Корпорація Майкрософт і великі хмарні постачальники починають вживати заходів, щоб перевести своїх бізнес-клієнтів на більш безпечні форми автентифікації та усунення основних недоліків безпеки, таких як використання імен користувачів і паролів через незашифровані канали для доступу до хмарних сервісів.
Microsoft, наприклад, з 1 жовтня скасує можливість використовувати базову автентифікацію для свого сервісу Exchange Online, вимагаючи, щоб її клієнти замість цього використовували автентифікацію на основі маркерів. Тим часом Google автоматично зареєстрував 150 мільйонів людей у своєму двоетапному процесі верифікації, а онлайн-хмарний провайдер Rackspace планує вимкнути протоколи електронної пошти з відкритим текстом до кінця року.
Кінцеві терміни є попередженням для компаній про те, що зусилля щодо захисту їхнього доступу до хмарних сервісів більше не можна відкладати, каже Пітер Арнтц, дослідник розвідки зловмисного програмного забезпечення Malwarebytes, який написав нещодавню публікацію в блозі підкреслюючи найближчий термін для користувачів Microsoft Exchange Online.
«Я думаю, що баланс зміщується до точки, коли вони відчувають, що можуть переконати користувачів, що додаткова безпека в їхніх інтересах, одночасно намагаючись запропонувати рішення, якими все ще є відносно прості у використанні», — говорить він. «Microsoft часто є законодавцем моди і оголосила про ці плани багато років тому, але ви все ще побачите, що організації борються і намагаються вжити належних заходів».
Почастішання порушень ідентифікації
У той час як деякі компанії, які піклуються про безпеку, взяли на себе ініціативу щодо забезпечення безпечного доступу до хмарних сервісів, інших потрібно підштовхувати – те, що постачальники хмарних послуг, наприклад Microsoft, дедалі більше готові це робити, особливо в той час, як компанії борються з дедалі більшими порушеннями, пов’язаними з ідентифікацією. У 2022 році 84% компаній зазнали порушення, пов’язаного з ідентифікацією, порівняно з 79% у попередні два роки, згідно з даними Identity Defined Security AllianceЗвіт «Тенденції захисту цифрової ідентифікації за 2022 рік».
Вимкнення основних форм автентифікації – це простий спосіб заблокувати зловмисників, які все частіше використовують введення облікових даних та інші спроби масового доступу як перший крок до компрометації жертв. Компанії зі слабкою автентифікацією залишаються відкритими для атак грубої сили, зловживань повторно використаними паролями, облікових даних, викрадених через фішинг, і викрадених сеансів.
І як тільки зловмисники отримають доступ до корпоративних служб електронної пошти, вони можуть викрадати конфіденційну інформацію або проводити шкідливі атаки, такі як компрометація бізнес-електронної пошти (BEC) і атаки програм-вимагачів, каже Ігал Гофман, керівник дослідження Ermetic, постачальника безпеки ідентифікаційної інформації для хмарних технологій. послуги.
«Використання слабких протоколів автентифікації, особливо в хмарі, може бути дуже небезпечним і призвести до значного витоку даних», — говорить він. «Національні держави та кіберзлочинці постійно зловживають слабкими протоколами автентифікації, виконуючи різні атаки грубої сили на хмарні служби».
Переваги підвищення безпеки автентифікації можуть мати негайні переваги. Google виявив автоматичну реєстрацію людей у своєму двоетапному процесі перевірки призвело до 50% зменшення компромісів облікового запису. Відповідно до звіту IDSA «43 Trends in Securing Digital Identities», значна частина компаній, які постраждали від зламу (2022%), вважають, що багатофакторна автентифікація могла б зупинити зловмисників.
Перехід до архітектур нульової довіри
Крім того, хмара і ініціативи нульової довіри За даними технічної робочої групи IDSA в електронному листі Dark Reading, більше половини компаній інвестують у безпеку ідентифікації в рамках цих ініціатив.
Для багатьох компаній відмова від простих механізмів автентифікації, які покладаються лише на облікові дані користувача, була спричинена програмами-вимагачами та іншими загрозами, які змусили компанії прагнути до мінімізації площі атаки та посилення захисту там, де це можливо, Технічна робота IDSA Група написала.
«Оскільки більшість компаній прискорюють свої ініціативи щодо нульової довіри, вони також впроваджують сильнішу автентифікацію, де це можливо, — хоча дивно, що деякі компанії все ще борються з основами або [які] ще не прийняли нульову довіру, залишаючи їх відкритими», – пишуть там дослідники.
Перешкоди для безпечної ідентифікації залишаються
Кожен великий хмарний постачальник пропонує багатофакторну автентифікацію через захищені канали та використання безпечних токенів, таких як OAuth 2.0. Хоча ввімкнення цієї функції може бути простим, керування безпечним доступом може призвести до збільшення обсягу роботи для ІТ-відділу — те, до чого підприємства мають бути готові, — каже Арнц з Malwarebytes.
Компанії «іноді зазнають невдачі, коли справа доходить до керування тим, хто має доступ до сервісу та які дозволи їм потрібні», — каже він. «Вузьким місцем є додатковий обсяг роботи для ІТ-персоналу, який пов’язаний із вищим рівнем автентифікації».
Дослідники з технічної робочої групи IDSA пояснили, що застаріла інфраструктура також є перешкодою.
«Хоча Microsoft деякий час просувала свої протоколи автентифікації, проблема міграції та зворотної сумісності для застарілих програм, протоколів і пристроїв затримала їх впровадження», — зазначили вони. «Це хороша новина, що базовій автентифікації наближається кінець».
Сервіси, орієнтовані на споживача, також повільно застосовують більш безпечні підходи до автентифікації. Хоча кроки Google покращили безпеку для багатьох споживачів, а Apple увімкнула двофакторну автентифікацію для понад 95% своїх користувачів, здебільшого споживачі продовжують використовувати багатофакторну автентифікацію лише для кількох служб.
У той час як майже дві третини компаній (64%) визначили ініціативи щодо захисту цифрової ідентифікації як один із своїх трьох головних пріоритетів у 2022 році, згідно зі звітом IDSA, лише 12% організацій запровадили багатофакторну автентифікацію для своїх користувачів. Однак фірми прагнуть надати таку опцію: 29% орієнтованих на споживачів хмарних провайдерів наразі впроваджують кращу автентифікацію, а 21% планують це зробити в майбутньому.
