Аутентификация на основе рисков: Основа стратегии нулевого доверия

Наверняка ваша организация выглядит совсем не так, как год назад.

Как и в большинстве компаний, у вас есть новые бизнес-инициативы, инструменты, рабочие процессы и люди – треть сотрудников меняет работу каждый год! У вас также появились новые проблемы с безопасностью, поскольку киберпреступники оттачивают свои стратегии по краже учетных данных и используют искусственный интеллект для выдачи себя за легитимных пользователей.

Когда профиль рисков постоянно меняется, средства контроля безопасности не могут быть статичными. Вы не можете ждать, пока редкая ручная проверка изменит политику безопасности, которая уже не может защитить вас.

Принятие подхода к кибербезопасности, основанного на оценке рисков, поможет вам ориентироваться в непредсказуемом будущем, в котором перемены происходят быстро. Аутентификация на основе рисков – яркий пример такого гибкого и динамичного подхода к управлению рисками идентификации.

В этом блоге рассматривается:

• Как аутентификация на основе рисков снижает риск атак на основе идентификационных данных.
• Как внедрить аутентификацию на основе рисков, не создавая сложностей для пользователей.
• Примеры аутентификации на основе рисков в действии.

Что такое аутентификация на основе рисков?

Аутентификация на основе рисков – это процесс проверки личности пользователя с использованием тактики, соответствующей уровню риска. Она подразумевает обнаружение потенциальных рисков, связанных с идентификацией, разумное сопоставление этих рисков с требованиями к аутентификации и принятие соответствующих мер для минимизации риска атак на основе идентификационных данных.

Аутентификация на основе рисков является интеллектуальной и адаптивной. Она автоматически создает профиль поведения для каждой личности с течением времени и сравнивает активность с базовым уровнем, чтобы определить степень риска. По мере увеличения степени рисков требования к аутентификации становятся все более строгими, по сути, поднимая планку все выше и выше. Пользователи должны выполнить эти требования к аутентификации, прежде чем получить доступ к ресурсам или выполнить другие привилегированные действия.

Думайте об аутентификации на основе рисков как о «непрерывной проверке на детекторе лжи для получения доступа».

Преимущества аутентификации на основе рисков

Сочетание аутентификации на основе рисков с политиками доступа с наименьшими привилегиями позволяет более эффективно защищать конфиденциальные данные и снижать риск, связанный с компрометацией привилегированных учетных данных.

Кроме того, гибкость аутентификации на основе рисков позволяет повысить качество обслуживания пользователей. В большинстве ситуаций аутентификация может быть простой и беспроблемной, поэтому пользователи не будут расстраиваться или раздражаться из-за многочисленных запросов на проверку. Пользователям будет предложено выполнить дополнительные шаги аутентификации только в том случае, если высокие показатели риска требуют выполнения дополнительных требований.

Примеры аутентификации на основе рисков в действии

Когда и где следует применять аутентификацию на основе рисков?

Аутентификацию с учетом рисков можно и нужно применять в каждой точке контроля доступа в цепочке атак. К ним относятся первоначальный вход в систему, выполнение привилегированных команд или приложений, а также повышение привилегий.

Привилегированные личности могут получить доступ к любому типу ИТ-ресурсов в вашей среде – хранилищу паролей, рабочим станциям, базам данных, серверам, приложениям и т. д. – как в помещениях, так и в облаке. Поэтому оценка рисков должна учитывать поведение в каждой из этих систем, а также при переходе пользователей из одной системы в другую. Таким образом, если злоумышленник получает привилегированные полномочия и ускользает от первоначального обнаружения, вы можете прервать его перемещение, прежде чем он продолжит наносить ущерб.

Не все привилегированные пользователи или поведение привилегированных пользователей одинаковы. Аутентификация на основе рисков учитывает контекст запроса на доступ, основываясь на многочисленных факторах.

Например:

• Тип данных, к которым пытается получить доступ пользователь. Это конфиденциальная деловая информация или конфиденциальная PII, на которую распространяются правила конфиденциальности?
• Статус пользователя. Является ли пользователь внутренним сотрудником или внешним поставщиком или подрядчиком?
• Потенциальное влияние на бизнес: Что произойдет, если система или данные, к которым осуществляется доступ, будут изменены или повреждены?
• Характер поведения. Является ли поведение необычным для данной личности или для личностей с похожим профилем? Например, они используют новое устройство или входят в систему в неожиданное время суток, после долгого перерыва или из неожиданного места?

Если любой из этих ответов «да», аутентификация на основе рисков отменяет стандартные правила аутентификации, политики или права доступа и предлагает пользователю выполнить дополнительные требования для подтверждения его личности.

Например, пользователю, входящему в корпоративную сеть с управляемого устройства, может быть предоставлен доступ с помощью одного фактора – пароля. Однако пользователю, входящему в систему из неизвестной сети на неуправляемом устройстве, может быть предложено ввести второй или даже третий фактор.

В дополнение к приведенным выше примерам, решения для аутентификации, основанной на оценке рисков, развивают способность учиться на примере прошлого поведения и распознавать рискованные модели, которые человек не может предвидеть.

Типы аутентификации на основе рисков

Существует широкий спектр методов, которые можно включить в стратегию аутентификации на основе рисков, в том числе:

• Аппаратные токены: Это небольшие аппаратные устройства, которые пользователь носит с собой для авторизации доступа. Они бывают разных форм, включая смарт-карты, брелоки и USB-устройства. Аппаратное устройство генерирует одноразовый пароль (OTP), который пользователь вводит при появлении запроса.
• Однофакторные криптографические устройства: FIDO U2F и его беспарольный преемник, FIDO2, – это стандарты аутентификации, разработанные FIDO Alliance. Они разработаны как открытые, безопасные, частные и простые в использовании.
  FIDO U2F и FIDO2 называют новым поколением двухфакторной аутентификации, они отличаются повышенной безопасностью, поскольку криптография с открытым ключом защищает от фишинга, перехвата сеанса и атак вредоносного ПО, а также простотой использования и высокой степенью конфиденциальности.
• Soft Tokens: Это программные токены или приложения, генерирующие одноразовый пароль (OTP). Обычно они представляют собой мобильные приложения, устанавливаемые на смартфон, и могут использовать push-уведомления для повышения удобства пользователей. Широкое распространение мобильных устройств сделало Soft Tokens популярным вариантом.
  У Soft Tokens есть два основных преимущества перед аппаратными токенами. Во-первых, у пользователей меньше шансов потерять или забыть свой телефон, чем у одноцелевого аппаратного токена. Во-вторых, Soft Tokens проще и дешевле распространять среди пользователей.
• SMS/текстовое сообщение: OTP может быть отправлен на телефон с помощью SMS. После получения пользователь вводит его на экране входа в систему.
• Телефонный звонок: Пользователю поступает телефонный звонок на зарегистрированный номер телефона (стационарный или мобильный). После этого пользователь дает правильный ответ на голосовую подсказку для завершения аутентификации.
• Электронная почта: Пользователь получает электронное письмо со ссылкой для проверки запроса на аутентификацию. Переход по ссылке завершает процесс аутентификации.
• Вопросы безопасности: Вместо токенов пользователи предоставляют ответы на вопросы безопасности. Эти вопросы могут быть заранее заданы, или пользователь может задать свои собственные.
• Биометрия: Эти методы включают в себя отпечатки пальцев, сканирование сетчатки глаза, распознавание лица и многое другое. Многие новейшие смартфоны поддерживают биометрию, например Touch ID на iPhone и Fingerprint на устройствах Samsung Galaxy. Последний стандарт FIDO2 включает в себя возможность использования биометрических данных на устройстве, таких как Microsoft Hello или Apple FaceID.

Некоторые методы аутентификации требуют взаимодействия с человеком (он должен ответить на вопрос или нажать кнопку).

Другие могут осуществляться «за сценой» для проверки личности машины. Использование широкого спектра методов аутентификации обеспечивает гибкость и возможность выбора, что особенно важно по мере того, как рабочие места переходят к беспарольному будущему.

Аутентификация на основе рисков и нулевое доверие

Нулевое доверие – это стратегия кибербезопасности, которая работает по принципу «никогда не доверяй, всегда проверяй». Согласно этой стратегии, по умолчанию никому не доверяют ни в сети, ни за ее пределами, и проверка требуется от каждого, кто пытается получить доступ к сетевым ресурсам.

Такой подход крайне важен для аутентификации в условиях рисков, поскольку он минимизирует поверхность атаки, улучшает видимость соответствия нормативным требованиям и снижает риск утечки данных, требуя строгой проверки пользователей и устройств, контроля доступа с учетом контекста и обеспечения доступа с наименьшими привилегиями.

MFA на всех уровнях

Одним из способов внедрения аутентификации на основе рисков является требование многофакторной аутентификации (MFA) на всех уровнях доступа, чтобы проверять личность пользователей независимо от того, к какой системе они обращаются.

С помощью платформы Delinea Platform можно реализовать согласованные задачи и требования MFA для обеспечения идентификации на нескольких уровнях: когда пользователи получают доступ к хранилищу или запрашивают общие учетные данные, при входе в систему и при повышении привилегий. ИТ-отделы и службы безопасности получают полную информацию обо всех требованиях, задачах и действиях по MFA, используемых во всех решениях Delinea Platform, в едином представлении.

Источник: Risk-based authentication: A pillar of a zero trust strategy