluşların uygun önlemleri almakta zorlandığını ve mücadele ettiğini göreceksiniz."
Kimlik İhlalleri Artıyor
Bazı güvenlik bilincine sahip şirketler, bulut hizmetlerine erişimi güvence altına almak için inisiyatif alırken, diğerlerinin teşvik edilmesi gerekir - bu, bulut sağlayıcılarının, Microsoft gibi, özellikle şirketler kimlikle ilgili daha fazla ihlalle mücadele ederken, bunu yapmaya giderek daha istekli hale geliyor. 2022'de şirketlerin %84'ü, önceki iki yılda %79'a kıyasla kimlikle ilgili bir ihlale maruz kaldı. Kimlik Tanımlı Güvenlik İttifakı'nin “Dijital Kimlikleri Korumada 2022 Eğilimleri” raporu.
Temel kimlik doğrulama biçimlerini kapatmak, kurbanları tehlikeye atmak için ilk adım olarak kimlik bilgileri doldurma ve diğer toplu erişim girişimlerini giderek daha fazla kullanan saldırganları engellemenin basit bir yoludur. Kimlik doğrulaması zayıf olan şirketler kendilerini kaba kuvvet saldırılarına, yeniden kullanılan parolaların kötüye kullanılmasına, kimlik avı yoluyla çalınan kimlik bilgilerine ve ele geçirilen oturumlara açık bırakır.
Bulut için kimlik güvenliği sağlayıcısı Ermetic'in araştırma başkanı Igal Gofman, saldırganların kurumsal e-posta hizmetlerine erişim elde ettikten sonra hassas bilgileri sızdırabileceğini veya iş e-postası gizliliği (BEC) ve fidye yazılımı saldırıları gibi zarar verici saldırılar düzenleyebileceğini söylüyor. Hizmetler.
"Özellikle bulutta zayıf kimlik doğrulama protokollerinin kullanılması çok tehlikeli olabilir ve büyük veri sızıntılarına yol açabilir" diyor. "Ulus devletler ve siber suçlular, bulut hizmetlerine karşı çeşitli farklı kaba kuvvet saldırıları gerçekleştirerek sürekli olarak zayıf kimlik doğrulama protokollerini kötüye kullanıyor."
Kimlik doğrulama güvenliğini desteklemenin faydaları anında fayda sağlayabilir. Google, iki adımlı doğrulama sürecinde kişilerin otomatik olarak kaydedildiğini tespit etti. hesap güvenliği ihlallerinde %50 azalma sağladı. IDSA'nın “Dijital Kimlikleri Korumada 43 Eğilimleri” raporuna göre, ihlale maruz kalan şirketlerin önemli bir kısmı (%2022) çok faktörlü kimlik doğrulamanın saldırganları durdurabileceğine inanıyor.
Sıfır Güven Mimarilerine Doğru
Ayrıca bulut ve sıfır güven girişimleri IDSA'nın Teknik Çalışma Grubu'na göre, Dark Reading'e gönderilen bir e-postada, şirketlerin yarısından fazlasının bu girişimlerin bir parçası olarak kimlik güvenliğine yatırım yapmasıyla, daha güvenli kimlik arayışına yön verdi.
Birçok şirket için, yalnızca bir kullanıcının kimlik bilgilerine dayanan basit kimlik doğrulama mekanizmalarından uzaklaşma, fidye yazılımları ve diğer tehditler tarafından teşvik edildi; Grup yazdı.
"Şirketlerin çoğu sıfır güven girişimlerini hızlandırırken, mümkün olan yerlerde daha güçlü kimlik doğrulama uyguluyorlar - yine de temellerle mücadele eden veya sıfır güveni henüz benimsememiş bazı şirketlerin olması şaşırtıcı. onları açıkta bırakarak, ”diye yazdı oradaki araştırmacılar.
Güvenli Kimliklerin Önündeki Engeller Devam Ediyor
Her büyük bulut sağlayıcı, güvenli kanallar üzerinden ve OAuth 2.0 gibi güvenli belirteçler kullanarak çok faktörlü kimlik doğrulama sunar. Malwarebytes'ten Arntz, özelliği açmak basit olsa da, güvenli erişimi yönetmenin BT departmanının işinde artışa yol açabileceğini söylüyor - bu, işletmelerin hazır olması gereken bir şey.
Şirketler "hizmete kimin erişebileceğini ve hangi izinlere ihtiyaç duyduklarını yönetme konusunda bazen başarısız oluyor" diyor. "Daha yüksek bir kimlik doğrulama düzeyiyle gelen, BT personelinin fazladan çalışmasıdır - darboğaz budur."
IDSA'nın Teknik Çalışma Grubundaki araştırmacılar, eski altyapının da bir engel olduğunu açıkladı.
"Microsoft, kimlik doğrulama protokollerini bir süredir ileri taşıma sürecindeyken, eski uygulamalar, protokoller ve cihazlar için geçiş ve geriye dönük uyumluluk zorluğu, bunların benimsenmesini geciktirdi" dediler. "Temel kimlik doğrulama için sonun yaklaşmış olması iyi bir haber."
Tüketici odaklı hizmetler, kimlik doğrulamaya yönelik daha güvenli yaklaşımları benimseme konusunda da yavaştır. Google'ın hamlesi birçok tüketici için güvenliği iyileştirmiş ve Apple, kullanıcılarının %95'inden fazlası için iki faktörlü kimlik doğrulamayı etkinleştirmiş olsa da, tüketicilerin çoğu, çok faktörlü kimlik doğrulamayı yalnızca birkaç hizmet için kullanmaya devam ediyor.
IDSA'nın raporuna göre, şirketlerin neredeyse üçte ikisi (%64) dijital kimliklerin güvenliğini sağlama girişimlerini 2022'deki ilk üç önceliğinden biri olarak tanımlarken, kuruluşların yalnızca %12'si kullanıcıları için çok faktörlü kimlik doğrulamayı uyguladı. Bununla birlikte, tüketici odaklı bulut sağlayıcılarının %29'u şu anda daha iyi kimlik doğrulama uyguluyor ve %21'i gelecek için bunu planlıyor.
