Microsoft và các nhà cung cấp đám mây lớn đang bắt đầu thực hiện các bước để hướng khách hàng doanh nghiệp của họ tới các hình thức xác thực an toàn hơn và loại bỏ các điểm yếu bảo mật cơ bản — chẳng hạn như sử dụng tên người dùng và mật khẩu qua các kênh không được mã hóa để truy cập các dịch vụ đám mây.
Ví dụ: Microsoft sẽ loại bỏ khả năng sử dụng xác thực cơ bản cho dịch vụ Exchange Online của mình bắt đầu từ ngày 1 tháng 150, thay vào đó yêu cầu khách hàng của họ sử dụng xác thực dựa trên mã thông báo. Trong khi đó, Google đã tự động đăng ký XNUMX triệu người tham gia quy trình xác minh hai bước của mình và nhà cung cấp đám mây trực tuyến Rackspace có kế hoạch tắt giao thức email văn bản rõ ràng vào cuối năm nay.
Pieter Arntz, nhà nghiên cứu tình báo về phần mềm độc hại tại Malwarebytes, người cho biết thời hạn này là lời cảnh báo đối với các công ty rằng nỗ lực đảm bảo quyền truy cập của họ vào các dịch vụ đám mây không thể bị trì hoãn nữa. đã viết một bài blog gần đây nêu bật thời hạn sắp tới đối với người dùng Microsoft Exchange Online.
“Tôi nghĩ rằng sự cân bằng đang chuyển sang điểm mà họ cảm thấy có thể thuyết phục người dùng rằng bảo mật bổ sung mang lại lợi ích tốt nhất cho họ, đồng thời cố gắng cung cấp các giải pháp vẫn tương đối dễ sử dụng,” ông nói. “Microsoft thường là người tạo ra xu hướng và đã công bố những kế hoạch này từ nhiều năm trước, nhưng bạn vẫn sẽ thấy các tổ chức đang gặp khó khăn và gặp khó khăn trong việc thực hiện các biện pháp thích hợp”.
Vi phạm liên quan đến danh tính đang gia tăng
Trong khi một số công ty quan tâm đến bảo mật đã chủ động đảm bảo quyền truy cập vào các dịch vụ đám mây thì những công ty khác lại phải thúc giục — điều mà các nhà cung cấp đám mây, chẳng hạn như Microsoft, ngày càng sẵn sàng thực hiện, đặc biệt là khi các công ty đang phải vật lộn với nhiều vi phạm liên quan đến danh tính hơn. Theo báo cáo của Hiệp hội, vào năm 2022, 84% công ty gặp phải vi phạm liên quan đến danh tính, tăng từ 79% trong hai năm trước đó. Liên minh bảo mật xác định danh tínhbáo cáo “Xu hướng bảo mật danh tính kỹ thuật số năm 2022”.
Tắt các hình thức xác thực cơ bản là một cách đơn giản để chặn những kẻ tấn công đang ngày càng sử dụng việc nhồi nhét thông tin xác thực và các nỗ lực truy cập hàng loạt khác như bước đầu tiên để xâm phạm nạn nhân. Các công ty có khả năng xác thực yếu sẽ dễ gặp phải các cuộc tấn công bạo lực, lạm dụng mật khẩu được sử dụng lại, thông tin xác thực bị đánh cắp thông qua lừa đảo và các phiên bị tấn công.
Và một khi những kẻ tấn công đã có được quyền truy cập vào các dịch vụ email của công ty, chúng có thể lấy cắp thông tin nhạy cảm hoặc tiến hành các cuộc tấn công gây thiệt hại, chẳng hạn như tấn công xâm phạm email doanh nghiệp (BEC) và ransomware, Igal Gofman, người đứng đầu nghiên cứu của Ermetic, nhà cung cấp bảo mật danh tính cho đám mây, cho biết. dịch vụ.
Ông nói: “Việc sử dụng các giao thức xác thực yếu, đặc biệt là trên đám mây, có thể rất nguy hiểm và dẫn đến rò rỉ dữ liệu lớn. “Các quốc gia và tội phạm mạng liên tục lạm dụng các giao thức xác thực yếu bằng cách thực hiện nhiều cuộc tấn công vũ phu khác nhau nhằm vào các dịch vụ đám mây.”
Lợi ích của việc tăng cường bảo mật xác thực có thể mang lại lợi ích ngay lập tức. Google nhận thấy rằng việc tự động đăng ký mọi người vào quy trình xác minh hai bước của mình dẫn đến giảm 50% số vụ xâm phạm tài khoản. Theo báo cáo “Xu hướng bảo mật danh tính kỹ thuật số năm 43” của IDSA, một phần đáng kể các công ty bị vi phạm (2022%) tin rằng việc xác thực đa yếu tố có thể đã ngăn chặn những kẻ tấn công.
Hướng tới kiến trúc Zero-Trust
Ngoài ra, đám mây và sáng kiến không tin cậy đã thúc đẩy việc theo đuổi danh tính an toàn hơn, với hơn một nửa số công ty đầu tư vào bảo mật danh tính như một phần của các sáng kiến đó, theo Nhóm công tác kỹ thuật của IDSA, trong email gửi tới Dark Reading.
Đối với nhiều công ty, việc rời bỏ các cơ chế xác thực đơn giản chỉ dựa vào thông tin xác thực của người dùng đã bị thúc đẩy bởi phần mềm ransomware và các mối đe dọa khác, khiến các công ty phải tìm cách giảm thiểu diện tích bề mặt tấn công và tăng cường phòng thủ ở những nơi có thể, Cơ quan công tác kỹ thuật của IDSA Nhóm đã viết.
“Khi phần lớn các công ty đẩy nhanh các sáng kiến không tin cậy, họ cũng đang triển khai xác thực mạnh mẽ hơn nếu có thể - mặc dù vậy, điều đáng ngạc nhiên là vẫn có một số công ty đang gặp khó khăn với những điều cơ bản hoặc [điều đó] vẫn chưa chấp nhận không tin cậy, khiến chúng bị phơi bày,” các nhà nghiên cứu ở đó viết.
Những trở ngại để bảo mật danh tính vẫn còn
Mọi nhà cung cấp đám mây lớn đều cung cấp xác thực đa yếu tố qua các kênh bảo mật và sử dụng mã thông báo bảo mật, chẳng hạn như OAuth 2.0. Arntz của Malwarebytes cho biết, mặc dù việc bật tính năng này có thể đơn giản nhưng việc quản lý quyền truy cập an toàn có thể làm tăng khối lượng công việc cho bộ phận CNTT — điều mà các doanh nghiệp cần phải sẵn sàng thực hiện.
Ông nói: “Các công ty “đôi khi thất bại trong việc quản lý ai có quyền truy cập vào dịch vụ và những quyền nào họ yêu cầu”. “Số lượng công việc tăng thêm cho nhân viên CNTT đi kèm với mức xác thực cao hơn – đó chính là điểm nghẽn.”
Các nhà nghiên cứu tại Nhóm công tác kỹ thuật của IDSA giải thích rằng cơ sở hạ tầng cũ cũng là một trở ngại.
Họ lưu ý: “Mặc dù Microsoft đang trong quá trình phát triển các giao thức xác thực của họ được một thời gian, nhưng thách thức về việc di chuyển và khả năng tương thích ngược đối với các ứng dụng, giao thức và thiết bị cũ đã trì hoãn việc áp dụng chúng”. “Tin tốt là việc xác thực cơ bản đã sắp kết thúc.”
Các dịch vụ tập trung vào người tiêu dùng cũng chậm áp dụng các phương pháp xác thực an toàn hơn. Mặc dù động thái của Google đã cải thiện tính bảo mật cho nhiều người tiêu dùng và Apple đã kích hoạt xác thực hai yếu tố cho hơn 95% người dùng của mình, nhưng phần lớn người tiêu dùng vẫn tiếp tục chỉ sử dụng xác thực đa yếu tố cho một số dịch vụ.
Theo báo cáo của IDSA, trong khi gần 64/2022 số công ty (12%) đã xác định các sáng kiến nhằm bảo mật danh tính kỹ thuật số là một trong ba ưu tiên hàng đầu của họ vào năm 29, thì chỉ có 21% tổ chức triển khai xác thực đa yếu tố cho người dùng của họ. Tuy nhiên, các công ty đang tìm cách cung cấp tùy chọn này, với XNUMX% nhà cung cấp đám mây tập trung vào người tiêu dùng hiện đang triển khai xác thực tốt hơn và XNUMX% đang lên kế hoạch cho tương lai.
